Wireshark Network Traffic Analysis
使用 Wireshark 分析网络流量
网络故障排除和安全调查需要深度数据包检测。此技能提供全面的 Wireshark 技术,用于捕获、过滤和分析网络流量,以进行事件响应和性能优化。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“Wireshark Network Traffic Analysis”。 向我展示如何过滤所有 DNS 流量并识别失败的 DNS 查找
预期结果:
- 过滤器:dns - 显示所有 DNS 查询和响应
- 过滤器:dns.flags.response == 0 - 仅显示 DNS 查询
- 过滤器:dns.flags.rcode != 0 - 显示带有错误代码的失败 DNS 查找
- 使用统计 > 对话以查看查询最多的域名
正在使用“Wireshark Network Traffic Analysis”。 如何在此捕获中检测端口扫描活动?
预期结果:
- 过滤器:ip.src == SUSPECT_IP && tcp.flags.syn == 1 - 显示来自源的所有 SYN 数据包
- 检查统计 > 对话 > TCP 选项卡
- 查找单个源 IP 连接到许多目标端口的情况
- 相同的时序模式表明自动化扫描工具
安全审计
安全Static analysis detected 76 potential security issues but all are false positives. This is a documentation-only skill containing Wireshark filter syntax examples and network analysis procedures. No executable code, external commands, or network operations exist. All flagged patterns are markdown code blocks showing educational examples of Wireshark display filters, protocol syntax, and security investigation techniques.
质量评分
你能构建什么
安全事件调查
分析捕获的网络流量以识别恶意模式、检测数据泄露并重构攻击序列以收集取证证据
网络故障排除
诊断连接问题、识别数据包丢失、分析 TCP 重传并定位应用程序流量中的性能瓶颈
协议分析教育
通过检查真实数据包捕获、理解协议握手和可视化主机间通信模式来学习网络协议
试试这些提示
我有一个 PCAP 文件,需要找到所有 HTTP 流量。向我展示如何在 Wireshark 中过滤 HTTP 请求和响应。
帮我追踪此数据包的 TCP 流,查看客户端和服务器之间的完整对话,包括所有传输的数据。
我怀疑有恶意软件 C2 通信。向我展示 Wireshark 过滤器以检测信标模式、异常 DNS 查询和与可疑 IP 的高频连接。
我们的 Web 应用程序运行缓慢。帮我分析数据包捕获以识别 TCP 重传、零窗口问题和高延迟问题。
最佳实践
- 始终在开始数据包捕获前使用捕获过滤器以限制数据收集并减少内存使用
- 增量应用显示过滤器以隔离特定流量,而不是从捕获中删除数据包
- 使用带注释的屏幕截图和导出的数据包解析记录分析结果以进行报告
- 在长时间分析会话期间定期保存捕获以防止 Wireshark 崩溃时数据丢失
避免
- 未经适当授权捕获网络流量违反隐私法和组织政策
- 从捕获中删除数据包而不是使用显示过滤器会永久丢失分析上下文
- 没有解密密钥分析加密的 TLS 流量会浪费时间,因为有效载荷内容无法访问
- 在未先过滤的情况下打开大型数 GB 的 PCAP 文件可能耗尽系统内存