前言

我們的系列主要專注於端點分析技術，所以網路鑑識只做了幾個簡單的 Lab，但從這幾個經典案例中，我們學到了基礎但關鍵的網路鑑識技能了。今天就來系統性整理這些實用技巧，並補充一些實戰沒用到但很實用的 Wireshark 基礎操作。

Network forensics 技術總結

Wireshark

流量篩選

http -- 篩選 HTTP 流量
http.response.code == 200/404 -- 篩選 HTTP 回應代碼
http.request.method == GET /POST -- 篩選 HTTP 請求方法
ip.addr == X.X.X.X -- 篩選指定IP 位址
and -- 連接兩個條件，篩選同時符合兩個條件的封包

分析技巧

Follow HTTP/TCP Stream -- 顯示完整的封包串流
Export Objects -- 從封包中提取檔案
Apply as Column -- 將封包詳細資訊中的指定欄位新增為顯示欄位
Statistics -> Conversations -- 顯示端點之間的通訊統計

Wireshark 額外介紹

流量篩選

ip.src == X.X.X.X -- 篩選來源 IP
ip.dst == X.X.X.X -- 篩選目的 IP
or -- 連接兩個條件，篩選符合任一個條件的封包
frame.time >= "Month Day, Year XX:XX:XX" -- 篩選時間範圍
eth.addr == XX:XX:XX:XX:XX:XX -- 篩選 MAC 位址
tcp.port >= XXX – 埠號範圍篩選

分析技巧

Statistics -> Endpoints -- 顯示每個端點的總流量
Statistics -> Protocol Hierarchy -- 顯示流量中所有協定的統計分布

封包顏色(預設)

淺紫色：一般 TCP 流量
淺藍色：UDP 協定封包
淺綠色：HTTP 網頁流量
淺黃色：Windows 特定流量，SMB、NetBIOS 等 Windows 協定
深灰色：TCP SYN/FIN/ACK，TCP 連線控制封包
黑色：錯誤封包，包含錯誤的封包
紅色：通常表示有問題的封包（重傳、錯誤等）

總結

今天不只總結了我們前幾天網路鑑識所用到的技巧，還介紹了一些 Wireshark 中實用的功能，完結了 Network Forensics 系列。雖然網路鑑識在我們的系列中篇幅不多，但這幾個經典案例已經讓我們掌握了 Wireshark 的核心功能。
經過這麼多天的分析練習，相信大家都已經具備扎實的數位鑑識分析技術，明天，也是最後一天，要來教大家如何將這 29 天累積的技術發現，撰寫成數位鑑識報告。