创建 HTTPS 流量检测器

介绍

在本挑战中，你将扮演 SecureNet 公司的一名初级网络安全分析师，负责监控组织网络中的加密 Web 流量。你的目标是在 Wireshark 中创建一条自定义着色规则，将所有 HTTPS 流量（TCP 端口 443）高亮显示为绿底黑字，以便在数据包分析过程中轻松识别安全的 Web 连接。

这个实战练习将引导你启动 Wireshark、访问着色规则对话框、创建并配置名为「Secure Web Traffic」的新规则，并最终将自定义的着色规则导出到文件中。通过完成这项挑战，你将提升快速识别网络流量中安全通信的能力——这是进行有效网络安全监控的一项关键技能。

创建 HTTPS 流量检测器

作为 SecureNet 的初级网络安全分析师，你被指派监控公司网络上的加密 Web 流量。你的主管希望你能在数据包分析期间快速识别 HTTPS 连接，以确保安全通信已正确建立。

任务

• 在 Wireshark 中创建一条名为 Secure Web Traffic 的新着色规则，使用 tcp.port == 443 作为过滤器，将所有 HTTPS 流量高亮显示为绿底黑字。

要求

1. 使用 wireshark 命令从终端启动 Wireshark。
2. 从「视图」（View）菜单访问「着色规则」（Coloring Rules）。
3. 创建一条符合以下规格的新着色规则：
   • 名称：Secure Web Traffic
   • 过滤器表达式：tcp.port == 443
   • 背景颜色：绿色（Green）
   • 前景（文本）颜色：黑色（Black）
4. 勾选该规则旁边的复选框以启用新的着色规则。
5. 将着色规则导出到 /home/labex/project 目录下名为 secure_web_rule.txt 的文件中。

示例

配置正确后，你的新着色规则在 Wireshark 中应如下所示：

应用此规则后，数据包捕获中所有的 HTTPS 流量（TCP 端口 443）都将以绿底黑字高亮显示，使你能够轻松识别安全的 Web 连接。

提示

1. 要打开着色规则对话框，请转到「视图」（View）菜单并选择「着色规则...」（Coloring Rules...）。
2. 创建新规则时，使用「+」按钮添加新条目。
3. 要设置颜色，请点击标记为「前景」（Foreground）和「背景」（Background）的按钮。
4. 记得勾选新规则旁边的复选框来启用它。
5. 要导出规则，请点击着色规则对话框中的「导出...」（Export...）按钮。
6. 确保保存导出的文件时，文件名与要求中指定的完全一致。

总结

在本挑战中，我创建了一条 Wireshark 自定义着色规则，用于识别网络中的 HTTPS 流量。任务要求启动 Wireshark，从「视图」菜单访问着色规则对话框，并创建一条名为「Secure Web Traffic」的新规则，该规则使用过滤器表达式 tcp.port == 443，并配置了绿底黑字的颜色方案。

这次实战练习展示了安全分析师如何通过视觉高亮特定类型的网络流量，以便在数据包分析过程中更轻松地进行识别。在配置并启用规则后，我将着色规则导出到指定项目目录下的 secure_web_rule.txt 文件中，成功实现了一个视觉化的 HTTPS 流量检测器，使安全 Web 连接在网络监控中变得一目了然。