协议分析

detecting-modbus-protocol-anomalies 可帮助检测 OT 和 ICS 网络中的可疑 Modbus/TCP 与 Modbus RTU 行为，包括无效功能码、越界寄存器访问、异常轮询时序、未经授权的写入以及格式异常的数据帧。适用于安全审计和基于证据的初步分诊。

detecting-modbus-command-injection-attacks 可帮助安全分析师识别 ICS 和 SCADA 环境中可疑的 Modbus TCP/RTU 写入行为、异常功能码、畸形报文以及相对基线的偏离。适用于事件分诊、OT 监控和安全审计，尤其是在你需要面向 Modbus 的检测指引，而不是通用异常提示时。

analyzing-network-traffic-for-incidents 帮助事件响应人员分析 PCAP、流日志和数据包捕获内容，以确认 C2、横向移动、数据外传和利用尝试。专为 Incident Response 场景下的 analyzing-network-traffic-for-incidents 设计，结合 Wireshark、Zeek 和类 NetFlow 调查方法使用。

detecting-dnp3-protocol-anomalies 可帮助分析 SCADA 环境中的 DNP3 流量，识别未授权控制命令、协议违规、重启尝试以及偏离基线行为的异常。适用于安全审计、IDS 调优，以及审查 Zeek 日志或抓包数据时使用这一 detecting-dnp3-protocol-anomalies 技能。

detecting-attacks-on-scada-systems 是一项面向网络安全的技能，用于发现 SCADA 以及 OT/ICS 环境中的攻击。它可帮助分析工业协议滥用、未授权 PLC 指令、HMI 被入侵、历史数据（historian）篡改和拒绝服务等问题，并为事件响应和检测验证提供实用指导。

configuring-suricata-for-network-monitoring 技能可帮助部署和调优 Suricata，用于 IDS/IPS 监控、EVE JSON 日志记录、规则管理以及面向 SIEM 的输出。它适合用于 Security Audit 流程中的 configuring-suricata-for-network-monitoring 场景，尤其是在你需要可落地的部署、验证和降低误报时。

building-c2-infrastructure-with-sliver-framework 可帮助经授权的红队和安全审计工作规划、安装并使用基于 Sliver 的 C2 基础设施，涵盖 redirectors、HTTPS listeners、operator access 和韧性检查。它包含实用指南、workflow 文件以及用于部署和验证的仓库脚本。

analyzing-network-traffic-of-malware 可帮助你分析来自沙箱运行或事件响应的 PCAP 和遥测数据，定位 C2、数据外传、载荷下载、DNS 隧道和检测思路。它是面向安全审计和恶意软件初筛的实用 analyzing-network-traffic-of-malware 指南。

analyzing-command-and-control-communication 可用于分析恶意软件 C2 流量，识别 beaconing、解码命令、梳理基础设施，并借助基于 PCAP 的证据和实用工作流指导，支持 Security Audit、威胁狩猎和恶意软件初步分流。