CommonHuman-Lab/gloamfire
GitHub: CommonHuman-Lab/gloamfire
Gloamfire 是一个基于 Docker 的本地对手模拟与检测验证框架,用于安全团队测试检测规则。
Stars: 2 | Forks: 0
# Gloamfire
Purple-team攻击重放与检测验证平台
Gloamfire 是一个**本地优先、Docker 原生的对手模拟与检测验证框架**,适用于 SOC 团队、紫队、家庭实验室和检测工程师。
它在隔离的 Docker 容器中安全地模拟攻击技术,验证您的检测规则是否能被触发,并将所有活动映射到 MITRE ATT&CK——完全离线,无需云依赖。
## 快速开始
**前置条件:** Python 3.12+,带 Compose 插件的 Docker 引擎,4 GB 可用内存。
```
# Kali / Debian / Ubuntu — 在外部管理的 Python 上需要 venv
python3 -m venv .venv && source .venv/bin/activate
pip install gloamfire
```
或从源码安装:
```
git clone https://github.com/CommonHuman-Lab/gloamfire.git
cd gloamfire
python3 -m venv .venv && source .venv/bin/activate
pip install -e .
```
### 启动完整实验环境(受害者 + Wazuh SIEM + Suricata IDS)
```
gloamfire up
```
此单一命令将:
- 在隔离网络上启动三个受害者容器
- 构建并启动 Wazuh manager、indexer 和 dashboard
- 将超过 50,000 条 Emerging Threats 规则下载到 Suricata
### 清理环境
```
gloamfire down
```
### Web 仪表板
```
gloamfire dashboard
```
将在浏览器中打开 `http://127.0.0.1:7100` 的实时仪表板。
查看 [CLI 命令](https://github.com/CommonHuman-Lab/gloamfire/wiki/CLI-Commands) 以获取完整的命令参考——包括模拟、PCAP 抓包、ATT&CK Navigator 导出以及独立的栈管理。
## 可用场景
20 个场景,覆盖了 **14 个战术中的 11 个,约 55 种 MITRE ATT&CK 技术**。
[所有可用场景](https://github.com/CommonHuman-Lab/gloamfire/wiki/Available-Scenarios)
## 架构
- **插件注册表** — 攻击模块在导入时自注册;添加一个模拟只需一个 Python 文件。
- **YAML 驱动场景** — 场景是数据,而非代码。
- **基于文件的采集** — 无需 API 或 OpenSearch 连接;采集器直接读取绑定挂载的日志文件。
- **隔离网络** — 受害者容器运行在 `gloamfire-attack-net` (172.30.0.0/24)。
## 开发
```
pip install -e ".[dev]"
pytest tests/unit/ tests/scenarios/ # no Docker required
pytest # full suite (requires Docker)
ruff check gloamfire/ tests/
ruff format gloamfire/ tests/
mypy gloamfire/
#UI
cd ui
npm install
npm run dev # dev server at :5173, proxies /api to :7100
npm run build # outputs to gloamfire/api/static/ (served by FastAPI)
```
## 相关项目
[OctoRig](https://github.com/CommonHuman-Lab/OctoRig) — 基于 Docker 的易受攻击实验环境启动器(包括 Juice Shop、DVWA、Metasploitable 等)。
## 许可证
本项目根据 [AGPLv3](LICENSE) 许可证授权。
您可以自由使用、修改和分发本软件。如果您将其作为服务运行或进行分发,源代码必须保持开源。
有关商业许可,请联系作者。
标签:ATT&CK映射, BurpSuite集成, Cloudflare, Docker原生, Docker容器, Metaprompt, MITRE ATT&CK, NIDS, PCAP捕获, Python开发, SOC工程, Web截图, 场景模拟, 威胁情报, 安全工具集合, 安全测试, 安全运营中心, 容器化, 容器安全, 对手模拟, 开发者工具, 攻击性安全, 攻击模拟, 攻击重放, 攻击面发现, 暗色界面, 本地优先, 检测验证, 版权保护, 离线安全工具, 紫色团队, 网络安全, 网络安全框架, 网络映射, 请求拦截, 逆向工具, 速率限制处理, 隐私保护, 驱动签名利用