skoveit/skovenet

如今大多数 C2 框架依赖于客户端-服务器架构。这导致了一个严重的单点故障：一旦 Teamserver IP 或重定向器域名暴露，整个 Agent 集群就会全军覆没。 **SkoveNet** 将范式转变为基于 Gossip 的（非全）网状网络。它没有中心服务器。每个 Agent 都是节点，命令通过加密签名的 gossip 在网络中传播。  **无服务器。无域名。无单点故障。** ## 架构对比 | 维度 | 传统 C2 | SkoveNet | |--------------------------------|----------------|--------------------------------------| | 存在中心服务器？ | 是 | 绝不 | | 能否通过封锁 1 个 IP 终止？ | 能 | 不可能 | | 操作者位置固定？ | 是 | 否 – 任何持有密钥的节点 | | 节点掉线后网络瘫痪？ | 是 | 否 – 自愈图 | | 流量模式可检测性？ | 容易 | 极难 (仅 5 个邻居) | | 命令真实性 | 服务器证书 | Ed25519 签名（由密钥签名） | ## 核心特性 - 完全去中心化的 P2P 图 - 每个 Agent 最多 5 个邻居 → 流量特征极小 - 自动自愈 - 操作者 = 任何持有密钥的人 - 命令使用 Ed25519 签名 → 无法伪造 - 端到端加密 - GossipSub 广播（快速且可靠） - 单一二进制文件，零依赖 – 支持 Windows、Linux、macOS、ARM - 内置 NAT 穿透与打洞 ## 🚧 当前工程挑战与局限 虽然 **SkoveNet** 通过消除传统单点故障实现了卓越的弹性，但完全分布式系统也有其必须征服的恶龙。以下是当前正在积极开发的主要工程方向。 | 领域 | 问题概述 | 当前状态 | 计划改进 | |------|--------------------|----------------|----------------------| | 🌐 NAT 穿透与出口 | 企业 NAT/防火墙阻断 P2P 连接；在对称型 NAT 上打洞失败。 | 需要手动配置引导/中继节点。 | 增加 STUN/TURN/DoH 以改善 NAT 穿透并减少对中继的依赖。 | | ⚡ 延迟与扩展性 | GossipSub 在大型网格中变慢（1000+ 节点时有 5–10 秒延迟）。 | 500 节点下性能稳定（约 2–5 秒）。 | 添加流行病路由或基于优先级的 gossip 以实现 <2 秒的投递。 | | 🔑 密钥管理 | Ed25519 密钥静态；一旦泄露无法轮换或吊销。 | 密钥对固定，丢失意味着完全丧失控制权。 | 实现类似 JWT 的令牌或轮换 CA 以实现安全吊销。 | | 🕵️ 流量规避 | 原始 libp2p 流量被 NIDS 检测；可疑的高端口加密模式。 | 使用默认的 Noise 协议传输。 | 将流量封装在 WebSockets、DNS、ICMP 或其他可插拔传输协议中。 |

标签：C2框架, Ed25519, EVTX分析, EVTX分析, Google搜索, Gossip协议, IP 地址批量处理, Mesh网络, NAT穿透, P2P网络, 免杀技术, 分布式系统, 去中心化, 命令控制, 响应大小分析, 安全学习资源, 安全工具集合, 容错性, 对手模拟, 弹性C2, 恶意软件框架, 数据采集, 暴力破解检测, 横向移动, 端到端加密, 编程规范, 网络安全, 隐私保护, 隐蔽信道, 隐蔽通信