执行摘要
协议级的网络威胁狩猎专注于发现网络流量中的异常模式,而非仅仅依赖终端 artifacts。关键的网络入侵指标(IOC)包括恶意域名和IP地址、TLS指纹(JA3/JA3S哈希值、证书指纹)、异常的服务器名称指示(SNI)或HTTP头、奇怪的用户代理字符串,以及数据泄露的迹象(例如,异常大的DNS查询或HTTP POST请求)。在命令与控制(C2)及数据泄露攻击中经常被滥用的协议——如DNS、HTTP/HTTPS/TLS,以及NetBIOS/NTP等传统协议——需要重点检查。狩猎人员同时使用签名匹配(IOC)和行为分析:例如,发现快速变更DNS(fast-flux DNS,即包含大量IP答案且TTL值很低)或DNS隧道(随机、高熵的子域名)。异常检测(例如,NXDOMAIN或ICMP回显请求的突然激增)是对IOC搜索的补充。通过Wireshark/tshark进行的详细数据包分析,可以为我们提供每一次字节交换的“地面实况”。在实践中,分析师会先制定假设(例如,“恶意软件正通过DNS泄露数据”),然后在数据包捕获文件或实时数据流中查询可疑迹象,这一过程通常由威胁情报来指引。这种协议级的可见性至关重要,因为它...FINISHED CSD0tFqvECLokhw9aBeRqu8GpO2AnQi0bR638wa2V+dYqxt2D/8fZ9M6l7tVbfXKjR9L7wfvV7ctITbqOfYtByKMazh9uMMmGpiLtNKRkBFFNjlGXksyYViEpxTZpIk0wV2nEr9RW7//6iAzo7dQ7w==
