提取网络流量证据

介绍

在本次挑战中，你将扮演 NetDefenders 公司的一名网络安全实习生，负责调查一起潜在的数据泄露事件。你的导师提供了一个网络流量捕获文件，你的任务是提取员工与 labex.io 之间的通信证据，用于撰写取证训练报告。

通过使用 Wireshark，你将分析捕获的网络流量。你需要过滤出包含「labex」字样的 TCP 数据包，通过追踪 TCP 流来检查完整的对话内容，并将证据保存为文本文件。这一实践练习展示了安全专业人员在识别和记录可疑网络通信时所使用的核心网络取证技术。

提取网络流量证据

作为 NetDefenders 的网络安全实习生，你正在调查一起潜在的数据泄露事件。你的导师捕获了一名员工访问 labex.io 时的网络流量，并指派你提取通信详情作为取证训练报告的证据。

任务

• 过滤捕获的 Wireshark 流量，仅显示包含 labex 的 TCP 数据包。
• 从过滤后的数据包中追踪一个 TCP 流，并将其作为 tcp_evidence.txt 保存到项目文件夹中。

要求

1. 在 Wireshark 中打开位于 /home/labex/project 目录下的捕获文件 network_evidence.pcapng。
2. 使用显示过滤器，仅显示内容中包含「labex」的 TCP 数据包。
3. 选择其中一个过滤出的数据包，然后使用 Wireshark 的「追踪 TCP 流」（Follow TCP Stream）功能查看整个对话。
4. 将 TCP 流内容保存为名为 tcp_evidence.txt 的文件，存放在 /home/labex/project 目录下。
5. 保存的文件必须包含你的系统与 labex.io 之间完整的 TCP 流数据。

示例

当你应用正确的过滤器时，你的 Wireshark 界面可能如下所示：

追踪 TCP 流后，你会看到一个显示对话数据的窗口。保存的文件将包含这些数据，其中可能包括 TLS 握手信息和加密的 HTTPS 流量。

提示

• 要过滤包含特定文本的 TCP 数据包，请使用以下格式：tcp contains "text"
• 右键点击数据包并选择「追踪」（Follow） > 「TCP 流」（TCP Stream）来查看完整对话。
• 在「追踪 TCP 流」窗口中，点击「另存为」（Save As）按钮来保存流数据。
• 请务必确保在指定目录中使用完全一致的文件名保存文件。
• 保存对话框可能会默认指向其他位置，因此在保存前请导航至 /home/labex/project。

总结

在本次挑战中，我使用 Wireshark 执行了网络取证任务，从捕获的数据包文件中提取了网页流量证据。调查重点是检查系统与 labex.io 之间的通信，以记录潜在的数据泄露行为。这需要应用特定的显示过滤器来隔离内容中包含「labex」的相关 TCP 数据包。

整个过程包括打开网络捕获文件、过滤流量、追踪 TCP 流以查看完整通信内容，以及将证据保存为文本文件。这些技术代表了网络安全专业人员在进行网络取证调查和准备安全事件报告时所需的核心技能。