Но что нужно для лабораторной работы по анализу сетевого трафика? Не только инструментарий, но и сам сетевой трафик. Очевидно, что записать его не составляет большого труда, но где гарантия, что в нем есть соответствующие следы несанкционированной активности? Есть ли где-нибудь уже записанные фрагменты сетевого трафика с вредоносным кодом, которые можно было бы скачать и использовать в рамках CTF, лабораторок в ВУЗах или собственных исследований?
Да, ресурсы, содержащие записанные pcap-файлы, существуют и их немало. Например, на сайте Wireshark выложено большое количество семплов различных протоколов (около сотни), в том числе и с вредоносным содержанием. Но именно «вредоносных» семплов на Wireshark не так уж и много, в отличие от блога Contagio, где выложена целая коллекция семплов вредоносного кода в формате pcap для проведения анализа (там выложены и другие семплы — не только pcap).
Однако наибольшая из известных мне коллекций pcap находится на сайте Netresec, компании, специализирующейся на мониторинге и проведении расследований сетевых событий. Netresec собрал у себя ссылки на pcap с различных CTF (например, с DEFCON), киберучений (например, MACCDC), тренингов, челенджей и просто Интернет-ресурсов, эпизодически выкладывающих различные pcapы, которые можно скачать и использовать для своих нужд.
Рекомендую еще Traffic Analysis Exercise http://www.malware-traffic-analysis.net/2016/04/16/index.html. Да и сам сайт в целом очень полезный http://www.malware-traffic-analysis.net/index.html