sonofpius/Network-attack-detection-lab

# 网络攻击检测实验室 ## 项目概述 本项目通过构建一个分段的企业网络并在 Cisco Packet Tracer 中模拟未授权内部侦察活动，来演示 **安全运营中心（SOC）调查流程**。 该实验展示了网络防御者如何： - 使用 VLAN 进行网络分段 - 使用 ACL 应用防火墙规则 - 检测可疑活动 - 分析流量 - 调查事件 ## 目标 - 构建安全的网络分段 - 模拟攻击者的行为（来自流氓工作站） - 使用 ACL 阻止未授权访问 - 捕获恶意流量的证据 - 记录事件 ## 使用的工具 - Cisco Packet Tracer - 路由器 ACL - VLAN 分段 - 数据包捕获模拟 - 网络流量分析 ## 网络架构 ### VLAN 设计 | VLAN | 用途 | 网络 | |------|------------|----------------| | 10 | 用户 | 192.168.10.0/24 | | 20 | 服务器 | 192.168.20.0/24 | | 30 | 管理 | 192.168.30.0/24 | | 99 | 攻击者 | 192.168.99.0/24 | ## 网络拓扑 [拓扑](screenshots/01\_topology.png) ## 交换机 VLAN 配置 [VLAN 配置](screenshots/02\_vlan\_config.png) ## 路由器跨 VLAN 路由 [路由器配置](screenshots/03\_router\_subinterfaces.png) ## 防火墙 ACL 规则 路由器配置为： - 阻止攻击者 VLAN 访问服务器 VLAN - 阻止攻击者 VLAN 访问管理 VLAN - 允许合法业务流量 - 阻止用户 VLAN 访问管理 VLAN - 允许合法业务流量 [ACL 规则](screenshots/04\_acl\_rules.png) ## 合法访问测试 正常用户可以成功访问内部服务器。 [用户访问](screenshots/05\_user\_to\_server\_success.png) ## 攻击模拟 攻击者工作站尝试访问受保护资源并被阻止。 [阻止的攻击](screenshots/06\_kali\_blocked\_ping.png) ## ACL 日志证据 访问控制列表记录了被拒绝的流量尝试。 [ACL 日志](screenshots/07\_acl\_hit\_counter.png) ## 数据包分析 在模拟模式下分析流量以识别： - 源 IP - 目的 IP - 被阻止的数据包 [数据包捕获](screenshots/08\_packet\_capture.png) ## 服务器访问验证 用户仍可访问内部 Web 服务器。 [Web 访问](screenshots/09\_server\_http\_access.png) ## 事件摘要 ### 威胁类型 未授权内部侦察尝试 ### 源 192.168.99.10 ### 目标 192.168.20.10 ### 检测方法 ACL 拒绝日志和数据包分析 ### 响应 流量被分段防火墙策略阻止 ## 展示的安全概念 - 网络分段 - 最小权限访问 - 内部威胁检测 - 流量监控 - 事件响应流程 - 防火墙策略执行 ## 项目文件 | 文件 | 描述 | |------|------| | `README.md` | 项目概述 | | `lab-guide.md` | 构建说明 | | `configuration.txt` | 路由器与交换机命令 | | `incident-report.md` | SOC 分析报告 | | `screenshots/` | 证据图片 | ## 关键学习成果 本实验提升了我对以下方面的理解： - 企业网络防御 - SOC 调查流程 - 流量分析 - 威胁 containment - 事件响应的文档记录 ## 后续改进 可能的后续升级： - 真实的 Kali Linux 集成 - Wireshark 实时捕获 - Snort IDS 告警 - Wazuh SIEM 集成 - Syslog 集中日志记录 ## 作者 *\*DAVID ITUNU FAJUYI\*\* 网络安全爱好者

标签：ACL, Cisco Packet Tracer, ESC漏洞, Streamlit, VLAN, 内部侦察, 安全仿真, 安全测试, 安全运营中心, 实验环境, 攻击性安全, 日志取证, 流量捕获, 网络分段, 网络安全, 网络拓扑, 网络攻防, 网络映射, 网络隔离, 蓝队技能, 访问控制, 证据收集, 速率限制, 防火墙规则, 隐私保护