构建虚拟化网络安全实验室:引入 Kali Linux 攻击者
发布: (2025年12月15日 GMT+8 09:12)
4 min read
原文: Dev.to
Source: Dev.to
实验室架构提醒
简要回顾,这个虚拟化的网络安全实验室包括:
- pfSense 防火墙,充当路由器、DHCP 服务器和 DNS 转发器
- Lab‑NAT 和 Lab‑LAN 虚拟网络
- Windows Server 2022(Active Directory 域控制器)
- 加入域的 Windows 11 工作站
- Ubuntu Desktop(Splunk SIEM)
- Ubuntu Server(基础设施服务)
- Kali Linux 攻击虚拟机(内部对手)
此时,环境模拟了一个小型企业网络,具备集中式身份管理、日志记录和分段路由。
将 Kali 引入为内部对手
此步骤的目标是部署一个受控的攻击系统,该系统完全位于 lab‑LAN 内部,并能产生可观察的活动,而不暴露宿主机或外部网络。
步骤 1 — 创建 Kali Linux 虚拟机
Kali Linux 虚拟机使用实验室中一直使用的 virt-install / Virt‑Manager 工作流部署:
sudo virt-install \
--name kali \
--ram 4096 \
--vcpus 2 \
--disk path=/var/lib/libvirt/images/kali.qcow2,size=20,format=qcow2 \
--cdrom /var/lib/libvirt/boot/kali-linux.iso \
--network network=lab-lan,model=virtio \
--os-variant ubuntu22.04 \
--graphics spice \
--boot uefi
注意事项
- Kali 虚拟机仅连接到 lab‑LAN,保持与宿主机和互联网的隔离。
- 建议使用静态 IP,以确保攻击模拟可重复且日志可预测。
步骤 2 — 配置静态 IP(可选但推荐)
手动分配静态 IP 可简化 Splunk 检索和检测逻辑。
步骤 3 — 将 Kali 集成到 Splunk
在已有的集中日志系统基础上,下一步是确保 Kali 产生的活动可被观察。
sudo apt install rsyslog
echo '*.* @10.0.0.52:514' | sudo tee /etc/rsyslog.d/60-splunk.conf
sudo systemctl restart rsyslog日志通过 UDP syslog 转发,以保持与现有 Ubuntu 和 pfSense 日志摄取管道的一致性。
在生产环境中,攻击系统的日志转发会被严格限定。此实验室中,完整可见性是为了支持学习和检测验证。
验证网络连通性和路由
A. 从 Kali 完整网络发现
ip a
ip route
nmap -sn 10.0.0.0/24
证明内容
- Kali 已正确接入 lab‑LAN。
- pfSense 正在按设计进行路由。
- 所有域成员均可访问。
SOC 视角:内部主机发现是常见的侦察技术,通常会因异常扫描行为触发调查。
B. 受控端口扫描
nmap -sS -p 1-1024 10.0.0.25
扫描完成后,在 Splunk 中搜索:
index=* host=winserver*
证明内容
- 攻击流量已成功生成。
- 主机防火墙行为可见。
- 遥测数据已集中摄取。
观察身份与认证活动
A. Kerberos 认证验证
kinit administrator@LAB.LOCAL
klist