ArnavCh0p/soc-homelab
GitHub: ArnavCh0p/soc-homelab
基于 Proxmox VE 搭建的 SOC 家庭实验室,通过预设攻击场景和完整检测链路,帮助安全人员直观理解攻击行为如何触发 SIEM 告警。
Stars: 0 | Forks: 0
# SOC 家庭实验室
一个基于 Proxmox VE 搭建的家庭实验室,用于实践完整的攻击与检测工作流 —— 针对带有已知漏洞的靶机运行真实的攻击工具,并在 SIEM 中观察产生的告警。其目的是停止纸上谈兵地阅读检测原理,转而亲眼见证它们被触发。
该实验室在单台主机上运行着五个虚拟机:一台 Kali 攻击机,两台靶机(一台 Windows,一台 Linux),串接在它们之间并检查每个数据包的 Suricata,以及一台从所有设备收集日志的 Wazuh SIEM。pfSense 负责处理实验室与外部网络之间的路由和防火墙。
## 基础设施
| | |
|---|---|
| 主机 | Intel i7-8700K,32GB 内存,2TB NVMe |
| Hypervisor | Proxmox VE 9.1.1 |
| 防火墙 | pfSense 2.8.1 |
| IDS | Suricata 7.0.3 — 位于攻击者与受害者网络之间的内联网桥 |
| SIEM | Wazuh v4.9.2 + Elasticsearch |
| 攻击机 | Kali Linux 2025.4 |
| 靶机 | Windows 10 (SMB1, RDP, 无杀毒软件) / Ubuntu Server 24.04 (Apache, DVWA) |
## 网络拓扑
```
Home Router (192.168.1.1)
└── Proxmox Host (192.168.1.200)
└── pfSense — WAN: 192.168.1.179 / LAN: 10.10.10.1
├── vmbr1 — Attacker & monitoring network
│ ├── Kali Linux 10.10.10.100
│ └── Wazuh SIEM 10.10.10.104
│
└── Suricata (inline bridge — all traffic passes through here)
│ 10.10.10.103 — enp6s18 (vmbr1) ↔ enp6s19 (vmbr2)
└── vmbr2 — Victim network
├── Windows 10 10.10.10.101
└── Ubuntu Server 10.10.10.102
```
Suricata 是网络咽喉。Kali 必须经过它才能访问靶机,因此在任何攻击触及靶机主机之前,每次攻击都会触发网络级别的告警。
## 攻击场景
| # | 场景 | 目标 | 状态 |
|---|----------|--------|--------|
| 01 | [Nmap 侦察](attacks/01-nmap-recon/) | Windows 10 | 待定 |
| 02 | [SQL 注入 — DVWA](attacks/02-sql-injection/) | Ubuntu Server | 待定 |
| 03 | [EternalBlue / MS17-010](attacks/03-eternalblue/) | Windows 10 | 待定 |
| 04 | [RDP 暴力破解](attacks/04-rdp-bruteforce/) | Windows 10 | 待定 |
| 05 | [反射型 XSS — DVWA](attacks/05-xss/) | Ubuntu Server | 待定 |
每篇文章都涵盖了所使用的攻击命令、Suricata 和 Wazuh 检测到的内容,以及这些告警在仪表板上的真实样貌。
## 仓库结构
```
soc-homelab/
├── attacks/
│ ├── 01-nmap-recon/
│ ├── 02-sql-injection/
│ ├── 03-eternalblue/
│ ├── 04-rdp-bruteforce/
│ └── 05-xss/
├── setup/
│ └── README.md — build notes and design decisions
├── detection/
│ └── wazuh-rules-notes.md — rule IDs, observations, tuning notes
└── assets/
└── network-diagram.html — interactive network diagram
```
## 工具
**攻击:** Nmap · Metasploit · Hydra · Burp Suite
**防御:** Suricata · Wazuh · Elasticsearch · pfSense
**基础设施:** Proxmox VE · pfSense · Linux (Ubuntu Server 24.04)
标签:CISA项目, DVWA, Elasticsearch, Metaprompt, Nmap扫描, OISF, OPA, OpenCanary, PB级数据处理, pfSense, Proxmox VE, SOC家庭实验室, Suricata, Ubuntu Server, Wazuh, Windows 10, 入侵检测系统, 后端开发, 安全数据湖, 安全监测, 安全运维, 安全运营中心, 家庭安全实验室, 插件系统, 攻击与检测, 日志管理, 现代安全运营, 网络安全, 网络安全实验, 网络映射, 网络架构, 网络流量分析, 蓝队演练, 虚拟化环境, 隐私保护, 靶场