协议级网络威胁狩猎：以Wireshark为核心的实战指南

执行摘要

协议级的网络威胁狩猎专注于发现网络流量中的异常模式，而非仅仅依赖终端 artifacts。关键的网络入侵指标（IOC）包括恶意域名和IP地址、TLS指纹（JA3/JA3S哈希值、证书指纹）、异常的服务器名称指示（SNI）或HTTP头、奇怪的用户代理字符串，以及数据泄露的迹象（例如，异常大的DNS查询或HTTP POST请求）。在命令与控制（C2）及数据泄露攻击中经常被滥用的协议——如DNS、HTTP/HTTPS/TLS，以及NetBIOS/NTP等传统协议——需要重点检查。狩猎人员同时使用签名匹配（IOC）和行为分析：例如，发现快速变更DNS（fast-flux DNS，即包含大量IP答案且TTL值很低）或DNS隧道（随机、高熵的子域名）。异常检测（例如，NXDOMAIN或ICMP回显请求的突然激增）是对IOC搜索的补充。通过Wireshark/tshark进行的详细数据包分析，可以为我们提供每一次字节交换的“地面实况”。在实践中，分析师会先制定假设（例如，“恶意软件正通过DNS泄露数据”），然后在数据包捕获文件或实时数据流中查询可疑迹象，这一过程通常由威胁情报来指引。这种协议级的可见性至关重要，因为它...FINISHED

CSD0tFqvECLokhw9aBeRqu8GpO2AnQi0bR638wa2V+dYqxt2D/8fZ9M6l7tVbfXKjR9L7wfvV7ctITbqOfYtByKMazh9uMMmGpiLtNKRkBFFNjlGXksyYViEpxTZpIk0wV2nEr9RW7//6iAzo7dQ7w==