安全红黑攻防实验

了解红蓝对抗的基本概念与战术，掌握攻防对抗的核心流程。

2、红队（攻击方）模拟真实网络攻击，综合运用信息收集、漏洞利用、横向移动、权限提升等技术进行渗透测试。

3、蓝队（防御方）结合日志分析、入侵检测系统（IDS）、安全信息与事件管理（SIEM）系统进行威胁检测、响应和溯源。

4、通过攻防实战，培养学生的团队协作、战术思维和应急响应能力。

5、结合MITRE ATT&CK框架，从战术层面分析攻击路径，并优化防御策略。

一、 实验内容

1、红蓝对抗基础

l 介绍红蓝对抗的基本原则、战术框架及常见攻防策略。

l 红队目标：模拟攻击者行为，渗透目标网络并获取关键资产。

l 蓝队目标：检测、阻断攻击，进行日志分析、威胁溯源并实施防御措施。

2、红队攻击流程

l 信息收集（TA0043）

• 使用Nmap、Shodan、OSINT技术收集目标环境信息。
• 扫描网络拓扑，识别开放端口与服务（T1595）。

l 初始访问（TA0001）

• 通过钓鱼邮件（Phishing, T1566）、水坑攻击（Watering Hole, T1189）或弱口令爆破（T1110）获取初始权限。

l 漏洞利用与权限提升（TA0004）

• 利用已知漏洞（如CVE-2021-34527 PrintNightmare）或本地提权工具（Mimikatz, JuicyPotato）获取更高权限。

l 横向移动（TA0008）

• 通过Pass the Hash（T1550.002）、PsExec（T1569.002）、RDP（T1021.001）等方式扩展控制范围。

l 持久化（TA0003）

• 设定后门（如注册表修改、计划任务），确保攻击成功后能够持续访问受控系统。

3、蓝队防御策略

l 安全监控

• 使用ELK、Splunk、Zeek收集日志，分析攻击行为模式。
• 重点监控进程创建、用户登录、网络连接等事件（Windows Event ID 4688, 4624, 1102）。

l 入侵检测

• 使用Suricata、Snort或Wazuh检测攻击流量，并配置告警策略。

l 溯源与应急响应

• 结合日志分析攻击路径，识别攻击者使用的工具与策略。
• 通过阻断C2通信、隔离受感染主机等手段遏制攻击。

二、 实验环境

1、系统环境：

l Windows Server 2019（域控模拟）

l Windows 10（用户终端，模拟被攻击目标）

l Ubuntu Server（运行ELK、Zeek等安全监控系统）

l Kali Linux（红队攻击机）

l Metasploitable 2/3（易受攻击的测试环境）

2、软件与工具：

l 红队攻击工具：Nmap、Metasploit、Mimikatz、BloodHound、Cobalt Strike、Empire

l 蓝队防御工具：Sysmon、ELK（Elasticsearch, Logstash, Kibana）、Suricata、Wazuh、Wireshark

l 威胁检测：Sigma规则、MITRE ATT&CK Navigator