如何建構中小企業的家庭網路攻擊模擬器

建立家庭網路攻擊模擬器 它已成為網路安全領域入門者或希望在專業環境中提升職業生涯的人士最感興趣、最有用的項目之一。其理念很簡單：在實驗室中重現真實世界的攻擊，同時學習如何偵測和遏制這些攻擊，就像中小型企業中的藍隊一樣。

而不僅限於 VirtualBox 中的幾台虛擬機，沒有其他更複雜的功能。真正有趣的是在實驗室裡搭建一個小型「迷你公司」：使用者電腦、日誌伺服器、SIEM 工具、內部服務，當然還有攻擊者。這樣就能模擬真實的威脅，測試防禦機制，最重要的是，可以在不危及生產網路或連接到真實網路的情況下，演練完整的偵測和回應流程。

什麼是家庭網路攻擊模擬器？為什麼你應該對它感興趣？

家庭網路攻擊模擬器本質上是一個實驗室環境。 在這種環境下，您可以模擬真實的網路（家庭或小型企業網路），發動可控攻擊、​​產生遙測資料並訓練防禦技術。這不僅僅是使用 Kali Linux “扮演駭客”，而是建立一個包含受害者、服務、日誌、警報以及完整攻擊和回應週期的場景。

這類模擬器的出現源自於大型組織所面臨的相同需求。 當他們在保密環境下進行網路安全訓練或演習時，無需連接互聯網，也無需擔心惡意軟體入侵外部環境，即可對團隊進行訓練和評估。在這種環境下，會使用複雜的工具套件來模擬數千個網站、真實的網路流量、虛假用戶以及整個網路；在家中或小型企業中，其理念是在較小規模上複製這種方法。

實際上，一個好的家庭或小型企業網路攻擊模擬器 它能幫助你解答以下問題：攻擊者如何入侵？他們在日誌中留下什麼？ SIEM 系統如何感知這些資訊？應該建立哪些警報？響應團隊應該採取哪些步驟？以這種「藍隊」思維設計環境，才能讓你的專案嚴謹可靠，經得起教授或安全經理的質疑。

此外，得益於現代虛擬化技術 您可以在一台具有足夠內存的主機上設置整個環境，將其與網路的其餘部分隔離，並重複使用它來進行自我培訓、培訓他人，甚至在公司內部進行演示，而無需依賴外部實驗室。

實驗室的硬體和軟體需求

在你開始瘋狂創建虛擬機器之前建議您仔細評估資源和工具需求。一個基本上符合實際需求的運作環境會消耗記憶體和 CPU 資源，如果資源不足，您最終會遇到主機運作緩慢、虛擬機器卡頓等問題，而這正是您最需要它們的時候。

作為合理參考，理想情況下，您至少應該擁有 16 GB 的記憶體。 在實體硬體上，需要足夠的配置才能同時運行多台虛擬機器而不會造成過多壓力。雖然配置較低也能實現，但您需要不斷減少虛擬機的記憶體分配，並且需要關閉一些虛擬機來啟動其他虛擬機，這會使過程更加複雜，並降低使用者體驗的流暢度。

關於虛擬化，最常見的選擇是 VMware Workstation 和 VirtualBox，此外，還值得考慮其他一些技術，例如： 基於虛擬化的安全（VBS）兩者都支援創建隔離的內部網路、快照和快速虛擬機器克隆。 VMware 通常提供略勝一籌的效能和整合功能，而 VirtualBox 的優勢在於它是免費的，並且在學術環境中被廣泛使用。

在作業系統和安全軟體層面該項目的基本內容如下：

• Kali Linux ISO （或其他面向滲透測試的發行版）供攻擊團隊使用。
• Windows 10 ISO 面向最終使用者受害者團隊。
• Splunk 免費安裝程式 或使用 SIEM 的替代方案來集中管理日誌。
• Sysinternals 的 Sysmon 和一個 XML 設定文件 做得好，就像 Sysmon Modular 類型的專案一樣。

最後，至少在初始階段，你需要網路連線。 下載 ISO 鏡像、發行版更新以及所有輔助軟體。實驗室搭建完成後，通常會將其隔離，以避免意外情況發生，並確保測試惡意軟體不會洩漏到您的家庭或公司網路中。

針對模擬中小企業的網路拓樸設計

從「自製」實驗室到專為中小企業設計的模擬器的飛躍 關鍵在於網路拓撲：僅僅讓 Kali 和 Windows 運行在同一個網路上已經不夠了。最好像在生產網路中那樣，從分段、角色和服務的角度來考慮網路拓撲。

一個簡單而實際的方案可以包含至少三個不同的區域。 在虛擬網路內部，可以包含：使用者網路（Windows 10）、內部服務所在的網段（例如，執行某些服務和 SIEM 的 Windows 或 Linux 伺服器）以及 Kali 發動攻擊的網路。所有這些都可以透過虛擬機器管理程式中的內部網路、虛擬路由器或配置正確的 NAT 來實現。

在這種情況下，Kali Linux 的行為就像外部攻擊者或被入侵的機器。 該系統旨在轉向利用公司內部資源。 Windows 10 作為員工工作站，包含辦公室工具、瀏覽器、電子郵件以及您認為提供上下文所需的任何其他工具。 Splunk 作為一個中央監控系統，接收來自 Windows（Sysmon 和系統日誌）以及您選擇新增的任何其他裝置的事件。

其理念是，所有產生的惡意流量都會經過 SIEM 的「雷達」。 並記錄下來以便分析。這樣，每次模擬攻擊都會自動成為案例研究：您可以重建時間軸、識別入侵指標，並測試關聯規則或警報，這些規則或警報隨後可以推廣到真實的中小企業環境中。

建立和配置虛擬機

專案的第一部分實踐操作是設定必要的虛擬機器。 並將它們放置在預先定義的拓撲結構中。在這裡，您可以選擇為每個元件分配多少記憶體和 CPU，使用哪些磁碟，以及如何將它們彼此連接起來。

對於 Kali Linux，典型的安裝過程是從官方網站下載 ISO 檔案。在 VMware 或 VirtualBox 中建立一個新的虛擬機，分配幾個 GB 的記憶體和幾個 CPU 核心，然後像安裝其他系統一樣完成安裝。安裝完成後，建議立即更新所有可用軟體包，以確保您擁有最新版本的滲透測試工具。

Windows 10 系統的建立方式類似。使用官方 Microsoft ISO 映像時，如果您打算安裝 Splunk 或同時執行多個使用者應用程序，建議分配比 Kali Linux 更大的記憶體。安裝過程中，請確保網路配置允許虛擬機器與實驗室中的其他虛擬機器通信，但除非測試絕對必要，否則不要連接網路。

當虛擬機器處於「乾淨」狀態時，建立快照是一種很好的做法。 系統更新並安裝基本工具後，每次執行激進模擬（例如，執行使用 msfvenom 產生的惡意軟體）時，都可以恢復到初始狀態，而無需從頭開始重新安裝所有內容。

使用 Splunk 作為中央 SIEM 進行日誌監控

從防禦角度來看，家庭網路攻擊模擬器才有價值你需要一個能夠收集和分析整個網路事件的系統。 Splunk 即使是免費版本，也非常適合作為輕量級的實驗室安全資訊和事件管理 (SIEM) 系統，是教導監控和偵測概念的理想選擇。

在小型環境中，典型的部署方式是將 Splunk 直接安裝在 Windows 10 機器上。 或在同一拓樸結構內的專用 Windows/Linux 伺服器上。安裝完成後，您可以使用管理員憑證登錄，配置索引，並開始定義資料條目以收集安全日誌、系統日誌和應用程式日誌，以及非常重要的 Sysmon 產生的豐富事件。

在 Splunk 中，您可以建立特定的搜尋來追蹤可疑活動。例如異常進程、與不尋常連接埠的出站連接或對 Windows 註冊表的可疑修改。基於這些搜尋結果，下一步合乎邏輯的做法是將有用的查詢轉換為在滿足特定條件時觸發的警報，從而模擬安全分析師的日常工作。

傳送到 SIEM 的遙測資料越多，您的演練就越逼真。但日誌越大，需要管理的資料量就越大。在學術或演示環境中，重點關注入侵偵測的關鍵日誌是合理的：登入事件、進程、網路活動、關鍵配置變更以及已安裝安全工具的特定日誌。

在 Windows 系統上使用 Sysmon 擷取惡意活動

Sysmon（系統監視器）是查看「系統內部運作」的必備工具。 這就是惡意軟體或入侵者在 Windows 系統上所做的操作。與傳統日誌不同，Sysmon 會產生非常詳細的事件訊息，包括進程、網路連接、檔案系統修改等等，這使其成為許多高級檢測方法的基礎。

在 Windows 10 虛擬機器上安裝 Sysmon 需要從 Sysinternals 網站下載 Sysmon。 並配以完善的 XML 設定檔。通常的做法是利用社群維護的公共配置，而不是從頭開始編寫，這些配置已經包含了過濾噪音和突出顯示典型惡意行為的規則。

部署操作是透過具有管理員權限的 PowerShell 控制台執行的。指定可執行檔和 XML 設定檔。安裝完成後，建議驗證服務是否正常執行，以及事件是否開始出現在 Windows 事件檢視器的 Microsoft-Windows-Sysmon 日誌中。

確認 Sysmon 正常運作後，關鍵步驟是確保其事件已傳送至 Splunk。 或連接到您使用的 SIEM 系統。一旦您產生模擬攻擊，Sysmon 就會留下進程、雜湊值、連接和操作的“取證痕跡”，您可以稍後隨時分析這些痕跡，逐步重現整個攻擊場景。

使用 msfvenom 產生測試惡意軟體

為了讓環境更加生動，你需要一個行為像惡意軟體一樣逼真的有效載荷。但你可以完全掌控它。 msfvenom 是 Metasploit 生態系統的一部分，它允許你創建自訂惡意執行文件，這些文件可以連接回你的 Kali 機器，並讓你遠端存取受害者。

例如，您可以從 Kali 虛擬機器產生一個「偽裝」的可執行檔。 該文件名稱看似無害，例如“文件”或“簡歷”，將在 Windows 10 系統中執行，模擬員工開啟惡意文件。 msfvenom 指令定義了酬載類型、攻擊者的 IP 位址和連接埠（LHOST 和 LPORT），以及檔案的輸出格式。

最終生成的是一個二進位文件，在 Windows 系統和許多基本防毒程式看來，該文件是看不見的。如果這些安全軟體沒有正確更新或配置，則可能不會被察覺。在實驗室環境中，通常的做法是暫時停用虛擬機器上的 Windows Defender 或其他安全解決方案，以免它們幹擾實驗，讓您可以專注於日誌和安全事件管理 (SIEM) 偵測方面。

需要強調的是，這些有效載荷僅供教育用途。 僅限在您建立的隔離環境中使用。它們絕不能離開該實驗室，也不能用於攻擊您無法控製或未經您明確授權的系統，否則將構成非法使用攻擊性工具。

Metasploit監聽器配置與攻擊執行

現在有效載荷已經生成，下一步是在 Kali 中準備 Metasploit 監聽器。 當有人執行惡意檔案時，它將負責接收來自受害者機器的連線。這是透過框架的主介面 msfconsole 完成的。

在 Metasploit 中，您可以為建立的有效載荷選擇合適的漏洞利用程式或處理程序。配置 LHOST 和 LPORT 以符合 msfvenom 中使用的參數，並將監聽器置於待機狀態。此後，在 Windows 上執行該二進位檔案應觸發與 Kali 的反向連線。

當受害者執行該文件時，如果一切配置正確，則會發生以下情況：您將獲得一個 Meterpreter 會話或類似程序，可讓您與 Windows 系統互動：列出檔案、擷取螢幕截圖、下載文件等。除了這些操作本身，對專案而言更有趣的是觀察所有這些操作在日誌中留下的資訊。

從藍隊的角度來看，Metasploit 中的活躍會話只是冰山一角。真正有價值的是使用 Splunk，按受害者主機進行篩選，並檢查生成的事件：可疑進程的創建、與不尋常連接埠的連接、對特定路徑的寫入、可能的持久性修改等等。在這裡，你可以學習如何將技術攻擊轉化為可偵測的訊號。

Splunk 中的攻擊偵測、分析和警報

一旦環境能夠偵測到攻擊，就該著手防禦了。在這裡，Splunk 成為分析入侵情況並決定如何為中小企業環境配置有用警報的儀表板。

首先對攻擊期間產生的日誌執行簡單的搜尋。在大致同一時間啟動的進程、來自受感染機器的出站連接、具有未知雜湊值的 Sysmon 事件等等。一點一點地，您將識別出每次執行相同有效載荷時都會重複出現的模式。

有了這些清晰的模式，你就可以在 Splunk 中建立偵測規則。 當出現某些入侵跡象時，例如從臨時資料夾執行二進位檔案、與不尋常連接埠建立出站連接，或在標準工作站上以不尋常的方式建立鍊式進程，就會觸發這些警報。

除了純粹的警報功能外，建立特定的儀錶板也非常有用。 對於您的實驗室：邏輯網路圖、包含最可疑事件的主機清單、異常活動的時間圖表等。即使環境規模很小，像為真正的公司設計儀表板那樣思考，也能幫助您更好地將專案定位為中小企業的解決方案。

解決實驗室常見問題

在這些類型的模擬環境中，一開始「什麼都不會發生」是很正常的。有效載荷無法連接，Metasploit 無法接收會話，Splunk 沒有偵測到任何事件，或者 Sysmon 似乎沒有任何反應。正因如此，在專案中加入一個完善的故障排除部分就顯得尤為重要。

如果有效載荷無法使用 Kali 登入常見的問題出在網路參數：IP 位址錯誤、LHOST/LPORT 設定錯誤，或是虛擬機器上的介面類型選擇錯誤（NAT、橋接、內部網路）。您還應該檢查防火牆是否阻止了監聽端口，以及 Windows Defender 是否隔離了可執行檔。

當問題出在日誌可見度時這通常是由於 Sysmon 配置不完整，或者 Splunk 沒有從正確的來源接收事件造成的。檢查 Sysmon 服務是否正在執行、XML 設定檔是否有效，以及 Splunk 中的資料項目是否指​​向正確的 Windows 事件通道，通常可以解決大多數問題。

複雜實驗室中另一個典型的故障與性能有關。虛擬機器數量超過了可用記憶體。在這種情況下，最好進行優先排序：您可以考慮關閉一些輔助虛擬機，減少不太重要的虛擬機的內存，甚至根據每次演練的需求，將其拆分為兩個場景（一個側重於攻擊，另一個側重於監控）。

拓展與改進：邁向中小企業CTEM環境

一旦你掌握了 Kali + Windows + Splunk 的基本設置，就可以開始進行配置了。下一步是將您的家庭網路攻擊模擬器發展成更接近持續威脅暴露管理程式的東西，即 CTEM（持續威脅暴露管理）。

CTEM 背後的理念是超越「我發動攻擊並查看日誌」這種做法。，轉而採用系統化的循環方法，評估組織的攻擊面（即使是模擬的），確定哪些威脅影響最大，實現測試自動化，並根據真實攻擊的行為不斷調整防禦措施。

在實踐中，這可以轉化為整合其他日誌分析平台。 例如，可以使用 ELK Stack（Elasticsearch、Logstash、Kibana）來建立更自訂的儀表板，或將 Wazuh 作為開源 SIEM/EDR 集成，以添加額外的關聯功能、端點上的輕量級代理以及社群維護的偵測規則。

另一個自然的步驟是使用 Python 或其他語言編寫的腳本來自動化攻擊。 它可以運行預先定義的 MITRE ATT&CK 技術序列，因此您可以啟動週期性的測試“活動”，並衡量檢測結果隨時間推移的改進（或惡化）。這使您的實驗室更接近先進組織使用的實踐模式。

用於在封閉網路中模擬互聯網的高級套件

在要求更高的環境中，例如政府機構或大型公司。攻擊模擬器的概念更進一步，它在完全隔離的網路內建構名副其實的「虛擬互聯網」。其目的是讓學生在無需離開受控環境的情況下，體驗在全球網路上進行導航、攻擊和防禦的感覺。

這是透過研發團隊開發的特定工具套件來實現的。 在網路安全領域，目標是在創建模擬環境時兼顧真實性、效率和成本。這些解決方案通常由多個組件組成，共同創造出一個擁有數千項服務、用戶和多樣化流量的鮮活生態系統。

即使您的中小企業專案不需要達到那種複雜程度了解這些工具可以幫助你獲得靈感，並證明你的實驗室設計是網路安全培訓領域大規模實踐的小規模版本是合理的。

TopGen：模擬來自單一主機的多種服務

TopGen是一款專為離線鍛鍊網路設計的應用服務模擬器它允許您在一台機器（實體機或虛擬機器）上託管多個應用程式層級的服務，例如 HTTP 網站、DNS 網域或虛擬郵件伺服器，每個服務都有自己的特定配置。

TopGen 的關鍵在於它為環回介面分配大量唯一的 IP 位址。 從主機發出請求，使每個模擬服務都像網路上的不同伺服器一樣回應。路由和服務守護程式配置確保客戶端流量到達正確的目的地，並且回應使用正確的 IP 位址傳送出去。

你可以從中小企業模擬器中找到這種方法的靈感。 使用更少的實體資源重建多個內部伺服器（公司網站、郵件伺服器、員工入口網站），同時保持擁有許多不同資產的公司基礎設施的假象。

這大大豐富了攻防演習的內容。因為攻擊者有更多潛在目標，而防禦者必須管理更多樣化的日誌、憑證、配置和潛在入口點。

GreyBox：在單一虛擬機器中模擬網際網路骨幹網

GreyBox 是一款虛擬機，旨在提供對互聯網骨幹網路的完整模擬。 在隔離環境中運作。它模擬了數百個網站、郵件伺服器、加密貨幣環境和其他服務的連接，所有這些服務都運行在 Linux 容器中。

除了應用服務外，GreyBox 還模擬了網路基礎設施本身。擁有根 DNS 和頂級網域名稱 (TLD) 伺服器、功能齊全的 WHOIS 服務，以及具有 IP 位址和類似於現實世界的自治系統的 Tier I 網路雲端。

其中一個最有趣的細節是，許多被收錄的網站 它們是數千個真實網站首頁的副本，使得模擬器中的瀏覽體驗與互聯網非常相似，儘管所有內容實際上都包含在你的實驗室中。

雖然你的專案可能不需要設定完整的灰盒模型。是的，您可以考慮為您的實驗室配備一些額外的服務（各種內部網站、模擬的外部偽服務），使參與練習的用戶對網路釣魚、瀏覽或流量分析測試更加信服。

幽靈：合成用戶與真實流量

GHOSTS是一個旨在訓練網路中創建「合成用戶」的框架。它並非簡單地產生人工流量，而是旨在模擬真實使用者使用電腦的行為：瀏覽網頁、發送電子郵件、執行命令、處理文件等等。

這些虛擬角色可以扮演不同的角色。從勤勉的管理員到惡意的內部人員，再到犯下安全錯誤的粗心用戶，有趣的是，他們的行為產生的流量和事件看起來完全是人類的，並且與 GHOSTS 軟體本身沒有直接關聯。

將類似的概念引入你的家庭網路攻擊模擬器中 （即使是定期打開網站、發送電子郵件或複製文件的簡單腳本）這也意味著攻擊並非發生在網路「真空」中，而是潛藏在合法的網路活動中。這使得偵測變得更加複雜，也更接近真實中小企業中發生的攻擊。

此外，GHOSTS 還允許編排友好、敵對和隨機行為。這為在受控環境下進行內部威脅、多重事件回應或誤報管理等複雜演練打開了大門。

vTunnel：管理視野範圍外的流量

大型活動總會有「後台」人流。 這包括遙測數據、評分、編排命令以及其他維持模擬器運行的不可見線程。如果參與者看到這些流量，就會破壞模擬效果，並可能被誤認為惡意活動。

vTunnel 專門用於隱藏管理流量。 這會創建一個隧道通道，將這些通訊從遊戲空間中隔離出來。流量透過虛擬機器管理程式註入和提取到虛擬機器中，因此玩家無法使用標準的網路監控工具看到它們。

在小型實驗室中，可能只需將管理網路進行實體隔離即可。然而，擁有一個不可見的控制平面這一概念可能很有用。例如，它可以用於收集虛擬機器指標、控制自動化腳本或管理虛擬用戶，而不會污染防禦者分析的資料。

這種方法有助於確保練習集中在真正相關的流量上。 對於您想要展示的使用案例（攻擊、瀏覽、電子郵件等），減少噪音，防止學生浪費時間分析模擬器的純粹基礎設施包。

WELLE-D：高階Wi-Fi網路仿真

這類系列作品中另一件有趣的作品是WELLE-D。其目標是在虛擬環境中提供 Wi-Fi 網路的完整模擬，而不會發出任何真實的無線電訊號，這在禁止使用無線設備的機密區域尤其有用。

WELLE-D 創建虛擬無線接口，產生真實的 802.11 幀。然而，它會將這些流量封裝在隱藏頻道上，使其不會顯示為傳統的乙太網路流量。從 Wi-Fi 審計工具的角度來看，您似乎正在與一個合法的無線網路交互，而實際上所有操作都發生在虛擬化伺服器內部。

這使得學生能夠練習對無線網路的攻擊和防禦。 以完全安全的方式，在不干擾物理環境的前提下，使用與真實審計相同的工具：幀捕獲、資料包注入、對身份驗證協定的攻擊等。

在模擬中小企業的背景下，您可以引入虛擬Wi-Fi網路的概念。 履行典型訪客網路或辦公室內部無線網路的角色，因此包括密碼破解、非法存取點或從受損存取點橫向移動等攻擊。

TopoMojo：實驗室的建造與再利用

最後，TopoMojo是一個Web應用程序，其目標是簡化虛擬實驗室的創建和部署。它就像一個“拓撲庫”，您可以從中設計、保存和啟動完整的訓練環境。

TopoMojo 主要有兩個面向：玩家面向和內容創作者面向。玩家瀏覽可用的實驗室，啟動它們，並訪問機器以完成練習目標。創建者設計拓撲結構，定義網路、主機數量、基礎鏡像以及必要的連接。

TopoMojo背後的理念與您的專案完美契合。建立一個模擬環境，它不只是用於演示的一次性工具，而是一個可以重複使用、與其他學生或同事共享，並隨著時間的推移隨著新的攻擊和防禦場景而不斷發展的平台。

即使不直接使用 TopoMojo，記錄你的實驗過程仍然是一個好主意。 就像你要把它上傳到這樣的平台一樣：描述虛擬機器、拓樸結構、使用場景以及啟動和運行的步驟。這樣能讓它看起來更專業，也方便其他人重現學習。

總體而言，對於中小企業來說，這是一款設計精良的家庭網路攻擊模擬器。 它將技術層面（虛擬化、網路、Kali、Windows、Splunk、Sysmon、受控惡意軟體產生）與受大型模擬套件啟發而設計的教學層面相結合：逼真的流量、合成用戶、層級分離以及可擴展性和自動化能力。如此一來，您的專案不再只是一個簡單的測試實驗室，而成為一個用於防禦的培訓和持續改進工具，與那些嚴肅的組織機構目前用於加強其網路安全團隊的工具非常相似。