hamzanotcool/splunk-ssh-bruteforce-lab

# Splunk SSH 暴力破解检测实验 ## 概述 本项目演示了安全运营中心 (SOC) 如何使用 SIEM 平台检测 SSH 暴力破解攻击。 该实验模拟了一个真实攻击场景，攻击者对 Linux 服务器执行多次 SSH 登录尝试。认证日志被转发至 Splunk 以进行分析和检测。 ## 实验架构 攻击者：Kali Linux 受害者：Ubuntu Server SIEM：Splunk Enterprise 攻击流程： 攻击者 (Hydra) → Ubuntu Server (SSH logs) → Splunk SIEM (Detection) ## 使用的工具 * Splunk Enterprise * Splunk Universal Forwarder * Hydra * Kali Linux * Ubuntu Server * VirtualBox ## 攻击模拟 使用 Hydra 从攻击机生成 SSH 暴力破解攻击： ``` hydra -l ubuntu -P /usr/share/wordlists/rockyou.txt ssh://192.168.56.105 ``` 这会在 Ubuntu 认证日志中生成多次失败的认证尝试。 ## 日志收集 Ubuntu 服务器使用 Splunk Universal Forwarder 将认证日志发送到 Splunk。 监控的日志文件： ``` /var/log/auth.log ``` ## 在 Splunk 中检测 用于检测暴力破解尝试的示例 SPL 查询： ``` index=main "Failed password" ``` 此查询显示日志中检测到的所有失败 SSH 登录尝试。 ## 检测示例 Splunk 成功识别了来自攻击者 IP 地址的多次失败认证尝试。 失陷指标： * 多次失败的 SSH 登录尝试 * 相同的源 IP 地址 * 短时间内重复的认证失败 ## MITRE ATT&CK 映射 技术：**T1110 – Brute Force** [https://attack.mitre.org/techniques/T1110/](https://attack.mitre.org/techniques/T1110/) ## 展示技能 * SIEM 监控 * 日志分析 * SSH 暴力破解检测 * Linux 安全监控 * SOC 实验设计 * 威胁检测 ## 作者 GitHub： [https://github.com/hamzanotcool](https://github.com/hamzanotcool)

标签：AMSI绕过, Hydra, SOC实验室, Splunk Universal Forwarder, SPL查询, SSH暴力破解, 威胁检测, 安全运营, 扫描框架, 暴力破解防御, 网络安全, 蜜罐与靶场, 认证日志, 速率限制, 隐私保护