Saravanan-Patrick/Mini-SOC-Home-Lab

# ■■ Mini SOC 家庭实验室 **安全运营中心 — 实战实验室文档** 作者：Saravanan | [GitHub](https://github.com/Saravanan-Patrick) | [LinkedIn](https://linkedin.com/in/saravanan-cyber) ## ■ 关于本实验室 这个 Mini SOC 家庭实验室是从零开始构建的，旨在模拟真实的攻防场景。作为一名从食品技术转型到网络安全并专注于 SOC 分析的人员，本实验室记录了我的动手学习之旅 —— 从搭建隔离网络到运行实际的攻击模拟，并像 SOC 分析师一样捕获流量。 ## ■■ 实验室环境 | 组件 | 详情 | |-----------|---------| | Hypervisor | VMware Workstation Pro 25H2 | | 攻击机 | Kali Linux 2025.4 (amd64) | | 防御者 / 目标机 | Windows 10 x64 | | 网络类型 | VMware LAN Segment — 隔离 (testpractice) | | 攻击者 IP | 192.168.20.11 (静态) | | 目标 IP | 192.168.20.10 (静态) | | 互联网访问 | 无 — 完全物理隔离实验室 | | Nmap 版本 | 7.95 | ## ■ 实验 01 — 使用 Nmap 进行网络侦察 ### 目标 模拟攻击者如何针对 Windows 目标执行网络侦察，并像 SOC 分析师一样记录发现。 ### 使用的工具 - Nmap 7.95 — 网络扫描器和端口发现 - Wireshark — 数据包捕获和流量分析 - Kali Linux 终端 — 攻击平台 ### ■■ 攻击模拟 **步骤 1 — 验证连通性** ``` ping 192.168.20.10 ``` 结果：成功收到 ICMP 回复 — 目标可达。 **步骤 2 — 服务版本扫描** ``` nmap -sV 192.168.20.10 ``` **步骤 3 — 保存结果** ``` nmap -sV 192.168.20.10 -oN nmap-scan-results.txt ``` ### ■ Nmap 发现 | 端口 | 状态 | 服务 | 版本 | |------|-------|---------|---------| | 135/tcp | OPEN | msrpc | Microsoft Windows RPC | | 139/tcp | OPEN | netbios-ssn | Microsoft Windows NetBIOS | | 445/tcp | OPEN | microsoft-ds | SMB — Windows 文件共享 | | 997 个端口 | CLOSED | — | TCP RST 响应 | **检测到的操作系统：** Windows — CPE: cpe:/o:microsoft:windows ### ■ 检测 — Wireshark 分析 | 指标 | 值 | |--------|-------| | 捕获的总数据包数 | 2,248 | | 丢弃的数据包 | 0 (0.0%) | | 源 IP (攻击者) | 192.168.20.11 | | 目标 IP (目标) | 192.168.20.10 | **关键协议观察：** | 协议 | 观察 | |----------|-------------| | TCP SYN | Kali 向所有 1000 个端口发送 SYN — 经典端口扫描模式 | | TCP RST/ACK | Windows 响应 — 确认端口状态 | | SMB | 端口 445 上的服务器消息块 流量 | | NBSS | NetBIOS 会话服务活动 | | MS Browser | Microsoft Windows 浏览器协议 | ### ■ 入侵指标 | IOC | 详情 | |-----|---------| | 源 IP | 192.168.20.11 (Kali — 攻击者) | | 扫描类型 | TCP SYN 服务版本检测 | | 目标端口 | 前 1000 个 TCP 端口 | | 日期/时间 | 2026-03-14 06:48 EDT | | 扫描持续时间 | ~22 秒 | | 识别出的工具 | Nmap 7.95 | | 生成的数据包 | 2,248 | ### ■■ 安全观察 - **端口 445 (SMB)** — 该端口在 WannaCry 勒索软件 (2017) 中被利用。应在边界防火墙处阻断。 - **端口 135 (RPC)** — 在企业攻击中用于横向移动。 - **Windows 防火墙** — 启用时，所有 1000 个端口显示为 FILTERED。防火墙有效。 - **扫描速度** — 22 秒内扫描 1000 个端口。真实的 SIEM 会触发端口扫描警报。 ### ■ 我学到了什么 - 如何使用 Nmap 执行网络侦察 - 如何使用 Wireshark 捕获和分析实时流量 - 如何从 TCP SYN/RST 数据包中识别端口扫描模式 - SMB (445) 和 RPC (135) 的安全意义 - Windows 防火墙如何影响扫描结果 - 如何将发现记录为 IOC ## ■ 仓库结构 ``` Mini-SOC-Home-Lab/ ■■■ README.md ■■■ Lab-01-Nmap-Reconnaissance/ ■ ■■■ nmap-scan-results.txt ■ ■■■ nmap-scan-capture.pcapng ■ ■■■ screenshots/ ■ ■■■ vmware-lab-setup.png ■ ■■■ kali-ifconfig.png ■ ■■■ win10-ipconfig.png ■ ■■■ nmap-scan-output.png ■ ■■■ wireshark-capture.png ## ■■ 关于我 Transitioning from Food Technology into Cybersecurity with a focus on SOC Analysis and Blue Team operations. This lab documents my hands-on learning journey. - ■ LinkedIn: [linkedin.com/in/saravanan-cyber](https://linkedin.com/in/saravanan-cyber) - ■ Email: career.entrydesk@gmail.com - ■ Thiruvallur, Tamil Nadu, India --- *"The best way to learn cybersecurity is to break things in a safe environment and understand why they broke."* ■ If this lab helped you, give it a star! ```

标签：AMSI绕过, CTI, IOC 文档, NetBIOS, Nmap, PE 加载器, RPC, SMB, SOC 家庭实验室, VMware Workstation, Windows 10, Wireshark, 句柄查看, 威胁检测, 安全实验环境, 安全运营中心, 实验文档, 密码管理, 技能转型, 插件系统, 攻击模拟, 数据展示, 模拟环境, 红队, 网络安全, 网络安全入门, 网络映射, 虚拟驱动器, 错误配置检测, 防御分析, 隐私保护, 驱动签名利用