moncadacyb/linux-ssh-bruteforce-lab

# 🛡️ Linux SSH 暴力破解检测与响应实验 ## 📌 概述 本项目模拟一个蓝队安全场景：Ubuntu 服务器遭受来自 Kali Linux 攻击机的 SSH 暴力破解尝试。 实验目标包括检测恶意认证尝试、分析 Linux 日志、识别攻击者活动，以及使用原生 Linux 安全工具实施防御措施。 # 🏗️ 实验架构 ## 🖥️ Ubuntu 服务器（RED） - 目标系统 - 已启用 SSH 服务 - 分析认证日志 - 配置 UFW 防火墙 ## 💻 Kali Linux - 攻击机 - SSH 暴力破解模拟 - 生成失败登录尝试 # 🎯 目标 - 模拟 SSH 暴力破解攻击 - 分析 Linux 认证日志 - 检测攻击者 IP 地址 - 实时监控日志 - 使用 UFW 实施防火墙缓解措施 # ⚔️ 攻击模拟 从 Kali Linux 向 Ubuntu 服务器建立 SSH 连接： ``` ssh RED@192.168.1.146 ``` 模拟暴力破解尝试： ``` ssh root@192.168.1.146 ssh admin@192.168.1.146 ssh test@192.168.1.146 ``` # 🔍 检测与分析 ## 检测失败密码 ``` grep "Failed password" /var/log/auth.log ``` ## 提取攻击者 IP 地址 ``` grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c ``` ## 实时日志监控 ``` tail -f /var/log/auth.log ``` ## 搜索 SSH 事件 ``` grep "ssh" /var/log/auth.log ``` # 🛡️ 事件响应 ## 防火墙状态验证 ``` sudo ufw status verbose sudo ufw status numbered ``` ## 阻断攻击者 IP ``` sudo ufw deny from 192.168.1.102 ``` # 📸 证据 项目包含以下截图： - 成功的 SSH 连接 - 失败的登录尝试 - 实时日志监控 - SSH 日志分析 - UFW 防火墙配置 - 攻击者 IP 阻断 - 从 Kali Linux 阻断 SSH 访问 # 📊 主要发现 - SSH 服务是常见攻击目标 - Linux 认证日志提供有价值的取证数据 - 实时监控提升事件可见性 - UFW 可用于快速攻击缓解 - 原生 Linux 工具对基础 SOC 操作有效 # 🔄 事件处理流程 1. Kali Linux 与 Ubuntu 服务器建立 SSH 连接 2. 生成多次失败登录尝试 3. 认证日志记录攻击者活动 4. 使用 grep 和 awk 分析日志 5. 识别攻击者 IP 地址 6. 应用 UFW 防火墙规则 7. 成功阻断 SSH 访问 # 🚀 结论 本项目使用原生 Linux 工具演示了基本的蓝队 / SOC 工作流程。 实验模拟： 攻击 → 检测 → 分析 → 响应 → 遏制 提供了 Linux 安全监控、SSH 攻击检测和事件响应的实践操作经验。

标签：AMSI绕过, auth.log, awk, BurpSuite集成, GitHub Advanced Security, grep, IP封禁, Linux工具, PFX证书, SSH暴力破解, tail, UFW防火墙, WSL, 信息安防, 内存分配, 威胁检测, 安全加固, 安全实验室, 安全运营, 应用安全, 扫描框架, 攻击检测, 端口探测, 蓝队演练, 认证日志, 防火墙规则