0xb00b5/0xb00b5-packmate
5
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
d085e04168b01905fac5190ab6d408ed8c6b170b
0xb00b5-packmate/docs/SETUP.md
Sergey 872e27b926 Update docs
2023-04-14 00:58:44 +00:00

4.7 KiB
Raw Blame History

Настройка

Packmate использует настройки из файла .env (в той же папке, что и docker-compose.yml)

Основные настройки

# Локальный IP сервера, на который приходит игровой трафик
PACKMATE_LOCAL_IP=10.20.1.1
# Имя пользователя для web-авторизации
PACKMATE_WEB_LOGIN=SomeUser
# Пароль для web-авторизации
PACKMATE_WEB_PASSWORD=SomeSecurePassword

Режим работы

Packmate поддерживает три основных режима работы: LIVE, FILE и VIEW.

  1. LIVE - это основной режим работы во время CTF. Packmate обрабатывает живой трафик и сразу выводит результаты.
  2. FILE - обрабатывает трафик из pcap файлов. Полезен для анализа трафика с прошедших CTF, где не был запущен Packmate, или тех, где невозможно запустить его на вулнбоксе.
  3. VIEW - Packmate не обрабатывает трафик, а только показывает уже обработанные стримы. Полезен для разборов после завершения CTF.
Настройка LIVE

Необходимо указать интерфейс, через который проходит игровой трафик. На этом же интерфейсе должен располагаться ip, указанный в параметре PACKMATE_LOCAL_IP

# Режим работы - перехват
PACKMATE_MODE=LIVE
# Интерфейс, на котором производится перехват трафика
PACKMATE_INTERFACE=game
Настройка FILE

Необходимо указать название pcap файла, лежащего в папке pcaps. После запуска в веб-интерфейсе появится кнопка, активирующая чтение файла. Важно, чтобы к этому моменту уже были созданы сервисы и паттерны (см. раздел Использование).

# Режим работы - анализ файла
PACKMATE_MODE=FILE
# Название файла в папке pcaps
PACKMATE_PCAP_FILE=dump.pcap
Настройка VIEW

В этом режиме Packmate просто показывает уже имеющиеся данные.

# Режим работы - просмотр
PACKMATE_MODE=VIEW

Очистка БД

На крупных CTF через какое-то время накапливается большое количество трафика. Это замедляет работу Packmate и занимает много места на диске.

Для оптимизации работы, рекомендуется включить регулярную очистку БД от старых стримов. Это будет работать только в режиме LIVE.

PACKMATE_OLD_STREAMS_CLEANUP_ENABLED=true
# Интервал удаления старых стримов (в минутах).
# Лучше ставить маленькое число, чтобы стримы удалялись маленькими кусками, и это не нагружало систему
PACKMATE_OLD_STREAMS_CLEANUP_INTERVAL=1
# Насколько старым стрим должен быть для удаления (в минутах от текущего времени)
PACKMATE_OLD_STREAMS_CLEANUP_THRESHOLD=240

Дополнительные настройки

# Пароль от БД. Из-за того, что БД принимает подключения только с localhost, менять его необязательно, но можно, для дополнительной безопасности.
PACKMATE_DB_PASSWORD=K604YnL3G1hp2RDkCZNjGpxbyNpNHTRb
# Версия Packmate. Можно изменить, если нужно использовать другой образ из docker registry.
BUILD_TAG=latest

Чтобы использовать расшифровку TLS (с RSA), нужно положить соответствующий приватный ключ, который использовался для генерации сертификата, в папку rsa_keys.

Файлы БД сохраняются в ./data, поэтому для обнуления базы нужно удалить эту папку.

Reference in New Issue View Git Blame Copy Permalink