专注于网络攻击类流量特征分析与检测训练的开源靶场项目,由 crow 发起并维护。
VulnTrace 是一个以 A-Z 字母顺序为主线,收录当前主流攻击工具(如 AntSword、SQLMap、Cobalt Strike 等)的网络流量特征,并提供对应的:
- 📦 流量样本(pcap)
- 📖 详细分析文档
- 🧪 可复现的 docker 靶场环境(部分可选)
- ✅ 可验证的检测练习题
本项目致力于帮助红队、蓝队、安全研究人员理解攻击行为背后的网络痕迹,提升检测与应对能力。
- ⛓️ 重现攻击工具真实流量行为
- 🔍 分析其流量特征与模式
- 🛡️ 辅助规则编写与检测模型训练
- 🎯 为攻防演练/CTF 提供训练材料
vulntrace-master/ └── sqlmap_trace/ # SQLMap相关的流量追踪模块 ├── web/ # Web服务相关文件 │ ├── index.php # Web应用入口文件 │ └── Dockerfile # Web服务的Docker配置文件 ├── sqlmap_trace.md # SQLMap追踪文档(Markdown格式) ├── init.sql # 数据库初始化脚本 ├── docker-compose.yml # 多容器Docker编排配置 └── pcaps/ # 攻击流量包存储目录 └── sqlmap_trace.pcapng # SQLMap攻击流量的PCAPNG格式文件
| 工具名 | 类型 | 流量特征 | 分析状态 |
|---|---|---|---|
| AntSword | WebShell C2 | ✅ | ⏳ 处理中 |
| Behinder | WebShell C2 | ✅ | ⏳ 处理中 |
| SQLMap | 注入工具 | ✅ | ✅ 已发布 |
| Dirbuster | 爆破工具 | ✅ | ⏳ 处理中 |
| CobaltStrike | C2框架 | ✅ | ⏳ 处理中 |
| Gobuster | 目录爆破 | ✅ | ⏳ 处理中 |
| Fscan | 资产探测工具 | ✅ | ⏳ 待补充 |
| ... | ... | ... | ... |
📌 欢迎贡献新工具流量包与文档,共建更完整的攻击画像特征库!
# 下载项目 git clone https://github.com/crow821/vulntrace.git cd vulntrace # 打开某个工具分析文档 less sqlmap.md # 使用 Wireshark 打开对应流量包 wireshark sqlmap_trace.pcap
# 进入复现环境目录 cd sqlmap_trace # 构建靶场环境 docker-compose up -d # 抓包 & 分析
- 安全初学者:理解攻击流量的基本结构
- 安全工程师:提取攻击检测特征
- 威胁研究员:制作检测规则 / IDS 规则
- SOC / 蓝队:训练实战流量识别能力
- 推荐使用 Wireshark 进行分析
- 若需要自动检测特征,可尝试 YARA、Suricata 等工具结合使用
- 所有复现环境基于
docker-compose
我们欢迎所有安全研究员与开发者参与:
- 提交新的工具流量样本
- 撰写分析文档
- 设计可交互任务
- 或提供反馈 / 需求建议
请直接提 PR 或 Issue,或通过邮箱/公众号联系我们。
- 📮 Email:
crow_821#163.com(请将 # 替换为 @) - 📢 公众号:乌鸦安全
本项目遵循 MIT License,仅用于学习与研究,严禁用于任何非法用途。
你可以通过 GitHub Star 支持该项目持续更新 👇 https://github.com/crow821/vulntrace