协议级网络威胁狩猎：基于Wireshark的实战指南

执行摘要

协议级网络威胁狩猎专注于网络流量中异常模式的深度分析，而非仅关注端点遗留物。关键网络入侵指标(IOC)包括恶意域名和IP地址、TLS指纹(JA3/JA3S哈希值、证书指纹)、异常的服务器名称指示(SNI)或HTTP头部、奇怪的User-Agent字符串，以及数据外泄迹象(如异常庞大的DNS查询或HTTP POST请求)。在C2(命令与控制)和外泄攻击中常被滥用的协议——DNS、HTTP/HTTPS/TLS，以及NetBIOS/NTP等传统协议——需要重点检查。威胁狩猎人员既使用签名匹配(IOC检测)也进行行为分析：例如，识别快速通量DNS(大量应答记录、低TTL值)或DNS隧道(随机、高熵子域名)。异常检测(如NXDOMAIN响应或ICMP回显请求的突然激增)是对IOC搜索的重要补充。通过Wireshark/tshark进行的详细数据包分析能够提供每一字节交互的“地面实况”。在实践中，分析师会提出假设(例如“恶意软件正通过DNS外泄数据”)，然后基于威胁情报对数据包捕获文件或实时流量进行特征查询。这种协议级的可视性是防御的关键，因为…

---FINISHED

CSD0tFqvECLokhw9aBeRqu8GpO2AnQi0bR638wa2V+dYqxt2D/8fZ9M6l7tVbfXKjR9L7wfvV7ctITbqOfYtByKMazh9uMMmGpiLtNKRkBFFNjlGXksyYViEpxTZpIk0wV2nEr9RW7//6iAzo7dQ7w==