pratik982/wazuh-ssh-bruteforce-detection-lab

# 🔐 SSH 暴力破解攻击模拟与检测实验室 ## 📌 概述 本项目展示了一个个人网络安全实验室的设计与实现，用于模拟和检测 SSH 暴力破解攻击。构建该实验室旨在复现一个简化的真实环境，以便生成、监控和分析攻击活动。 ## 🧠 目标 构建一个可运行的安全实验室环境，并用于： * 在不同条件下模拟 SSH 暴力破解攻击 * 生成并分析身份验证日志 * 评估 SIEM 系统的检测能力 ## 🏗️ 实验室架构 该实验室在受控环境中使用虚拟机构建： * **攻击机：** Ubuntu WSL（宿主系统） * **目标系统：** Ubuntu Server 虚拟机 * **监控系统：** Wazuh SIEM 虚拟机 ### 网络设计 * 使用仅主机网络进行攻击模拟 * SIEM 与代理之间进行内部通信 * 手动配置网络和 SSH 访问权限 此设置允许生成真实的攻击流量，同时保持与外部网络的隔离。 ## ⚙️ 实验室搭建要点 * 将 Wazuh SIEM 作为虚拟设备部署 * 在 Ubuntu 服务器上安装并配置 Wazuh 代理 * 建立代理与 SIEM 之间的通信 * 配置 SSH 身份验证设置以进行测试 ## ⚔️ 攻击模拟 ### 1. 使用错误密码进行暴力破解 使用全错误的密码执行了一次暴力破解攻击： ``` hydra -l pratik -P passwords.txt ssh://192.168.56.10 ```  #### 🔍 观察 * 记录了多次身份验证失败 * 每次失败的尝试都生成了警报 * 警报保持在**低到中等严重级别** * 未触发高严重级别的暴力破解警报   #### 🧠 分析 尽管有大量失败的尝试，SIEM 并未将该活动升级为高严重级别的暴力破解警报。要检测此类活动，需手动分析重复事件和日志模式。 ### 2. 成功窃取凭据的暴力破解 使用包含正确密码的密码列表执行了第二次攻击。 ``` hydra -l pratik -P passwords.txt ssh://192.168.56.10 ```  #### 🔍 观察 * 检测到多次失败的登录尝试 * 在多次失败后出现了一次成功的登录 * 生成了**高严重级别警报**：   ## 🧪 分析 第二种场景清楚地表明了一次成功的暴力破解攻击： * 单个源 IP 反复尝试进行身份验证 * 最终发现了有效凭据 * 由于确认了系统被入侵，SIEM 升级了该事件 这证明了： * 仅凭失败的尝试可能不会触发高严重级别警报 * 失败后成功的登录是系统被入侵的有力指标 * 关联分析在检测中起着至关重要的作用  ## 🧬 MITRE ATT&CK 映射 * **T1110 – 暴力破解 (Brute Force)** * **T1078 – 有效账号 (Valid Accounts)** ## 🛡️ 缓解建议 * 禁用基于密码的 SSH 身份验证 * 实施强密码策略 * 实施账号锁定机制 * 使用基于密钥的身份验证 * 监控反复失败的登录尝试 ## 💡 核心要点 * 构建实验室环境需要配置网络、身份验证和代理通信 * SIEM 的检测不仅依赖于原始活动，还取决于规则配置和关联分析 * 反复失败的登录尝试可能不会被自动升级 * 失败后的成功身份验证是系统被入侵的关键指标 * 通常需要手动分析来识别攻击模式 ## 🚀 结论 本项目展示了以下能力： * 设计和部署功能完备的网络安全实验室 * 模拟真实的攻击场景 * 评估 SIEM 系统的检测能力和局限性 * 以结构化的方式分析和解释安全事件 本项目的重点不仅在于攻击模拟，还在于了解检测系统在不同条件下的行为表现。 更多截图请查看 screenshots 文件夹。

标签：AMSI绕过, Hydra, SSH暴力破解, Wazuh, 内存分配, 凭据泄露, 威胁检测, 安全测试, 安全运营, 扫描框架, 攻击性安全, 攻击模拟, 数据展示, 生成式AI安全, 红队, 网络安全, 网络安全实验室, 虚拟机, 隐私保护, 驱动签名利用