18、网络流量分析与Wireshark工具使用指南

网络流量分析与Wireshark工具使用指南

1. 问题提出与分析挑战

在当今数字化时代，人类活动高度依赖数据网络，网络流量巨大且难以追踪。即使是中小型组织，每天也可能产生数百万个数据包。对于负责组织安全的人员，如安全运营中心（SOC）团队成员，当出现可疑活动信号时，会面临诸多挑战。

可疑活动可能表现为任务未增加但性能下降、无明确原因的系统异常错误，或来自技术或社交渠道的警报信息。虽然我们有各种网络和计算机安全工具，且它们采用了先进算法和自动规则来检测恶意软件、流量和日志模式，但这些工具由人类开发，而攻击者同样是人类，且可能更有动力和时间来设计攻击软件，因此我们对安全工具的信任存在一定限度。

当出现可疑迹象时，我们可能需要回答诸如“是否受到攻击”以及“可能的后果是什么”等问题。为了自信地回答这些问题，我们需要对流量进行快速智能分析。分析数百万个数据包需要清理良性流量，自动工具可部分完成此任务，但我们对网络和组织工作类型的特定知识至关重要，且难以被自动化工具完全捕捉。目前，仅依赖“专家系统”存在风险，明智的策略是结合决策支持工具并发挥自身专业知识。

2. 网络分析工具概述

2.1 常见网络分析工具对比

工具名称	特点	价格	适用场景
SolarWinds（深度数据包检测与分析工具）	知名公司SolarWinds的产品，是网络性能监控器（NPM）的一部分，功