提取 Web 流量证据

介绍

在这个挑战中，你将扮演 NetDefenders 的一名网络安全实习生，调查一起潜在的数据泄露事件。你的指导老师提供了一个网络流量捕获文件，你的任务是提取一名员工和 labex.io 之间的通信证据，用于你的取证培训报告。

你将使用 Wireshark 分析捕获的网络流量，通过过滤包含 "labex" 的 TCP 数据包，跟踪 TCP 流以检查完整的对话，并将证据保存为文本文件。这个实践练习演示了安全专业人员用来识别和记录可疑 Web 通信的基本网络取证技术。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/follow_tcp_stream("Follow TCP Stream") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") subgraph Lab Skills wireshark/display_filters -.-> lab-548842{{"提取 Web 流量证据"}} wireshark/follow_tcp_stream -.-> lab-548842{{"提取 Web 流量证据"}} wireshark/export_packets -.-> lab-548842{{"提取 Web 流量证据"}} end

揭示隐藏的 Web 对话

作为 NetDefenders 的一名网络安全实习生，你正在调查一起潜在的数据泄露事件。你的指导老师捕获了一名员工访问 labex.io 的网络流量，并指派你提取通信细节，作为你的取证培训报告的证据。

任务

过滤捕获的 Wireshark 流量，仅显示包含 labex 的 TCP 数据包
从过滤后的数据包中跟踪一个 TCP 流，并将其保存为项目文件夹中的 tcp_evidence.txt

要求

在 Wireshark 中打开捕获文件 network_evidence.pcapng，该文件位于你的 /home/labex/project 目录中。
使用显示过滤器，仅显示内容中包含 "labex" 的 TCP 数据包。
选择一个过滤后的数据包，然后使用 Wireshark 的“跟踪 TCP 流 (Follow TCP Stream)”功能来查看整个对话。
将 TCP 流内容保存为 /home/labex/project 目录中名为 tcp_evidence.txt 的文件。
保存的文件必须包含你的系统和 labex.io 之间的完整 TCP 流数据。

示例

当你应用正确的过滤器时，你的 Wireshark 显示可能如下所示：

跟踪 TCP 流后，你将看到一个显示对话数据的窗口。保存的文件将包含此数据，其中可能包括 TLS 握手信息和加密的 HTTPS 流量。

提示

要过滤包含特定文本的 TCP 数据包，请使用以下格式：tcp contains "text"
右键单击一个数据包，然后选择“跟踪 (Follow)” > “TCP 流 (TCP Stream)”以查看整个对话
在“跟踪 TCP 流 (Follow TCP Stream)”窗口中，单击“另存为 (Save As)”按钮以保存流数据
确保以要求的确切名称将文件保存在指定的目录中
保存对话框可能默认为其他位置，因此在保存之前导航到 /home/labex/project

✨ 查看解决方案并练习

总结

在这个挑战中，我使用 Wireshark 执行了网络取证任务，从捕获的数据包文件中提取 Web 流量证据。调查的重点是检查系统和 labex.io 之间的通信，以记录潜在的数据泄露，这需要应用特定的显示过滤器来隔离内容中包含 "labex" 的相关 TCP 数据包。

该过程包括打开网络捕获文件、过滤流量、跟踪 TCP 流以查看完整的通信，以及将证据保存为文本文件。这些技术代表了网络安全专业人员进行网络取证调查和准备安全事件报告证据的基本技能。