安全运营需求:网络入侵事件频发,需要快速从海量流量中定位恶意行为,Wireshark是取证分析的核心工具 [^19^] [^20^] [^28^]。
一、恶意流量快速识别
异常指标过滤:
dns.qry.name contains "malware" # 恶意域名查询
http.host matches ".*\.xyz$" # 可疑顶级域名
tcp.flags.reset==1 and tcp.len>0 # 异常RST包
icmp.type == 8 and frame.len > 100 # Ping隧道(大数据包)
二、C2通信分析
命令控制服务器特征:
- 周期性心跳:固定间隔(如30秒)的HTTP POST或DNS查询
- User-Agent异常:非标准浏览器标识
- 加密流量:TLS握手后无应用层数据(可能是C2通道)
检测过滤:
http.request and frame.time_delta_displayed > 30 # 周期性HTTP
tls.handshake.type == 1 and tls.handshake.extensions_server_name_len == 0 # 无SNI的TLS(可疑)
三、数据泄露调查
场景:发现大量外发流量。
分析:
- 统计外联IP:
Statistics → Conversations → IPv4 - 检查异常端口:非标准端口(如44300代替443)
- 流量内容分析:导出HTTP对象查看外发文件
- 时间线分析:确认泄露发生时段
四、自动化取证脚本
使用tshark批量处理:
tshark -r evidence.pcap -q -z expert # 专家信息统计
tshark -r evidence.pcap -Y "http.request" -T fields -e ip.src -e http.host -e http.request.uri # 提取URL
