raphsec/home-soc-lab

GitHub: raphsec/home-soc-lab

一个使用Nmap、Wireshark和Snort IDS搭建的家庭安全运营中心实验环境，用于模拟攻击检测并学习蓝队分析师工作流程。

Stars: 0 | Forks: 0

# 🛡️ 家庭 SOC 实验室 — 网络安全监控 ![状态](https://img.shields.io/badge/Status-Complete-brightgreen) ![工具](https://img.shields.io/badge/Tools-Nmap%20%7C%20Wireshark%20%7C%20Snort-blue) ![平台](https://img.shields.io/badge/Platform-Linux-orange) ## 📌 项目概述使用 VirtualBox、Kali Linux 和 Ubuntu 构建了一个家庭安全运营中心 (SOC) 实验室，作为蓝队分析师模拟和检测真实的网络攻击。 ## 🛠️ 使用的工具 | 工具 | 用途 | |------|---------| | VirtualBox | 虚拟化平台 | | Kali Linux | 攻击机 | | Ubuntu | 防御/监控机 | | Nmap | 网络扫描与侦察 | | Wireshark | 数据包捕获与流量分析 | | Snort IDS | 入侵检测与告警 | ## 🌐 实验室架构 [Kali Linux 192.168.56.101] ---attacks---> [Ubuntu 192.168.56.102] 攻击者防御者 ### 阶段 1 — 实验室搭建 - 在 Windows 主机上安装 VirtualBox - 配置 Kali Linux 和 Ubuntu 虚拟机 - 将两台虚拟机的网络适配器设置为 Host-Only - 通过 ping 测试验证连通性 - 确认 IP：Kali (192.168.56.101) Ubuntu (192.168.56.102) ### 阶段 2 — 网络发现 - 运行 Nmap 服务扫描：`nmap -sV 192.168.56.102` - 运行激进扫描：`nmap -A 192.168.56.102` - 运行 ping 扫描：`nmap -sn 192.168.56.0/24` - 运行 SYN 扫描：`sudo nmap -sS 192.168.56.102` - 使用 Wireshark 捕获所有流量 - 将数据包捕获保存为 .pcap 文件 ### 阶段 3 — 使用 Snort 进行入侵检测 - 在 Ubuntu 上安装 Snort IDS - 将 HOME_NET 配置为 192.168.56.0/24 - 编写了 3 条自定义检测规则 - 成功检测到所有模拟攻击 ## 🔍 Nmap 发现 | 端口 | 状态 | 服务 | 版本 | |------|-------|---------|---------| | 22/tcp | open | SSH | OpenSSH 9.6p1 Ubuntu | | 80/tcp | open | HTTP | Apache httpd 2.4.58 | ## 🚨 Snort 自定义规则 ``` alert icmp any any -> any any (msg:"ICMP Ping Detected"; sid:1000001; rev:1;) alert tcp any any -> $HOME_NET any (msg:"Port Scan Detected"; flags:S; sid:1000002; rev:1;) alert tcp any any -> $HOME_NET 22 (msg:"SSH Connection Attempt"; sid:1000003; rev:1;) ``` ## 🚨 检测到的攻击 | 攻击 | 触发的规则 | 结果 | |--------|---------------|--------| | ICMP Ping 扫描 | sid:1000001 | ✅ 已检测 | | 端口扫描 | sid:1000002 | ✅ 已检测 | | SSH 尝试 | sid:1000003 | ✅ 已检测 | | 网络扫描 | Snort 内置 | ✅ 已检测 | ## 🛡️ 安全建议 1. 禁用 SSH 密码身份验证 — 仅使用基于密钥的认证 2. 保持 Apache 更新以修补漏洞 3. 使用防火墙规则阻止 OS 指纹识别 4. 定期监控 SSH 日志以防范暴力破解尝试 5. 实施 fail2ban 以自动阻止重复的 SSH 失败登录 ## 🎯 我学到了什么 - 攻击者如何进行网络侦察 - 如何捕获和分析网络流量 - 如何编写自定义 IDS 检测规则 - 蓝队分析师如何监控威胁 - 真实的 SOC 分析师工具和工作流程 ## 📸 截图 ### 阶段 1 — 实验室搭建 ![VirtualBox Setup](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/77baa5138b233514.jpg) ![Ping Test](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/348821eded233520.jpg) ### 阶段 2 — 网络发现 ![Nmap Scan](https://raw.githubusercontent.com/raphsec/home-soc-lab/main/screenshots/screenshot-3-nmap-scan.tiff) ![Aggressive Scan](https://raw.githubusercontent.com/raphsec/home-soc-lab/main/screenshots/screenshot-4-aggressive-nmap-scan.tiff) ![Wireshark Capture](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/8b27764050233537.jpg) ![Wireshark Filtered](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/e479dba267233544.jpg) ### 阶段 3 — Snort IDS ![Snort Rules](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/275180c93f233549.jpg) ![Snort Validation](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/c961ffe78f233554.jpg) ![Snort Alerts](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/8fd070d579233559.jpg) ![Alert Log](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/2d97f2e893233604.jpg)

标签：CTI, Home Lab, ICMP, JSONLines, Nmap, PCAP分析, TCP SYN, TGT, VirtualBox, Wireshark, 句柄查看, 安全实验, 安全运营中心, 实时处理, 家庭实验室, 密码管理, 插件系统, 攻防演练, 服务扫描, 生成式AI安全, 网络安全, 网络安全实验, 网络映射, 虚拟机, 虚拟驱动器, 规则编写, 防御绕过, 隐私保护, 零信任