padma-soc2027/SOC-Journey-29June2026
GitHub: padma-soc2027/SOC-Journey-29June2026
记录一名初学者在30天内通过真实工具和实验环境培养 SOC 分析师技能(检测、分析、响应)的实操学习仓库。
Stars: 0 | Forks: 0
# SOC 之旅 2026 🛡️
**30 天 SOC Analyst 实操实验室 | Parrot OS**
作者:@padma-soc2027
本仓库记录了我每天使用真实世界的工具、攻击和防御手段学习 SOC Analyst 技能的旅程。
## 📌 实验室概述
- **操作系统**:Parrot OS Security Edition
- **目标**:培养实用的 SOC 技能 - 检测、分析、响应
- **使用工具**:Nmap、Fail2ban、nftables、Wireshark、Bash Scripting
## 📅 每日进度日志
| 天数 | 主题 | 使用工具 | 关键成果 |
| --- | --- | --- | --- |
| **Day 4** | NMap + CVE 分析 | `nmap`、`dnsmasq` | 发现 dnsmasq 2.76 中的严重 RCE 漏洞 |
| **Day 5** | NMap NSE 自动化 | `nmap --script` | 发现 CVE-2017-14491 - CVSS 9.8 严重级别 |
| **Day 6** | NMap -sV 服务扫描 | `nmap -sV` | 完成服务版本枚举 |
| **Day 9** | 自动化 SOC 实验室 | `bash`、`nmap` | 创建了用于自动扫描和报告的 `scan.sh` |
| **Day 10** | IP 封禁 + 事件响应 | `fail2ban`、`nftables` | 封禁了攻击者 IP。撰写了事件报告 |
## 🛠️ 关键产物
| 文件 | 描述 |
| --- | --- |
| `scan.sh` | 用于 Nmap + 漏洞扫描的自动化 bash 脚本 |
| `capture.pcap` | 用于分析的 Wireshark 数据包捕获 |
| `nmap_result.txt` | Nmap 扫描输出 |
| `vuln_result.txt` | 漏洞扫描结果 |
| `Incident_Report_Day10.md` | 专业的 SOC 事件报告模板 |
| `report.md` | 每日实验室总结 |
## 🔥 Day 10 亮点:Fail2ban + nftables 设置
**问题**:SSH Brute Force 攻击
**解决方案**:3 次登录失败后自动封禁 IP
**配置:`/etc/fail2ban/jail.local`**
```
[sshd]
enabled = true
maxretry = 3
bantime = 3600
backend = systemd
mode = aggressive
**Verification Commands:**
```bash
sudo fail2ban-client status sshd
sudo nft list table inet f2b-table
**RESULT: Banned IP list 127.0.0.1 ::1**
```
标签:CTI, SOC分析师, 学习笔记, 安全实验, 安全运营, 应用安全, 扫描框架