Фильтрация зашифрованного веб-трафика

Введение

В этом задании вы выступите в роли младшего аналитика по кибербезопасности, расследующего потенциальную утечку данных в Cybertech Industries. Команда безопасности обнаружила необычную сетевую активность в нерабочее время и предоставила вам файл дампа пакетов (packet capture file), содержащий подозрительный сетевой трафик.

Ваша задача - использовать Wireshark для анализа предоставленного файла дампа пакетов, создав фильтр отображения (display filter), который изолирует только зашифрованный HTTPS-трафик (TCP-порт 443). Этот метод фильтрации поможет вам сосредоточиться на потенциально конфиденциальных коммуникациях, которые могут быть связаны с предполагаемым нарушением. После того, как вы создадите соответствующий фильтр, вы сохраните его в текстовый файл для целей документирования.

Skills Graph

Поиск подозрительного HTTPS-трафика

В качестве младшего аналитика по кибербезопасности вы расследуете потенциальную утечку данных в Cybertech Industries. Команда безопасности обнаружила необычную сетевую активность в нерабочее время и нуждается в вашей помощи. Они предоставили файл дампа пакетов (packet capture file), содержащий сетевой трафик с момента возникновения подозрительной активности.

Задачи

• Используйте фильтр отображения (display filter) Wireshark, чтобы отображать только зашифрованный HTTPS-трафик, отфильтровав по TCP-порту 443.

Требования

• Откройте файл suspicious_traffic.pcapng, расположенный в каталоге ~/project, с помощью Wireshark.
• Создайте фильтр отображения (display filter), чтобы изолировать только HTTPS-трафик (TCP-порт 443).
• Сохраните свой фильтр как https_filter.txt в каталоге ~/project, содержащий только выражение фильтра (filter expression) (только одна строка).

Примеры

При успешном применении правильного фильтра вы должны увидеть что-то вроде этого:

Отображаемые пакеты должны включать только те, которые используют TCP-порт 443, который является стандартным портом для HTTPS-трафика.

Ваш сохраненный файл фильтра должен содержать только выражение фильтра (filter expression), например:

ip.addr == 8.8.8.8

(Примечание: это всего лишь пример формата фильтра, а не решение)

Подсказки

• В Wireshark фильтры отображения (display filters) вводятся в строке фильтра в верхней части главного окна.
• Выражение фильтра (filter expression) должно быть сосредоточено на номере TCP-порта, который стандартно используется для HTTPS-трафика.
• Помните, что на номера портов можно ссылаться с помощью tcp.port в выражениях фильтра.
• Просмотрите раздел «Использование фильтров отображения» (Using Display Filters) из лабораторной работы для получения дополнительных указаний.
• Убедитесь, что вы сохраняете только текст выражения фильтра (filter expression) в файле фильтра, без какого-либо дополнительного текста или пояснений.

Итог

В этом задании я работал в качестве младшего аналитика по кибербезопасности, расследуя потенциальную утечку данных в Cybertech Industries путем анализа подозрительного сетевого трафика. Используя Wireshark, я научился создавать и применять фильтры отображения (display filters) для изоляции зашифрованного HTTPS-трафика, сосредотачиваясь конкретно на коммуникациях по TCP-порту 443.

Упражнение требовало открытия предоставленного файла дампа пакетов (packet capture file), применения соответствующего синтаксиса фильтра в строке фильтра отображения (display filter bar) Wireshark и сохранения выражения фильтра (filter expression) в текстовый файл. Этот практический навык необходим аналитикам по безопасности, которым необходимо быстро идентифицировать и изучать зашифрованный веб-трафик во время расследований безопасности, что позволяет им сосредоточиться на релевантных пакетах, отфильтровывая при этом несвязанные сетевые коммуникации.