Iankulani/bot53
GitHub: Iankulani/bot53
Bot 53 是一个多平台 C2 模拟框架,通过 IP 欺骗与 DNS 操纵的教学演示,解决网络信任机制被利用的可见性与训练问题。
Stars: 6 | Forks: 0
# bot53
Bot 53 是一个全面、多平台的命令与控制(C2)模拟框架,旨在揭示并演示 IP 欺骗和 DNS 操纵的机制。它在理论网络知识与实践应用之间架起桥梁,提供一个合法、受控的环境,供网络工程师、学生和资深网络安全专业人员测试、学习并加固其基础设施以抵御欺骗攻击。
## 核心哲学:通过模拟进行教育
Bot 53 的构建基于一个单一原则:展示网络协议中的信任关系如何被利用。与那些隐藏其功能的神秘工具不同,Bot 53 是透明的。它作为一个教学工具,允许用户可视化为了改变数据包的感知来源而需要的逐包级更改,并实时拦截或操纵 DNS 查询。
该工具旨在模拟恶意行为者的行为,而无需用户管理复杂、碎片化的开源库。通过将这些能力整合到统一界面中,Bot 53 让专业人员专注于防御层面的工作——制定防火墙规则、配置入侵检测系统(IDS)以及分析日志——而不是在工具链兼容性上挣扎。
### 功能 1:高级 IP 欺骗能力
Bot 53 的核心是其健壮的 IP 欺骗引擎。IP 欺骗,即构造带有伪造源 IP 地址的数据包,仍然是拒绝服务(DoS)攻击和规避技术中的关键攻击向量。Bot 53 允许用户在隔离的实验室环境中安全地执行欺骗,以了解这些数据包如何在网络中传输。
该工具利用原始套接字编程和数据包注入库(如 Scapy 或 libnet)来允许用户构造带有任意源地址的数据包。然而,Bot 53 不仅仅是一个数据包生成器;它包含智能欺骗逻辑。
- **会话感知**:虽然 IP 欺骗通常是单向的,但 Bot 53 包含模块来分析有状态防火墙(如 iptables 或 AWS 安全组)对由欺骗流量引起的非对称路由的反应。
- **协议支持**:用户可以欺骗 TCP、UDP 和 ICMP 数据包,调整 TTL 值、分片偏移量和 TCP 标志以绕过基本的安全控制。
- **教育模式**:启用后,该工具会叠加实时数据包捕获(PCAP)分析,突出显示哪些头部被修改以及上游路由器或入侵防御系统(IPS)如何解释该数据包。
对于网络工程师而言,此功能对于压力测试网络访问控制列表(ACL)并确保入口过滤(如 BCP 38)在其基础设施中正确实施至关重要。
### 功能 2:DNS 欺骗演示
DNS 常被称为“互联网的电话簿”,但它仍然是协议栈中最脆弱的协议之一。Bot 53 包含一个专用的 DNS 欺骗模块,展示了攻击者如何污染本地缓存或比合法 DNS 服务器更快地响应以重定向流量。
该模块允许用户设置一个中间人(MITM)环境,在此环境中他们可以:
- 拦截特定域名的 DNS 查询(例如 `*.bankingcorp.com`)。
- 在合法 DNS 服务器响应之前,用恶意 A 记录(IP地址)或 NS 记录进行响应。
- 分析 DNSSEC 验证失败,以了解加密签名如何防止此类攻击。
该工具可视化 DNS 欺骗中固有的竞争条件,向用户展示时机和数据包注入速度如何决定成功。对于学习 OSCP 或 CEH 课程的学生,此模块提供了对 DNS 污染如何促成钓鱼攻击或内部横向移动的动手理解,而无需依赖恶意软件。
### 功能 3:通用命令接口(多平台 C2)
将 Bot 53 与传统网络工具区分开来的是其革命性的界面层。认识到现代网络安全操作是去中心化的,Bot 53 将执行引擎与用户界面分离。该工具作为一个“机器人”(因此得名)监听五个主要通信平台上的命令:Telegram、Discord、WhatsApp 和 Slack。
这种架构允许用户在现场使用移动设备执行复杂的欺骗命令或 DNS 攻击,或在不直接访问主机机器的 SSH 权限的情况下与不同时区的团队协作。
#### 工作原理:
- **监听器**:Bot 53 在主机机器上运行(树莓派、云虚拟机或实验室网络中的笔记本电脑)。
- **界面**:用户通过聊天界面与 Bot 53 交互。
- **命令**:用户发送 JSON 格式命令或自然语言提示(由内置 NLP 解析器处理)给机器人。
**命令示例:**
- `/spoof --src 192.168.1.100 --dst 10.0.0.1 --protocol tcp --port 443` – 从伪造的内部 IP 向目标发起欺骗的 TCP 握手。
- `/dns_spoof --interface eth0 --host victim.com --redirect 192.168.1.50` – 对特定域激活 DNS 欺骗,将本地网络的所有请求重定向到指定的蜜罐。
- `/capture --filter "dns" --duration 60` – 捕获 60 秒的 DNS 流量以验证欺骗是否成功。
这种多平台支持确保 Bot 53 无缝融入现代红队、SOC 分析员和网络架构师的工作流程,他们依赖快速通信渠道进行事件响应。
## 网络安全领域的用例
Bot 53 并非为单一用户设计的单一体工具。其模块化架构服务于三种不同角色:
### 1. 网络工程师
对于管理企业或云基础设施的工程师而言,验证安全控制至关重要。Bot 53 允许工程师在网络内部模拟欺骗攻击,以测试单播反向路径转发(uRPF)、虚拟路由和转发(VRF)隔离以及云安全组的有效性。如果网络工程师能够使用 Bot 53 成功欺骗数据包到达关键服务器,那么他们就知道自己的 ACL 配置错误,需要立即修补。
### 2. 网络安全学生
对于攻读 Security+、CySA+ 或实践道德黑客课程的学生而言,理论知识往往远远不够。Bot 53 提供了一个安全、合法的训练场。学生可以搭建虚拟实验室(使用 VMware 或 VirtualBox)并使用 Bot 53 执行他们在课本中读到的攻击。他们可以观察 DNS 欺骗如何导致凭证窃取,或 IP 欺骗如何绕过简单的基于 IP 的允许列表。该工具包含“日志模式”,可将每个操作导出为 PDF 报告,允许学生记录其实验用于作品集或学术提交。
### 3. 网络安全专业人员(红队与蓝队)
对于渗透测试人员和红队成员而言,时间是终极约束。Bot 53 作为一个轻量级 C2 代理,可以快速部署。由于它通过合法 API(Telegram、Slack、Discord)进行通信,其流量会融入常见的企业协作工具中,从而避免被标记异常端口或协议的网路监控解决方案检测。
对于蓝队(防御方)而言,Bot 53 是一个必不可少的对手模拟工具。防御方可以在其 SOC 内部署 Bot 53 来运行“红队”演练,测试其 SIEM 检测 DNS 欺骗异常的效率,以及其 EDR 对欺骗进程注入尝试的响应。
## 道德考虑与安全性
Bot 53 明确设计仅用于授权测试和教育目的。为防止滥用,工具包含安全互锁机制:
- **目标确认**:在执行任何欺骗命令之前,Bot 53 要求用户输入“目标授权哈希”或在“沙箱模式”下运行,其中流量被限制在虚拟化网络段内。
- **横幅警告**:启动时,工具会显示严格的法律免责声明,概述根据《计算机欺诈和滥用法案》(CFAA)和《通用数据保护条例》(GDPR)等法律进行未经授权的网络入侵所面临的处罚。
## 结论
Bot 53 代表网络安全工具的演进。它超越了静态的命令行工具,成为一个动态的多平台框架,无论用户身处终端、Slack 频道还是 WhatsApp 聊天中,都能与其交互。
通过结合 IP 欺骗所需的技术深度、DNS 操纵的实际演示,并包装在现代的协作界面中,Bot 53 赋能网络工程师加固其基础设施、学生加速学习曲线、专业人员精确执行复杂红队操作。
在一个网络信任不断受到威胁的时代,理解如何打破这种信任是保护它的第一步。Bot 53 就是通往这种理解的关键。
# 如何克隆仓库
```
git clone https://github.com/Iankulani/bot53.git
cd bot53
```
# 如何运行
```
python bot53.py
```
[](https://star-history.com/#Iankulani/bot53&Date)
Bot 53 是一个全面、多平台的命令与控制(C2)模拟框架,旨在揭示并演示 IP 欺骗和 DNS 操纵的机制。它在理论网络知识与实践应用之间架起桥梁,提供一个合法、受控的环境,供网络工程师、学生和资深网络安全专业人员测试、学习并加固其基础设施以抵御欺骗攻击。
## 核心哲学:通过模拟进行教育
Bot 53 的构建基于一个单一原则:展示网络协议中的信任关系如何被利用。与那些隐藏其功能的神秘工具不同,Bot 53 是透明的。它作为一个教学工具,允许用户可视化为了改变数据包的感知来源而需要的逐包级更改,并实时拦截或操纵 DNS 查询。
该工具旨在模拟恶意行为者的行为,而无需用户管理复杂、碎片化的开源库。通过将这些能力整合到统一界面中,Bot 53 让专业人员专注于防御层面的工作——制定防火墙规则、配置入侵检测系统(IDS)以及分析日志——而不是在工具链兼容性上挣扎。
### 功能 1:高级 IP 欺骗能力
Bot 53 的核心是其健壮的 IP 欺骗引擎。IP 欺骗,即构造带有伪造源 IP 地址的数据包,仍然是拒绝服务(DoS)攻击和规避技术中的关键攻击向量。Bot 53 允许用户在隔离的实验室环境中安全地执行欺骗,以了解这些数据包如何在网络中传输。
该工具利用原始套接字编程和数据包注入库(如 Scapy 或 libnet)来允许用户构造带有任意源地址的数据包。然而,Bot 53 不仅仅是一个数据包生成器;它包含智能欺骗逻辑。
- **会话感知**:虽然 IP 欺骗通常是单向的,但 Bot 53 包含模块来分析有状态防火墙(如 iptables 或 AWS 安全组)对由欺骗流量引起的非对称路由的反应。
- **协议支持**:用户可以欺骗 TCP、UDP 和 ICMP 数据包,调整 TTL 值、分片偏移量和 TCP 标志以绕过基本的安全控制。
- **教育模式**:启用后,该工具会叠加实时数据包捕获(PCAP)分析,突出显示哪些头部被修改以及上游路由器或入侵防御系统(IPS)如何解释该数据包。
对于网络工程师而言,此功能对于压力测试网络访问控制列表(ACL)并确保入口过滤(如 BCP 38)在其基础设施中正确实施至关重要。
### 功能 2:DNS 欺骗演示
DNS 常被称为“互联网的电话簿”,但它仍然是协议栈中最脆弱的协议之一。Bot 53 包含一个专用的 DNS 欺骗模块,展示了攻击者如何污染本地缓存或比合法 DNS 服务器更快地响应以重定向流量。
该模块允许用户设置一个中间人(MITM)环境,在此环境中他们可以:
- 拦截特定域名的 DNS 查询(例如 `*.bankingcorp.com`)。
- 在合法 DNS 服务器响应之前,用恶意 A 记录(IP地址)或 NS 记录进行响应。
- 分析 DNSSEC 验证失败,以了解加密签名如何防止此类攻击。
该工具可视化 DNS 欺骗中固有的竞争条件,向用户展示时机和数据包注入速度如何决定成功。对于学习 OSCP 或 CEH 课程的学生,此模块提供了对 DNS 污染如何促成钓鱼攻击或内部横向移动的动手理解,而无需依赖恶意软件。
### 功能 3:通用命令接口(多平台 C2)
将 Bot 53 与传统网络工具区分开来的是其革命性的界面层。认识到现代网络安全操作是去中心化的,Bot 53 将执行引擎与用户界面分离。该工具作为一个“机器人”(因此得名)监听五个主要通信平台上的命令:Telegram、Discord、WhatsApp 和 Slack。
这种架构允许用户在现场使用移动设备执行复杂的欺骗命令或 DNS 攻击,或在不直接访问主机机器的 SSH 权限的情况下与不同时区的团队协作。
#### 工作原理:
- **监听器**:Bot 53 在主机机器上运行(树莓派、云虚拟机或实验室网络中的笔记本电脑)。
- **界面**:用户通过聊天界面与 Bot 53 交互。
- **命令**:用户发送 JSON 格式命令或自然语言提示(由内置 NLP 解析器处理)给机器人。
**命令示例:**
- `/spoof --src 192.168.1.100 --dst 10.0.0.1 --protocol tcp --port 443` – 从伪造的内部 IP 向目标发起欺骗的 TCP 握手。
- `/dns_spoof --interface eth0 --host victim.com --redirect 192.168.1.50` – 对特定域激活 DNS 欺骗,将本地网络的所有请求重定向到指定的蜜罐。
- `/capture --filter "dns" --duration 60` – 捕获 60 秒的 DNS 流量以验证欺骗是否成功。
这种多平台支持确保 Bot 53 无缝融入现代红队、SOC 分析员和网络架构师的工作流程,他们依赖快速通信渠道进行事件响应。
## 网络安全领域的用例
Bot 53 并非为单一用户设计的单一体工具。其模块化架构服务于三种不同角色:
### 1. 网络工程师
对于管理企业或云基础设施的工程师而言,验证安全控制至关重要。Bot 53 允许工程师在网络内部模拟欺骗攻击,以测试单播反向路径转发(uRPF)、虚拟路由和转发(VRF)隔离以及云安全组的有效性。如果网络工程师能够使用 Bot 53 成功欺骗数据包到达关键服务器,那么他们就知道自己的 ACL 配置错误,需要立即修补。
### 2. 网络安全学生
对于攻读 Security+、CySA+ 或实践道德黑客课程的学生而言,理论知识往往远远不够。Bot 53 提供了一个安全、合法的训练场。学生可以搭建虚拟实验室(使用 VMware 或 VirtualBox)并使用 Bot 53 执行他们在课本中读到的攻击。他们可以观察 DNS 欺骗如何导致凭证窃取,或 IP 欺骗如何绕过简单的基于 IP 的允许列表。该工具包含“日志模式”,可将每个操作导出为 PDF 报告,允许学生记录其实验用于作品集或学术提交。
### 3. 网络安全专业人员(红队与蓝队)
对于渗透测试人员和红队成员而言,时间是终极约束。Bot 53 作为一个轻量级 C2 代理,可以快速部署。由于它通过合法 API(Telegram、Slack、Discord)进行通信,其流量会融入常见的企业协作工具中,从而避免被标记异常端口或协议的网路监控解决方案检测。
对于蓝队(防御方)而言,Bot 53 是一个必不可少的对手模拟工具。防御方可以在其 SOC 内部署 Bot 53 来运行“红队”演练,测试其 SIEM 检测 DNS 欺骗异常的效率,以及其 EDR 对欺骗进程注入尝试的响应。
## 道德考虑与安全性
Bot 53 明确设计仅用于授权测试和教育目的。为防止滥用,工具包含安全互锁机制:
- **目标确认**:在执行任何欺骗命令之前,Bot 53 要求用户输入“目标授权哈希”或在“沙箱模式”下运行,其中流量被限制在虚拟化网络段内。
- **横幅警告**:启动时,工具会显示严格的法律免责声明,概述根据《计算机欺诈和滥用法案》(CFAA)和《通用数据保护条例》(GDPR)等法律进行未经授权的网络入侵所面临的处罚。
## 结论
Bot 53 代表网络安全工具的演进。它超越了静态的命令行工具,成为一个动态的多平台框架,无论用户身处终端、Slack 频道还是 WhatsApp 聊天中,都能与其交互。
通过结合 IP 欺骗所需的技术深度、DNS 操纵的实际演示,并包装在现代的协作界面中,Bot 53 赋能网络工程师加固其基础设施、学生加速学习曲线、专业人员精确执行复杂红队操作。
在一个网络信任不断受到威胁的时代,理解如何打破这种信任是保护它的第一步。Bot 53 就是通往这种理解的关键。
# 如何克隆仓库
```
git clone https://github.com/Iankulani/bot53.git
cd bot53
```
# 如何运行
```
python bot53.py
```
[](https://star-history.com/#Iankulani/bot53&Date)标签:C2模拟框架, DNS操纵, DoS攻击模拟, IP欺骗, Libnet, Scapy, 代码生成, 入侵检测系统IDS, 协议漏洞演示, 原始套接字编程, 命令与控制模拟, 实验室安全测试, 开源安全工具, 数据包注入, 流量篡改, 渗透测试工具, 网络信任关系, 网络协议实验, 网络取证分析, 网络安全教育, 网络工程教学, 网络攻防演练, 网络流量可视化, 跨平台模拟, 逆向工具, 逆向工程平台, 防御防火墙规则