suraj-secops/splunk-ssh-bruteforce-lab

GitHub: suraj-secops/splunk-ssh-bruteforce-lab

一个SOC安全运营实验项目，通过模拟SSH暴力破解攻击并使用Splunk进行全流程检测、告警与事件响应，帮助安全从业者掌握从攻击识别到威胁遏制的完整防御技能。

Stars: 0 | Forks: 0

# Splunk SSH 暴力破解检测实验 SOC 家用实验室项目，演示了使用 Kali Linux、Ubuntu 和 Splunk Enterprise 进行 SSH 暴力破解检测、Splunk 告警、日志分析、事件响应分类与遏制。 ## 概述本项目演示了一个以 SSH 暴力破解检测、告警、调查和事件响应为核心的实用 SOC（安全运营中心）家用实验室，并全程使用 Splunk Enterprise。该实验室模拟了从 Kali Linux 对 Ubuntu VM 发起的暴力破解攻击。来自 Ubuntu 的身份验证日志通过 Splunk Universal Forwarder 转发至 Splunk Enterprise，并在其中创建了检测规则和告警，以识别可疑的 SSH 活动。在检测到攻击后，执行了告警分类和事件响应步骤，以调查并遏制该攻击。 ## 实验环境 ### 主机系统 - Windows 11 Home ### 虚拟机 - Kali Linux VM（攻击机） - Ubuntu VM（靶机） ### SIEM 与日志收集 - 在 Windows 11 上安装的 Splunk Enterprise - 在 Ubuntu 上安装的 Splunk Universal Forwarder ## 实验架构 Kali Linux（攻击机） ↓ Ubuntu VM（靶机 + SSH 日志） ↓ Splunk Universal Forwarder ↓ Windows 11 上的 Splunk Enterprise ## 执行的配置 ### Ubuntu 虚拟机 - 安装并启用 SSH 服务 - 通过 UFW 开放 TCP 22 端口用于 SSH 通信 - 安装 Splunk Universal Forwarder - 配置日志转发至 Splunk Enterprise ### Windows 主机 - 安装 Splunk Enterprise - 配置 Splunk 接收转发的日志 - 允许所需的 TCP 通信通过 Windows 防火墙 ### Kali Linux 虚拟机 - 安装 Hydra 密码攻击工具 - 下载用于暴力破解模拟的密码字典 ## 攻击模拟 ![Hydra 攻击](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/d4a692ed09012954.png) 在 Kali Linux VM 上使用 Hydra 对 Ubuntu VM 模拟发起 SSH 暴力破解攻击。使用的示例命令： ``` hydra -l -P passwords.txt ssh:// ``` 密码列表包含多个错误密码和一个有效密码，用于模拟在多次失败尝试后成功入侵的场景。 ## 检测工程创建了 Splunk 检测规则和告警，以识别重复的 SSH 登录失败尝试。 ### 检测逻辑 - 检测来自同一 IP 的多次 SSH 登录失败尝试 - 基于阈值识别暴力破解行为 - 在超过阈值时生成告警 ### 示例 SPL 查询 ``` index=* "Failed password" | rex "from (?\d+\.\d+\.\d+\.\d+)" | stats count by src_ip | where count > 5 ``` ## 执行的告警分类 ![告警分类](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/057d4e6d38013000.png) 在 Splunk 触发告警后，执行了调查和分类步骤。 ### 调查结果 - 观察到多次登录失败尝试 - 攻击源自同一 IP 地址 - SSH 服务成为目标 - 攻击频率在几秒内发生 - 识别出自动化的暴力破解行为 - 在多次失败尝试后检测到成功登录 - 告警被确认为真阳性 ![成功登录检测](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/d3937bd827013005.png) ## 事件响应操作 ### 遏制 - 使用防火墙规则阻断了攻击者 IP 地址 ![UFW 遏制](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/a7794aaf3e013010.png) - 验证攻击活动已停止 ### 调查 - 审查了原始身份验证日志 - 关联了失败和成功的登录事件 - 调查了攻击时间线和登录活动 ## 面临的挑战 ### 重复触发告警最初，告警会重复触发，原因如下： - 告警计划配置不正确 - 旧日志被重复搜索 - 未配置节流机制 ### 应用的修复 - 更新了告警搜索时间窗口 - 使告警计划与搜索时长保持一致 - 配置了适当的节流设置 ## 展现的技能 - Splunk SIEM - Ubuntu 日志分析 - Splunk Universal Forwarder - 检测工程 - 告警分类 - 事件响应工作流 - SSH 暴力破解检测 - SPL 查询编写 - 防火墙遏制 - SOC 调查工作流 ## 使用的工具 - Splunk Enterprise - Splunk Universal Forwarder - Kali Linux - Ubuntu Linux - Hydra - UFW 防火墙 ## 学习成果本项目有助于培养以下方面的实践理解： - SIEM 告警工作流 - 检测规则创建 - 告警调优与节流 - SSH 暴力破解攻击行为 - SOC 告警分类流程 - 基本事件响应生命周期 - 日志调查技术

标签：AMSI绕过, DOS头擦除, Hydra, SOC实验室, Splunk Enterprise, Splunk Universal Forwarder, SSH暴力破解, UFW, Windows 11, 告警监控, 威胁检测, 安全实验室, 安全运营中心, 安全防守, 密码破解, 库, 应急响应, 攻击溯源, 模拟攻击, 生成式AI安全, 网络安全, 网络映射, 自动化告警, 虚拟机, 防火墙配置, 隐私保护