过滤加密的 Web 流量

介绍

在这个挑战中，你将扮演一名初级网络安全分析师，调查 Cybertech Industries 公司潜在的数据泄露事件。安全团队在非工作时间检测到异常的网络活动，并为你提供了一个包含可疑网络流量的数据包捕获文件（packet capture file）。

你的任务是使用 Wireshark 分析提供的数据包捕获文件，通过创建一个显示过滤器（display filter）来隔离仅加密的 HTTPS 流量（TCP 端口 443）。这种过滤技术将帮助你专注于可能与可疑泄露相关的潜在敏感通信。一旦你创建了合适的过滤器，你需要将其保存到一个文本文件中，以便进行文档记录。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") subgraph Lab Skills wireshark/display_filters -.-> lab-548806{{"过滤加密的 Web 流量"}} end

追踪可疑的 HTTPS 流量

作为一名初级网络安全分析师，你正在调查 Cybertech Industries 公司潜在的数据泄露事件。安全团队在非工作时间发现了异常的网络活动，需要你的帮助。他们提供了一个数据包捕获文件，其中包含发生可疑活动时的网络流量。

任务

使用 Wireshark 的显示过滤器（display filter），通过过滤 TCP 端口 443 来仅显示加密的 HTTPS 流量。

要求

使用 Wireshark 打开位于 ~/project 目录下的 suspicious_traffic.pcapng 文件。
创建一个显示过滤器，以隔离仅 HTTPS 流量（TCP 端口 443）。
将你的过滤器保存为 ~/project 目录下的 https_filter.txt，其中仅包含过滤器表达式（仅一行）。

示例

当你成功应用正确的过滤器时，你应该看到类似这样的内容：

显示的包应仅包括使用 TCP 端口 443 的那些包，这是 HTTPS 流量的标准端口。

你保存的过滤器文件应仅包含过滤器表达式，例如：

ip.addr == 8.8.8.8

（注意：这只是过滤器格式的一个示例，而不是解决方案）

提示

在 Wireshark 中，显示过滤器在主窗口顶部的过滤器栏中输入。
过滤器表达式应侧重于标准用于 HTTPS 流量的 TCP 端口号。
请记住，可以使用过滤器表达式中的 tcp.port 引用端口号。
查看实验（Lab）中关于「使用显示过滤器」的部分，以获取更多指导。
确保仅将过滤器表达式文本保存在你的过滤器文件中，而没有任何其他文本或解释。

✨ 查看解决方案并练习

总结

在这个挑战中，我扮演了一名初级网络安全分析师，通过分析可疑的网络流量来调查 Cybertech Industries 公司潜在的数据泄露事件。通过使用 Wireshark，我学习了如何创建和应用显示过滤器（display filter），通过专门关注 TCP 端口 443 通信来隔离加密的 HTTPS 流量。

这个练习要求打开提供的数据包捕获文件（packet capture file），在 Wireshark 的显示过滤器栏中应用适当的过滤器语法，并将过滤器表达式保存到文本文件中。这种实践技能对于需要在安全调查期间快速识别和检查加密的 Web 流量的安全分析师至关重要，使他们能够专注于相关的包，同时过滤掉不相关的网络通信。