vchoudhary480/siem-home-lab

GitHub: vchoudhary480/siem-home-lab

一个模拟真实网络攻击并通过 Splunk SIEM 进行日志采集、威胁检测和事件分析的家庭靶场环境。

Stars: 0 | Forks: 0

# 🔒 SIEM 家庭实验室 — 攻击检测与分析 一个模拟真实网络攻击并由 Splunk Enterprise SIEM 进行检测和记录的家庭实验室。旨在展示核心 SOC 分析师技能:日志采集、威胁检测、攻击模拟和事件记录。 ## 🧰 实验室架构 ``` [Kali Linux] ──attacks──► [Metasploitable 3] ──rsyslog──► [Splunk SIEM] 10.0.2.4 10.0.2.15 Windows Host (Attacker) (Victim) Port 514 UDP ``` 所有机器运行在隔离的 VirtualBox NAT 网络上,流量不会访问真实的互联网。 ## 🖥️ 环境 | 组件 | 详情 | |---|---| | 攻击者 | Kali Linux 2026.1 — 10.0.2.4 | | 目标靶机 | Metasploitable 3 (Ubuntu 14.04) — 10.0.2.15 | | SIEM | Splunk Enterprise (Windows 主机) | | 网络 | VirtualBox NatNetwork + Host-Only Adapter | | 日志转发 | rsyslog → UDP 514 → Splunk | ## ⚔️ 执行的攻击 ### 1. 网络侦察 — Nmap 端口扫描 - **工具:** Nmap 7.98 - **命令:** `nmap -sS -sV 10.0.2.15` - **结果:** 发现 9 个开放端口,包括 FTP、SSH、HTTP、MySQL、IRC - **SIEM 检测:** FTP 和 SSH 连接尝试被记录在 Splunk 中 ### 2. SSH 暴力破解 — Hydra - **工具:** Hydra - **命令:** `hydra -l vagrant -P rockyou.txt ssh://10.0.2.15 -t 4` - **结果:** 密码被破解 — `vagrant/vagrant`(默认凭据) - **SIEM 检测:** 一小时内产生 1,830+ 个身份验证事件,峰值超过 200 个事件/分钟 ### 3. 远程代码执行 — ProFTPD CVE - **工具:** Metasploit Framework 6.4 - **模块:** `exploit/unix/ftp/proftpd_modcopy_exec` - **漏洞:** ProFTPD 1.3.5 mod_copy — 未经身份验证的文件复制 - **结果:** 获取 reverse shell,uid=1000 并属于 sudo 组 - **SIEM 检测:** FTP 会话和 PHP payload 复制尝试被记录 ## 📊 Splunk SIEM 结果 | 指标 | 数值 | |---|---| | 捕获的事件总数 | 1,961 | | 检测到的攻击 | 3 / 3 | | 事件峰值速率 | 每分钟 200+ | | 检测率 | 100% | ## 🖼️ 截图 ### Splunk 仪表盘 — 实时攻击监控 ![Splunk 仪表盘](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/a286ac2533105135.jpg) ## 📄 事件报告 本仓库包含一份完整的专业事件报告,记录了所有发现、证据和修复建议。 📎 [查看事件报告 (PDF)](Vishwa_Choudhary_Incident_Report.pdf) ## 🛠️ 使用的工具 - **VirtualBox** — 虚拟机监控程序 - **Kali Linux** — 攻击者机器 - **Metasploitable 3** — 具有故意漏洞的目标靶机 - **Splunk Enterprise** — SIEM / 日志分析 - **Nmap** — 网络侦察 - **Hydra** — 暴力破解工具 - **Metasploit Framework** — 漏洞利用框架 - **rsyslog** — 日志转发 ## ⚠️ 免责声明 该实验室在完全隔离的虚拟环境中搭建,仅供教育目的。所有攻击均针对我拥有和运营的故意存在漏洞的系统执行。请勿对非本人所有的系统复制此类操作。 *Vishwa Prakash Choudhary | UC Davis 计算机科学学士 | 2026*
标签:AMSI绕过, CISA项目, CTI, CVE, Home Lab, Hydra, Metasploitable, Nmap, OPA, PoC, ProFTPD, RCE, rsyslog, SOC分析师, 威胁检测, 安全运营, 家庭实验室, 扫描框架, 插件系统, 攻击模拟, 数字签名, 数据统计, 日志采集, 暴力破解, 漏洞复现, 端口扫描, 编程工具, 网络安全, 虚拟驱动器, 远程代码执行, 隐私保护, 靶场, 驱动签名利用