Экспорт подозрительных сетевых данных

Введение

В этом задании вы выступаете в роли аналитика по безопасности в TechDefend, который обнаружил подозрительный HTTP-трафик. Ваша задача - использовать Wireshark для выделения этого трафика из предварительно записанного сетевого файла и экспортировать его в виде CSV-файла для анализа командой криминалистов (forensics team).

Это упражнение проверит вашу способность открывать захваченные пакеты (packet captures), применять протокольные фильтры в Wireshark и экспортировать отфильтрованные данные в требуемом формате. Вам необходимо убедиться, что экспортированные доказательства правильно сохранены в указанном месте со всей необходимой информацией протокола HTTP.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") subgraph Lab Skills wireshark/display_filters -.-> lab-548847{{"Экспорт подозрительных сетевых данных"}} wireshark/export_packets -.-> lab-548847{{"Экспорт подозрительных сетевых данных"}} end

Экспорт подозрительных сетевых данных (Network Evidence)

В качестве аналитика по безопасности в TechDefend вы обнаружили необычный HTTP-трафик, который может указывать на потенциальное нарушение безопасности (potential breach). Вашему руководителю эти данные необходимы для срочного расследования. Вы должны быстро выделить подозрительный HTTP-трафик и экспортировать его в формате, подходящем для анализа командой криминалистов (forensics team).

Задачи

Примените фильтр для отображения только HTTP-трафика, а затем экспортируйте эти пакеты в виде CSV-файла с именем evidence.csv в каталоге /home/labex/project.

Требования

Откройте предоставленный файл network_traffic.pcap в Wireshark, используя терминал или графический интерфейс (GUI).
Используйте функциональность фильтрации Wireshark для отображения только HTTP-трафика.
Экспортируйте отфильтрованный HTTP-трафик в виде CSV-файла с именем evidence.csv.
Сохраните CSV-файл в каталоге /home/labex/project.
Экспортированный файл должен содержать информацию протокола HTTP.

Примеры

Вот небольшой пример того, как может выглядеть экспортированный CSV-файл (фактическое содержимое будет зависеть от захваченного трафика):

Подсказки

Чтобы открыть Wireshark из терминала, просто введите wireshark в терминале и нажмите Enter.
Чтобы открыть конкретный файл захвата (capture file), вы можете использовать wireshark /home/labex/project/network_traffic.pcap.
Базовый фильтр для отображения только HTTP-трафика - это просто ввод "http" в поле фильтра в верхней части Wireshark.
Чтобы экспортировать пакеты в формате CSV, перейдите в File → Export Packet Dissections → As CSV.
Обязательно выберите правильное местоположение файла (/home/labex/project) и имя файла (evidence.csv) при сохранении.

✨ Проверить решение и практиковаться

Итог

В этом задании я работал в качестве аналитика по безопасности в TechDefend, чтобы выделить и экспортировать подозрительный HTTP-трафик из сетевого дампа (network capture). Используя Wireshark, я открыл предварительно записанный файл пакетов (network_traffic.pcap), применил фильтры для отображения только HTTP-трафика и экспортировал отфильтрованные данные в виде CSV-файла с именем evidence.csv в указанном каталоге.

Это задание продемонстрировало важные навыки аналитика по безопасности, включая анализ сетевого трафика с помощью Wireshark, применение фильтров, специфичных для протоколов, и правильный экспорт данных в формате, подходящем для криминалистического расследования (forensic investigation). Эти методы имеют решающее значение для специалистов по безопасности при выявлении и документировании потенциальных нарушений сети для дальнейшего анализа.