个人中心
今日签到
私信列表
消息中心
搜索全站
q_code

扫码关注官方微信
cell_code

扫码下载APP
返回顶部
技能集市 > AI智能 > Wireshark Network Traffic Analysis
W

Wireshark Network Traffic AnalysisWireshark流量分析

Network traffic analysis with Wireshark and tshark. Capture packets, write display and BPF filters, follow TCP/UDP/TLS streams, detect C2 beacons, troubleshoot connectivity, and perform forensic PCAP analysis.

作者: admin | 来源: ClawHub
下载
源自
ClawHub
版本
V 1.0.1
安全检测
已通过
227
下载量
免费
免费
0
收藏
概述
安装方式
版本历史

Wireshark Network Traffic Analysis

Wireshark 网络流量分析

目的

使用 Wireshark 执行全面的网络流量分析,以捕获、过滤和检查网络数据包,用于安全调查、性能优化和故障排除。该技能能够系统性地分析网络协议、检测异常,并从 PCAP 文件中重建网络会话。

输入/前提条件

所需工具

  • - 已安装 Wireshark(Windows、macOS 或 Linux)
  • 具有捕获权限的网络接口
  • 用于离线分析的 PCAP/PCAPNG 文件
  • 实时捕获的管理员/root 权限

技术要求

  • - 理解网络协议(TCP、UDP、HTTP、DNS)
  • 熟悉 IP 地址和端口
  • 了解 OSI 模型各层
  • 理解常见攻击模式

使用场景

  • - 网络故障排除和连接问题
  • 安全事件调查
  • 恶意软件流量分析
  • 性能监控与优化
  • 协议学习与教育

输出/交付物

主要输出

  • - 针对特定流量的过滤数据包捕获
  • 重建的通信流
  • 流量统计与可视化
  • 事件证据文档

核心工作流程

阶段 1:捕获网络流量

启动实时捕获

在网络接口上开始捕获数据包:
  1. 1. 启动 Wireshark
  2. 从主屏幕选择网络接口
  3. 点击鲨鱼鳍图标或双击接口
  4. 捕获立即开始

捕获控制
操作快捷键描述
开始/停止捕获Ctrl+E切换捕获开关
重新开始捕获
Ctrl+R | 停止并开始新捕获 |

| 打开 PCAP 文件 | Ctrl+O | 加载现有捕获文件 | | 保存捕获 | Ctrl+S | 保存当前捕获 |

捕获过滤器

在捕获前应用过滤器以限制数据收集:

仅捕获特定主机

host 192.168.1.100

捕获特定端口

port 80

捕获特定网络

net 192.168.1.0/24

排除特定流量

not arp

组合过滤器

host 192.168.1.100 and port 443

阶段 2:显示过滤器

基本过滤器语法

过滤已捕获的数据包进行分析:

IP 地址过滤器

ip.addr == 192.168.1.1 # 所有进出 IP 的流量 ip.src == 192.168.1.1 # 仅源 IP ip.dst == 192.168.1.1 # 仅目标 IP

端口过滤器

tcp.port == 80 # TCP 端口 80 udp.port == 53 # UDP 端口 53 tcp.dstport == 443 # 目标端口 443 tcp.srcport == 22 # 源端口 22

协议过滤器

按特定协议过滤:

常见协议

http # HTTP 流量 https or ssl or tls # 加密网络流量 dns # DNS 查询和响应 ftp # FTP 流量 ssh # SSH 流量 icmp # Ping/ICMP 流量 arp # ARP 请求/响应 dhcp # DHCP 流量 smb or smb2 # SMB 文件共享

TCP 标志过滤器

识别特定连接状态:

tcp.flags.syn == 1 # SYN 数据包(连接尝试)
tcp.flags.ack == 1 # ACK 数据包
tcp.flags.fin == 1 # FIN 数据包(连接关闭)
tcp.flags.reset == 1 # RST 数据包(连接重置)
tcp.flags.syn == 1 && tcp.flags.ack == 0 # 仅 SYN(初始连接)

内容过滤器

搜索特定内容:

frame contains password # 包含字符串的数据包
http.request.uri contains login # 包含字符串的 HTTP URI
tcp contains GET # 包含字符串的 TCP 数据包

分析过滤器

识别潜在问题:

tcp.analysis.retransmission # TCP 重传
tcp.analysis.duplicate_ack # 重复 ACK
tcp.analysis.zero_window # 零窗口(流量控制)
tcp.analysis.flags # 有问题的数据包
dns.flags.rcode != 0 # DNS 错误

组合过滤器

使用逻辑运算符进行复杂查询:

AND 运算符

ip.addr == 192.168.1.1 && tcp.port == 80

OR 运算符

dns || http

NOT 运算符

!(arp || icmp)

复杂组合

(ip.src == 192.168.1.1 || ip.src == 192.168.1.2) && tcp.port == 443

阶段 3:跟踪流

TCP 流重建

查看完整的 TCP 会话:
  1. 1. 右键单击任意 TCP 数据包
  2. 选择 跟踪 > TCP 流
  3. 查看重建的会话
  4. 在 ASCII、十六进制、原始视图之间切换
  5. 过滤以仅显示此流

流类型
访问方式使用场景
TCP 流跟踪 > TCP 流网页、文件传输、任何 TCP
UDP 流
跟踪 > UDP 流 | DNS、VoIP、流媒体 |

| HTTP 流 | 跟踪 > HTTP 流 | 网页内容、头部 | | TLS 流 | 跟踪 > TLS 流 | 加密流量(如有密钥) |

流分析技巧

  • - 检查请求/响应对
  • 识别传输的文件或数据
  • 查找明文凭据
  • 注意异常模式或命令

阶段 4:统计分析

协议层次结构

查看协议分布:

统计 > 协议层次结构

显示:

  • - 每种协议的百分比
  • 数据包数量
  • 传输字节数
  • 协议分解树

会话

分析通信对:

统计 > 会话

选项卡:

  • - 以太网:MAC 地址对
  • IPv4/IPv6:IP 地址对
  • TCP:连接详情(端口、字节、数据包)
  • UDP:数据报交换

端点

查看活跃的网络参与者:

统计 > 端点

显示:

  • - 所有源/目标地址
  • 数据包和字节计数
  • 地理信息(如启用)

流量图

可视化数据包序列:

统计 > 流量图

选项:

  • - 所有数据包或仅显示的数据包
  • 标准或 TCP 流
  • 显示数据包时序和方向

I/O 图表

绘制随时间变化的流量:

统计 > I/O 图表

功能:

  • - 每秒数据包数
  • 每秒字节数
  • 自定义过滤器图表
  • 多图表叠加

阶段 5:安全分析

检测端口扫描

识别侦察活动:

SYN 扫描检测(多个端口,同一源)

ip.src == 可疑IP && tcp.flags.syn == 1

检查统计 > 会话中的异常

查找单个源命中多个目标端口

识别可疑流量

过滤异常:

到异常端口的流量

tcp.dstport > 1024 && tcp.dstport < 49152

可信网络外的流量

!(ip.addr == 192.168.1.0/24)

异常 DNS 查询

dns.qry.name contains 可疑域名

大数据传输

frame.len > 1400

ARP 欺骗检测

识别 ARP 攻击:

重复的 ARP 响应

arp.duplicate-address-frame

ARP 流量分析

arp

查找:

- 同一 IP 对应多个 MAC

- 免费 ARP 泛洪

- 异常 ARP 模式

检查下载

分析文件传输:

HTTP 文件下载

http.request.method == GET && http contains Content-Disposition

跟踪 HTTP 流以查看文件内容

使用 文件 > 导出对象 > HTTP 提取文件

DNS 分析

调查 DNS 活动:

所有 DNS 流量

dns

仅 DNS 查询

dns.flags.response == 0

仅 DNS 响应

dns.flags.response == 1

失败的 DNS 查找

dns.flags.rcode != 0

特定域名查询

dns.qry.name contains domain.com

阶段 6:专家信息

访问专家分析

查看 Wireshark 的自动发现结果:

标签

skill ai

通过对话安装

该技能支持在以下平台通过对话安装:

OpenClaw WorkBuddy QClaw Kimi Claude

方式一:安装 SkillHub 和技能

帮我安装 SkillHub 和 wireshark-analysis-1776079381 技能

方式二:设置 SkillHub 为优先技能安装源

设置 SkillHub 为我的优先技能安装源,然后帮我安装 wireshark-analysis-1776079381 技能

通过命令行安装

skillhub install wireshark-analysis-1776079381

下载

⬇ 下载 Wireshark Network Traffic Analysis v1.0.1(免费)

文件大小: 5.19 KB | 发布时间: 2026-4-17 16:35

v1.0.1 最新 2026-4-17 16:35
Natural description rewrite

相关推荐

s

self-improvement

Captures learnings, errors, and corrections to enable continuous improvement. Use when: (1) A command or operation fails unexpectedly, (2) User corrects Claude ('No, that's wrong...', 'Actually...'), (3) User requests a capability that doesn't exist, (4) An external API or tool fails, (5) Claude realizes its knowledge is outdated or incorrect, (6) A better approach is discovered for a recurring task. Also review learnings before major tasks.

⭐ 3209 ⬇ 392958
AI智能
s

self-improvement

Captures learnings, errors, and corrections to enable continuous improvement. Use when: (1) A command or operation fails unexpectedly, (2) User corrects Claude ('No, that's wrong...', 'Actually...'), (3) User requests a capability that doesn't exist, (4) An external API or tool fails, (5) Claude realizes its knowledge is outdated or incorrect, (6) A better approach is discovered for a recurring task. Also review learnings before major tasks.

⭐ 3209 ⬇ 392957
AI智能
s

self-improvement

Captures learnings, errors, and corrections to enable continuous improvement. Use when: (1) A command or operation fails unexpectedly, (2) User corrects Claude ('No, that's wrong...', 'Actually...'), (3) User requests a capability that doesn't exist, (4) An external API or tool fails, (5) Claude realizes its knowledge is outdated or incorrect, (6) A better approach is discovered for a recurring task. Also review learnings before major tasks.

⭐ 3195 ⬇ 389589
AI智能
s

self-improvement

Captures learnings, errors, and corrections to enable continuous improvement. Use when: (1) A command or operation fails unexpectedly, (2) User corrects Claude ('No, that's wrong...', 'Actually...'), (3) User requests a capability that doesn't exist, (4) An external API or tool fails, (5) Claude realizes its knowledge is outdated or incorrect, (6) A better approach is discovered for a recurring task. Also review learnings before major tasks.

⭐ 3177 ⬇ 386644
AI智能

多链集团旗下-闲社网

闲社网热线
免费联系电话
0527-80111111
            qqline

服务时间:周一到周日 8:00-24:00

  • 公众号
    闲社 闲社线报社区
关注闲社网
  • wxkf

    闲社在线客服

  • wx

    关注闲社网微信

  • app

    闲社网APP

Archiver·手机版·闲社网·闲社论坛·羊毛社区· 多链控股集团有限公司 · 苏ICP备2025199260号-1

Powered by Discuz! X5.0   © 2024-2025 闲社网·线报更新论坛·羊毛分享社区·http://xianshe.com

p2p_official_large
返回顶部