Wireshark for Network Analysis Troubleshooting and Security Monitoring

หลักสูตรฝึกอบรมภาคปฏิบัติ 2 วันนี้ได้รับการออกแบบมาเพื่อช่วยให้วิศวกรเครือข่าย ผู้ดูแลระบบ และผู้เชี่ยวชาญด้านความปลอดภัยใช้ประโยชน์จาก Wireshark ซึ่งเป็นโปรแกรมวิเคราะห์โปรโตคอลเครือข่ายชั้นนำในวงการ เพื่อดำเนินการวิเคราะห์เครือข่าย ระบุและแก้ไขปัญหาเครือข่าย และตรวจสอบเหตุการณ์ด้านความปลอดภัยได้อย่างมีประสิทธิภาพ หลักสูตรนี้ครอบคลุมถึงคุณสมบัติพื้นฐานและขั้นสูงของ Wireshark โดยจะนำผู้เข้าอบรมเข้าสู่โลกของการใช้งานจริง กับกรณีตัวอย่างในรูปแบบของ Lab ภาคปฎิบัติมากกว่า 50 Labs ทดสอบ เพื่อเพิ่มประสิทธิภาพการทำงาน การตรวจสอบเครือข่าย และการตรวจสอบความปลอดภัยบนเครือข่ายและเครื่องคอมพิวเตอร์

ภาคปฎิบัติเน้นการจำลองสถานการณ์จริง จากอุปกรณ์เครือข่าย Server และเครื่องมืออื่นๆในห้องอบรม  

เมื่อสิ้นสุดหลักสูตรนี้ ผู้เข้าอบรมจะมีทักษะที่จำเป็นในการใช้ Wireshark เพื่อตรวจสอบและแก้ไขปัญหาเครือข่าย ตรวจจับภัยคุกคามด้านความปลอดภัยที่อาจเกิดขึ้น และรับข้อมูลเชิงลึกเกี่ยวกับประสิทธิภาพของเครือข่ายและสามารถแก้ไขปัญหาของเครือข่ายได้มากยิ่งขึ้น

วัตถุประสงค์ของหลักสูตร : เมื่อสิ้นสุดหลักสูตรนี้ ผู้เข้าร่วมจะสามารถ

  • เข้าใจคุณสมบัติพื้นฐานของ Wireshark และการประยุกต์ใช้ในการวิเคราะห์เครือข่าย
  • วิเคราะห์ปริมาณการรับส่งข้อมูลบนเครือข่ายเพื่อระบุคอขวดของประสิทธิภาพและแก้ไขปัญหาเครือข่าย
  • ใช้ Wireshark เพื่อตรวจสอบความปลอดภัยและตรวจจับความผิดปกติของเครือข่ายอย่างมีประสิทธิภาพ
  • ใช้ Wireshark ร่วมกับเครื่องมืออื่น จาก Solarwind Respond Time Viewer for Wireshark เพื่อให้การอ่านวิเคราะห์ได้อย่างง่ายดาย
  • จับภาพและวิเคราะห์แพ็กเก็ตเพื่อระบุปัญหาของโปรโตคอล ค่าความหน่วง และความแออัดของเครือข่าย
  • ดำเนินการนิติวิทยาศาสตร์เครือข่ายขั้นพื้นฐานเพื่อตรวจสอบกิจกรรมที่น่าสงสัย
  • ใช้ Filter  สถิติ และกราฟเพื่อลดความซับซ้อนของการวิเคราะห์ปริมาณการรับส่งข้อมูลบนเครือข่าย
  • สร้างรายงานที่ครอบคลุมโดยอิงจากการจับและวิเคราะห์แพ็กเก็ต

ผู้ที่เหมาะจะเข้ารับการอบรม

  • ผู้ดูแลระบบเครือข่ายและวิศวกรที่รับผิดชอบในการบำรุงรักษาและปรับปรุงเครือข่ายให้เหมาะสม
  • ผู้เชี่ยวชาญด้านไอทีที่มีหน้าที่ระบุและแก้ไขปัญหาด้านประสิทธิภาพของเครือข่าย
  • นักวิเคราะห์ความปลอดภัยและสมาชิก SOC หรือ Blue Team ที่เกี่ยวข้องกับการตรวจสอบและรักษาความปลอดภัยโครงสร้างพื้นฐานเครือข่าย
  • ผู้ดูแลระบบที่ต้องการพัฒนาทักษะการแก้ไขปัญหาเครือข่าย
  • ผู้ทดสอบการเจาะระบบและผู้ตอบสนองต่อเหตุการณ์ที่ต้องการทำความเข้าใจการวิเคราะห์ปริมาณการรับส่งข้อมูลบนเครือข่ายสำหรับการสืบสวนด้านความปลอดภัย

Course Outline

1. Overview of Network Protocol Analysis

  • Introduction to packet-based network analysis.
  • Understanding basic network concepts: TCP/IP model, protocols, and packet structures.

2. Getting Started with Wireshark

  • Installation and setup of Wireshark on various platforms.
  • Navigating the Wireshark interface: capture windows, statistics, and main features.
  • Capturing packets: selecting interfaces, setting capture options, and live traffic capture.
  • Understanding the structure of packet captures (pcap files).

3. Basic Packet Analysis

  • Introduction to packet dissection and viewing packet details.
  • Interpreting Ethernet, ARP, IP, TCP/UDP, and DNS packets.
  • Using Wireshark to examine three-way handshakes, packet retransmissions, and fragmentation.
  • Practical exercise: Analyzing a simple HTTP session and DNS queries.

4. Filtering Traffic for Analysis

  • Applying display filters to isolate specific protocols or traffic patterns.
  • Using capture filters to minimize irrelevant data.
  • Practical examples: filtering by IP, TCP ports, protocols, and more.
  • Applying filters to capture specific traffic types, such as ICMP, HTTP, and DHCP.

5. Sniffing on 802.11 Wireless Networks

  • 802.11 wireless network architecture
  • 802.11 packet structure
  • Difference between monitor mode and promiscuous mode
  • WLAN capture setup
    • Enabling monitor mode in Linux
    • Enabling monitor mode in Windows
  • Lab 1: Sniffing WLAN Network Traffic
  • Wi-Fi sniffer: WPA/WPA2
  • Lab 2: 802.11 Client Authentication Process
  • 802.11 Sniffer Capture Analysis: Multicast
  • Lab 3: 802.11 Sniffer Capture Analysis: Web authentication

6. Analyzing Network Traffic Based on Protocols

  • Lab 4:  IPv4 protocol analysis using Wireshark
  • Lab 5: IPv6 protocol analysis using Wireshark
  • Lab 6: ARP : ARP protocol analysis using Wireshark
  • Lab 7: ICMP : ICMP protocol analysis using Wireshark
  • Lab 8: TCP : TCP protocol analysis using Wireshark
  • Lab 9: UDP : UDP protocol analysis using Wireshark
  • Lab10 : HTTP : HTTP protocol analysis using Wireshark
  • Lab 11: FTP : FTP protocol analysis using Wireshark
  • Lab 12: SMTP : SMTP protocol analysis using Wireshark
  • DHCPv6 : DHCPv6 protocol analysis using Wireshark
  • Lab 13: DNS : DNS protocol analysis using Wireshark

7. Analyzing and Decrypting SSL/TLS Traffic

  • SSL/TLS architecture and components
  • The SSL/TLS Handshake
  • TLS versus SSL Handshakes
  • The TLS Handshake process
  • What are the steps of a TLS handshake
  • What is different about a handshake in TLS 1.3
  • Key exchange: A must for secure File Transfers
  • Lab 14: SSL key exchange
  • Popular key exchange algorithms
  • Lab 15: Decrypting SSL/TLS traffic using Wireshark

8. Analyzing Enterprise Applications

  • Identifying the service running over the network
  • Analyzing the database traffic
  • Lab 16: Analyzing SNMP traffic

9. Detecting Network Attacks with Wireshark

  • Detecting suspicious network traffic patterns
  • Understanding suspicious network traffic patterns
  • Lab 17: Detecting suspicious network traffic patterns using Wireshark
  • Lab 18: Analyzing patterns and signatures of Ping sweeps
  • Lab 19: Analyzing patterns and signatures of ARP sweeps
  • Lab 20: Analyzing patterns and signatures of SYN flood attacks
  • Lab 21: Detecting port scanning
  • Understanding port scanning
  • Lab 22: Detecting port scanning using Wireshark
  • Lab 23: Analyzing patterns and signatures of TCP full connect scans
  • Lab 24: Detecting Denial of Service and Distributed Denial of Service attacks
  • Understanding DoS and DDoS attacks
  • Lab 25: Detecting DoS and DDoS attacks using Wireshark
  • Analyzing patterns and signatures of DoS attacks
  • Lab 26: Detecting Brute-force and application attacks
  • Lab 27: Detecting Brute-force and application attacks using Wireshark
  • Lab 28: Detecting ARP poisoning using Wireshark
  • Detecting session hijacking
  • Lab 29: Detecting session hijacking using Wireshark
  • Detecting honeypot traffic
  • Lab 30: Detecting honeypot traffic with Wireshark
  • Lab 31: Detecting the Heartbleed bug using Wireshark

10. Intrusion Detection with Wireshark

  • Recognizing traffic patterns associated with common network attacks.
  • Signature-based detection: identifying known attack patterns in traffic.
  • Creating custom filters for detecting anomalies, such as strange traffic spikes, unauthorized protocols, or IP spoofing.
  • Lab 32: Detecting and mitigating a MITM attack and DNS spoofing scenario.

11. Network Forensics and Incident Response

  • Lab 33: Conducting basic network forensics to investigate security incidents.
  • Reconstructing network events based on packet captures (e.g., tracing data exfiltration or command and control traffic).
  • Lab 34: Extracting files from captured traffic (e.g., HTTP, FTP, or email attachments).
  • Lab 35: Investigating malware-infected hosts and suspicious network behaviors.
  • Performing a forensic investigation on a captured file to trace a suspicious network event.

12. Troubleshooting and Performance Analysis Using Wireshark

  • Advanced Packet Dissection and Analysis
  • Detailed breakdown of TCP, UDP, and ICMP packet headers.
  • Lab 36: Analyzing TCP performance issues: slow connections, timeouts, and retransmissions.
  • Lab 37: Analyzing packet flows and reconstructing complete conversations between hosts.
  • Lab 38: Practical exercise: Investigating a TCP connection failure scenario.
  • Network Troubleshooting with Wireshark
  • Lab 39: Using Wireshark for latency diagnosis and performance bottleneck identification.
  • Lab 40: Detecting issues like packet loss, high round-trip times (RTT), and network congestion.
  • Lab 42: Identifying misconfigured devices, routing loops, and broadcast storms.
  • Lab 43: Troubleshooting connectivity issues
  • Getting the workstation IP configuration
  • Lab 44: Connecting to the application services
  • Lab 45: Troubleshooting functional issues
  • Performance analysis methodology
  • Lab 46: Troubleshooting TCP protocol issues
  • Lab 47: Troubleshooting slow application response time
  • Lab 48: Using Packet captures to analyze web application performance
  • Lab 49: Finding slow application performance with HTTP flows
  • Lab 50: Examining ICMP Echo Requests for Connectivity Testing and Path Analysis
  • Lab 51: Detecting Unauthorized Data Exfiltration via Suspicious Protocols
  • Lab 52: End-to-End Network Performance Analysis Across Multiple Segments