{"id":"28c720f6-261c-4e77-9c9b-cab71874f819","shortId":"5v8KtB","kind":"skill","title":"coff0xc-network-protocol-security","tagline":"Use when / 当用户请求: 全面网络协议、TLS/DNS/TCP/UDP/QUIC/HTTP、无线/RF/蓝牙、协议日志分析、通信安全和形式化协议建模工作流。触发：network protocol、TLS、DNS、HTTP/2、HTTP/3、QUIC、TCP、UDP、WiFi、Bluetooth、BLE、RF、packet、pcap、Wireshark、协议分析、安全通信、ProVerif、Mermaid protocol、抓包、握手、解析异常、加密协商、异常字段、通信流程。 Covered source aliases / 来源别名: netw","description":"# coff0xc-network-protocol-security\n\n<!-- skill-id: cs-nps-2e7f6b41 -->\n\n## 快速规则（日常任务先读这里）\n> **[证据先行]** 先定位 pcap、日志、RFC/规范、握手、状态机、字段和异常样本。\n> **[协议门禁]** 结论要说明消息序列、字段语义、加密/认证边界、降级/重放/解析风险。\n> **[验证闭环]** 给可复查过滤器、字段表、复现条件和防护/检测建议。\n> **[硬边界]** 主动探测、无线/RF 操作、第三方网络、生产流量注入和模糊测试先确认。\n\n普通协议/流量分析按本节先推进；只有形式化建模、主动测试或跨系统演练时再展开完整工作流。\n\n## 能力定位\n面向网络协议、TLS/DNS/QUIC/HTTP、无线通信、抓包和形式化建模的协议安全分析能力。它把通信证据转成流程图、风险点和验证建议。\n\n## 能交付什么\n- 协议流程、握手和状态机说明\n- pcap/日志字段分析、异常字段和安全影响\n- TLS/PKI/DNS/HTTP/QUIC/无线风险清单\n- Mermaid/ProVerif/Tamarin 方向的建模建议\n\n## 可以接收什么输入\n- pcap、Wireshark 导出、协议日志、报文字段\n- 协议规范、实现代码、握手说明、证书链\n- 无线/BLE/RF 捕获摘要或设备通信流程\n\n## 放心使用的边界\n- 可做本地抓包和授权通信分析\n- 不提供未授权监听、入侵、绕过或干扰第三方网络步骤\n- 主动探测、无线发射、生产网络测试必须先确认范围\n- 安全类能力默认只用于授权、防御、检测、加固、验证和报告；不提供未授权攻击、凭据窃取、持久化、规避检测、C2、钓鱼收集、数据外传或破坏性步骤。\n\n## 为什么可以放心\n- 把报文字段、代码和规范分开标注证据\n- 优先说明状态机和信任边界\n- 形式化建模只表达可验证协议性质，不夸大结论\n\n## 典型使用方式\n```text\n使用 coff0xc-network-protocol-security 分析这个 pcap 里的 TLS 握手和异常字段。\n使用 coff0xc-network-protocol-security 把这个协议流程画成 Mermaid 并指出安全边界。\nUse coff0xc-network-protocol-security to review DNS/QUIC behavior and propose verification checks.\n```\n\n\n## 目标\n分析通信协议和网络遥测中的安全属性、状态机、认证、加密和配置风险，默认用于授权和防御场景。\n\n## 适用场景\n- 分析协议设计、抓包、日志、TLS/DNS/HTTP/QUIC 配置、无线/BLE/RF 合规测试和通信安全。\n- 把协议描述转成时序图、状态机、威胁模型或形式化验证输入。\n- 诊断连接失败、证书错误、降级风险、重放风险和网络检测规则。\n\n## 触发强化\n- 自动触发主要依赖本文件 frontmatter 的 `description`；本 skill 已把中文、英文、工具名、来源别名和常见缩写写入 `description`。\n- 如果没有自动触发，手动写：`使用 coff0xc-network-protocol-security ...`。\n- 如果用户只写了宽泛主题，可先用 `coff0xc-skill-router` 路由到本 skill。\n\n## 不适用场景\n- 不提供未授权无线攻击、干扰、绕过、捕获凭据或第三方网络入侵步骤。\n- 不对生产网络执行主动扫描、压测或变更，除非确认授权。\n- 不把加密算法名称当作安全结论，必须看配置和协议上下文。\n\n## 执行原则\n- 先读取项目文件、配置、调用点、现有风格和可用工具，再下结论或改文件。\n- 把用户目标转成可验证的完成标准；不确定但低风险的细节记录为假设并继续推进。\n- 涉及当前事实、版本、CVE、云服务、GitHub 状态、价格、外部 API 或论文时，查真实来源并标注证据等级。\n- 涉及代码改动时保持最小正确改动，优先使用现有框架、脚本、测试和本地工具。\n- 只有真实运行过的命令、测试、构建、扫描或人工检查才能写成已验证。\n- 涉及删除、远程写入、生产、凭据、付费、push、PR/Issue、CI/CD、权限或基础设施变更时，先拿到明确授权。\n\n## 安全边界\n- 只处理自有资产、明确授权资产、实验室、CTF、靶场、日志、配置、样本、代码审计、防御建设和报告写作。\n- 真实第三方目标上不提供漏洞利用、凭证获取、持久化、规避检测、C2、钓鱼收集、数据外传、破坏或未授权访问步骤。\n- 高风险请求默认转为防御输出：授权边界、风险解释、检测思路、日志查询、规则草案、加固方案、验证清单和报告结构。\n- 主动联网扫描、云账号检查、目录/租户查询或生产环境动作前，确认目标范围、速率、时间窗口、禁止动作和回滚方式。\n- 发现密钥、个人信息、样本敏感数据或客户数据时，只报告类型、位置和处置建议，不复述完整秘密值。\n\n## 能力矩阵\n| 能力域 | 覆盖范围 | 执行要点 |\n| --- | --- | --- |\n| 协议设计 | 消息流、状态机、认证、密钥协商、重放、降级、错误处理 | 可画图和验证。 |\n| TLS/PKI | 证书链、SAN、过期、cipher、mTLS、OCSP、pinning、HSTS | 配置有证据。 |\n| DNS | 解析链、DNSSEC、DoH/DoT、缓存、split horizon、zone transfer 风险 | 日志和配置结合。 |\n| HTTP/QUIC | headers、cookies、CORS、cache、HTTP/2/3、ALPN、proxy | 应用协议边界。 |\n| Packet 分析 | pcap、Wireshark、flow、latency、重传、异常序列 | 网络事实可复查。 |\n| 无线/BLE/RF | 频段、配对、认证、加密、设备暴露、合规测试 | 授权实验室优先。 |\n| 形式化 | Mermaid sequence、ProVerif/Tamarin 思路、攻击者模型 | 安全性质明确。 |\n\n## 子域路由\n| 来源 skill | 并入后的处理方式 |\n| --- | --- |\n| network-protocol | 有线/互联网协议、TLS/DNS/HTTP/QUIC/pcap 分析。 |\n| wireless-security | WiFi/BLE/RF 合规和防御分析。 |\n\n## 工作流\n| 阶段 | 动作 | 完成标准 |\n| --- | --- | --- |\n| 输入确认 | 确认 pcap、日志、配置、协议文档、设备、授权和时间窗。 | 数据合法可分析。 |\n| 协议建模 | 列参与方、消息、状态、密钥、信任边界和攻击者能力。 | 安全属性明确。 |\n| 证据分析 | 从抓包、日志、配置、证书和源码提取事实。 | 不是凭经验猜。 |\n| 风险判断 | 检查认证、加密、完整性、重放、降级、隐私和错误处理。 | 发现有上下文。 |\n| 修复检测 | 给配置、协议变更、日志字段、规则和复测方法。 | 能执行和验证。 |\n| 图示/报告 | 输出时序图、状态机、证据表和剩余风险。 | 便于沟通。 |\n\n## 证据等级\n- 已验证：本地命令、测试、构建、源码、配置、日志、官方资料或可复现数据支持。\n- 高可信：多个可靠来源一致，但当前环境没有完整复现。\n- 推断：基于已验证事实的合理判断，需要后续验证。\n- 未验证：尚未确认，不能作为最终结论。\n- 未知：资料不足，需要补充输入或授权。\n\n## 硬门禁\n- 无线测试、抓包、主动扫描或连接设备前确认授权和法规边界。\n- 生产证书、DNS、路由、WAF/proxy 配置修改前确认。\n- 形式化结论要说明攻击者模型和未建模假设。\n\n## 验证清单\n- TLS：证书链、cipher、协议版本、握手日志或测试命令。\n- DNS：权威/递归路径、记录、TTL、DNSSEC 状态。\n- pcap：过滤表达式、包号、时间戳和字段。\n- 协议模型：安全性质、参与方和反例/无反例条件。\n\n## 反模式\n- 只看端口开放就下安全结论。\n- 没有时间窗和包号的抓包分析。\n- 把实验室无线方法用于真实第三方环境。\n- 形式化模型漏掉关键参与方却给强结论。\n\n## 合并来源\n- `network-protocol`\n- `wireless-security`\n\n## 本机相近 Skill\n- `crypto-protocol-diagram`\n- `mermaid-to-proverif`\n\n## 输出合同\n```markdown\n完成：\n- ...\n\n证据：\n- [已验证/高可信/推断/未验证/未知] ...\n\n行动：\n- ...\n\n验证：\n- ...\n\n剩余风险：\n- ...\n\n下一步：\n- ...\n```","tags":["coff0xc","network","protocol","security","coffee","skill","agent-skills","ai-agents","appsec","codex","defensive-security","devsecops"],"capabilities":["skill","source-coff0xc","skill-coff0xc-network-protocol-security","topic-agent-skills","topic-ai-agents","topic-appsec","topic-codex","topic-defensive-security","topic-devsecops","topic-office-docs","topic-prompt-engineering","topic-rag","topic-security-tools","topic-skills"],"categories":["coffee-skill"],"synonyms":[],"warnings":[],"endpointUrl":"https://skills.sh/Coff0xc/coffee-skill/coff0xc-network-protocol-security","protocol":"skill","transport":"skills-sh","auth":{"type":"none","details":{"cli":"npx skills add Coff0xc/coffee-skill","source_repo":"https://github.com/Coff0xc/coffee-skill","install_from":"skills.sh"}},"qualityScore":"0.455","qualityRationale":"deterministic score 0.46 from registry signals: · indexed on github topic:agent-skills · 11 github stars · SKILL.md body (3,770 chars)","verified":false,"liveness":"unknown","lastLivenessCheck":null,"agentReviews":{"count":0,"score_avg":null,"cost_usd_avg":null,"success_rate":null,"latency_p50_ms":null,"narrative_summary":null,"summary_updated_at":null},"enrichmentModel":"deterministic:skill-github:v1","enrichmentVersion":1,"enrichedAt":"2026-05-18T19:07:30.798Z","embedding":null,"createdAt":"2026-05-18T13:12:44.362Z","updatedAt":"2026-05-18T19:07:30.798Z","lastSeenAt":"2026-05-18T19:07:30.798Z","tsv":"'/ble/rf':117,194,372 '/rf':12,81 'alias':46 'alpn':359 'api':257 'behavior':176 'ble':28 'bluetooth':27 'c2':136,293 'cach':357 'check':180 'ci/cd':275 'cipher':336,483 'coff0xc':2,50,149,160,169,219,226 'coff0xc-network-protocol-security':1,49,148,159,168,218 'coff0xc-skill-router':225 'cooki':355 'cor':356 'cover':44 'crypto':516 'crypto-protocol-diagram':515 'ctf':282 'cve':251 'descript':207,214 'diagram':518 'dns':20,342,475,486 'dns/quic':175 'dnssec':344,491 'doh/dot':345 'flow':366 'frontmatt':205 'github':253 'header':354 'horizon':348 'hsts':340 'http/2':21 'http/2/3':358 'http/3':22 'http/quic':353 'latenc':367 'markdown':524 'mermaid':36,165,381,520 'mermaid-to-proverif':519 'mermaid/proverif/tamarin':104 'mtls':337 'netw':48 'network':3,17,51,150,161,170,220,392,508 'network-protocol':391,507 'ocsp':338 'packet':30,362 'pcap':31,58,99,107,154,364,409,493 'pin':339 'pr/issue':274 'propos':178 'protocol':4,18,37,52,151,162,171,221,393,509,517 'proverif':35,522 'proverif/tamarin':383 'proxi':360 'push':273 'quic':23 'review':174 'rf':29 'rfc':60 'router':228 'san':334 'secur':5,53,152,163,172,222,400,512 'sequenc':382 'skill':209,227,230,389,514 'skill-coff0xc-network-protocol-security' 'sourc':45 'source-coff0xc' 'split':347 'tcp':24 'text':146 'tls':19,156,481 'tls/dns/http/quic':191 'tls/dns/http/quic/pcap':396 'tls/dns/quic/http':91 'tls/dns/tcp/udp/quic/http':10 'tls/pki':332 'tls/pki/dns/http/quic':102 'topic-agent-skills' 'topic-ai-agents' 'topic-appsec' 'topic-codex' 'topic-defensive-security' 'topic-devsecops' 'topic-office-docs' 'topic-prompt-engineering' 'topic-rag' 'topic-security-tools' 'topic-skills' 'transfer':350 'ttl':490 'udp':25 'use':6,167 'verif':179 'waf/proxy':477 'wifi':26 'wifi/ble/rf':401 'wireless':399,511 'wireless-secur':398,510 'wireshark':32,108,365 'zone':349 '下一步':535 '不复述完整秘密值':318 '不夸大结论':144 '不对生产网络执行主动扫描':236 '不把加密算法名称当作安全结论':239 '不提供未授权攻击':132 '不提供未授权无线攻击':232 '不提供未授权监听':121 '不是凭经验猜':428 '不确定但低风险的细节记录为假设并继续推进':248 '不能作为最终结论':466 '不适用场景':231 '个人信息':314 '为什么可以放心':139 '主动扫描或连接设备前确认授权和法规边界':473 '主动探测':79,124 '主动测试或跨系统演练时再展开完整工作流':88 '主动联网扫描':305 '云服务':252 '云账号检查':306 '互联网协议':395 '从抓包':424 '付费':272 '代码和规范分开标注证据':141 '代码审计':287 '价格':255 '优先使用现有框架':261 '优先说明状态机和信任边界':142 '但当前环境没有完整复现':460 '位置和处置建议':317 '使用':147,158,217 '便于沟通':448 '信任边界和攻击者能力':421 '修复检测':437 '先定位':57 '先拿到明确授权':277 '先读取项目文件':242 '入侵':122 '全面网络协议':9 '典型使用方式':145 '再下结论或改文件':246 '凭据':271 '凭据窃取':133 '凭证获取':290 '分析':363,397 '分析协议设计':188 '分析这个':153 '分析通信协议和网络遥测中的安全属性':182 '列参与方':417 '剩余风险':534 '加固':130 '加固方案':303 '加密':68,376,431 '加密协商':41 '加密和配置风险':185 '动作':405 '包号':495 '协议分析':33 '协议变更':439 '协议建模':416 '协议文档':412 '协议日志':110 '协议日志分析':14 '协议模型':497 '协议流程':97 '协议版本':484 '协议规范':112 '协议设计':323 '协议门禁':65 '压测或变更':237 '参与方和反例':499 '反模式':501 '发现密钥':313 '发现有上下文':436 '只处理自有资产':279 '只报告类型':316 '只有形式化建模':87 '只有真实运行过的命令':264 '只看端口开放就下安全结论':502 '可以接收什么输入':106 '可做本地抓包和授权通信分析':120 '可先用':224 '可画图和验证':331 '合并来源':506 '合规和防御分析':402 '合规测试':378 '合规测试和通信安全':195 '图示':443 '基于已验证事实的合理判断':462 '复现条件和防护':76 '外部':256 '多个可靠来源一致':459 '如果没有自动触发':215 '如果用户只写了宽泛主题':223 '威胁模型或形式化验证输入':198 '子域路由':387 '字段和异常样本':64 '字段表':75 '字段语义':67 '它把通信证据转成流程图':94 '安全属性明确':422 '安全性质':498 '安全性质明确':386 '安全类能力默认只用于授权':127 '安全边界':278 '安全通信':34 '完成':525 '完成标准':406 '完整性':432 '官方资料或可复现数据支持':457 '实现代码':113 '实验室':281 '密钥':420 '密钥协商':327 '导出':109 '尚未确认':465 '工作流':403 '工具名':212 '已把中文':210 '已验证':450,527 '干扰':233 '并入后的处理方式':390 '并指出安全边界':166 '应用协议边界':361 '异常字段':42 '异常字段和安全影响':101 '异常序列':369 '当用户请求':8 '形式化':380 '形式化建模只表达可验证协议性质':143 '形式化模型漏掉关键参与方却给强结论':505 '形式化结论要说明攻击者模型和未建模假设':479 '必须看配置和协议上下文':240 '快速规则':54 '思路':384 '或论文时':258 '手动写':216 '执行原则':241 '执行要点':322 '扫描或人工检查才能写成已验证':267 '把协议描述转成时序图':196 '把实验室无线方法用于真实第三方环境':504 '把报文字段':140 '把用户目标转成可验证的完成标准':247 '把这个协议流程画成':164 '抓包':38,189,472 '抓包和形式化建模的协议安全分析能力':93 '报告':444 '报文字段':111 '持久化':134,291 '捕获凭据或第三方网络入侵步骤':235 '捕获摘要或设备通信流程':118 '授权和时间窗':414 '授权实验室优先':379 '授权边界':298 '推断':461,529 '握手':39,62 '握手和异常字段':157 '握手和状态机说明':98 '握手日志或测试命令':485 '握手说明':114 '操作':82 '攻击者模型':385 '放心使用的边界':119 '数据合法可分析':415 '数据外传':295 '数据外传或破坏性步骤':138 '方向的建模建议':105 '无反例条件':500 '无线':11,80,116,193,371 '无线发射':125 '无线测试':471 '无线通信':92 '无线风险清单':103 '日常任务先读这里':55 '日志':59,190,284,410,425,456 '日志和配置结合':352 '日志字段':440 '日志字段分析':100 '日志查询':301 '时间戳和字段':496 '时间窗口':311 '明确授权资产':280 '普通协议':85 '有线':394 '未知':467,531 '未验证':464,530 '本':208 '本地命令':451 '本机相近':513 '权威':487 '权限或基础设施变更时':276 '来源':388 '来源别名':47 '来源别名和常见缩写写入':213 '构建':266,453 '查真实来源并标注证据等级':259 '样本':286 '样本敏感数据或客户数据时':315 '检查认证':430 '检测':129 '检测建议':77 '检测思路':300 '没有时间窗和包号的抓包分析':503 '流量分析按本节先推进':86 '测试':265,452 '测试和本地工具':263 '消息':418 '消息流':324 '涉及代码改动时保持最小正确改动':260 '涉及删除':268 '涉及当前事实':249 '源码':454 '版本':250 '状态':254,419,492 '状态机':63,183,197,325,446 '现有风格和可用工具':245 '生产':270 '生产流量注入和模糊测试先确认':84 '生产网络测试必须先确认范围':126 '生产证书':474 '的':206 '目录':307 '目标':181 '真实第三方目标上不提供漏洞利用':289 '破坏或未授权访问步骤':296 '硬边界':78 '硬门禁':470 '确认':408 '确认目标范围':309 '禁止动作和回滚方式':312 '租户查询或生产环境动作前':308 '第三方网络':83 '结论要说明消息序列':66 '绕过':234 '绕过或干扰第三方网络步骤':123 '给可复查过滤器':74 '给配置':438 '缓存':346 '网络事实可复查':370 '能交付什么':96 '能力域':320 '能力定位':89 '能力矩阵':319 '能执行和验证':442 '脚本':262 '自动触发主要依赖本文件':204 '英文':211 '蓝牙':13 '行动':532 '覆盖范围':321 '规则和复测方法':441 '规则草案':302 '规范':61 '规避检测':135,292 '解析异常':40 '解析链':343 '解析风险':72 '触发':16 '触发强化':203 '认证':184,326,375 '认证边界':69 '记录':489 '设备':413 '设备暴露':377 '证书和源码提取事实':427 '证书链':115,333,482 '证书错误':200 '证据':526 '证据先行':56 '证据分析':423 '证据等级':449 '证据表和剩余风险':447 '诊断连接失败':199 '调用点':244 '资料不足':468 '路由':476 '路由到本':229 '输入确认':407 '输出合同':523 '输出时序图':445 '过期':335 '过滤表达式':494 '远程写入':269 '适用场景':187 '递归路径':488 '通信安全和形式化协议建模工作流':15 '通信流程':43 '速率':310 '配对':374 '配置':192,243,285,411,426,455 '配置修改前确认':478 '配置有证据':341 '里的':155 '重传':368 '重放':71,328,433 '重放风险和网络检测规则':202 '钓鱼收集':137,294 '错误处理':330 '防御':128 '防御建设和报告写作':288 '阶段':404 '降级':70,329,434 '降级风险':201 '除非确认授权':238 '隐私和错误处理':435 '需要后续验证':463 '需要补充输入或授权':469 '面向网络协议':90 '靶场':283 '频段':373 '风险':351 '风险判断':429 '风险点和验证建议':95 '风险解释':299 '验证':533 '验证和报告':131 '验证清单':480 '验证清单和报告结构':304 '验证闭环':73 '高可信':458,528 '高风险请求默认转为防御输出':297 '默认用于授权和防御场景':186","prices":[{"id":"d051efd9-1755-4892-9246-895b4e70e13a","listingId":"28c720f6-261c-4e77-9c9b-cab71874f819","amountUsd":"0","unit":"free","nativeCurrency":null,"nativeAmount":null,"chain":null,"payTo":null,"paymentMethod":"skill-free","isPrimary":true,"details":{"org":"Coff0xc","category":"coffee-skill","install_from":"skills.sh"},"createdAt":"2026-05-18T13:12:44.362Z"}],"sources":[{"listingId":"28c720f6-261c-4e77-9c9b-cab71874f819","source":"github","sourceId":"Coff0xc/coffee-skill/coff0xc-network-protocol-security","sourceUrl":"https://github.com/Coff0xc/coffee-skill/tree/main/skills/coff0xc-network-protocol-security","isPrimary":false,"firstSeenAt":"2026-05-18T13:12:44.362Z","lastSeenAt":"2026-05-18T19:07:30.798Z"}],"details":{"listingId":"28c720f6-261c-4e77-9c9b-cab71874f819","quickStartSnippet":null,"exampleRequest":null,"exampleResponse":null,"schema":null,"openapiUrl":null,"agentsTxtUrl":null,"citations":[],"useCases":[],"bestFor":[],"notFor":[],"kindDetails":{"org":"Coff0xc","slug":"coff0xc-network-protocol-security","github":{"repo":"Coff0xc/coffee-skill","stars":11,"topics":["agent-skills","ai-agents","appsec","codex","defensive-security","devsecops","office-docs","prompt-engineering","rag","security-tools","skills"],"license":"other","html_url":"https://github.com/Coff0xc/coffee-skill","pushed_at":"2026-05-17T11:03:26Z","description":"Installable Codex/AgentSkills workflow pack for dev, Agent/RAG, API/data, Office artifacts, research diagrams, and authorized security review.","skill_md_sha":"4705f5c1086c3d173cb1cf2eda70d82008496e25","skill_md_path":"skills/coff0xc-network-protocol-security/SKILL.md","default_branch":"main","skill_tree_url":"https://github.com/Coff0xc/coffee-skill/tree/main/skills/coff0xc-network-protocol-security"},"layout":"multi","source":"github","category":"coffee-skill","frontmatter":{"name":"coff0xc-network-protocol-security","description":"Use when / 当用户请求: 全面网络协议、TLS/DNS/TCP/UDP/QUIC/HTTP、无线/RF/蓝牙、协议日志分析、通信安全和形式化协议建模工作流。触发：network protocol、TLS、DNS、HTTP/2、HTTP/3、QUIC、TCP、UDP、WiFi、Bluetooth、BLE、RF、packet、pcap、Wireshark、协议分析、安全通信、ProVerif、Mermaid protocol、抓包、握手、解析异常、加密协商、异常字段、通信流程。 Covered source aliases / 来源别名: network-protocol, wireless-security. Capability domains / 能力域: 协议设计, TLS/PKI, DNS, HTTP/QUIC, Packet 分析, 无线/BLE/RF, 形式化. If this skill does not auto-trigger, user can manually invoke: 使用 coff0xc-network-protocol-security."},"skills_sh_url":"https://skills.sh/Coff0xc/coffee-skill/coff0xc-network-protocol-security"},"updatedAt":"2026-05-18T19:07:30.798Z"}}