Zum Inhalt springen
Security Lab

Docker Setup

Voraussetzungen

Abschnitt betitelt „Voraussetzungen“

Download

Abschnitt betitelt „Download“

Lade den docker-setup Ordner herunter:

docker-setup.zip herunterladen

  • Ordnerdocker-setup/
    • docker-compose.yml
    • Ordnerclient/
      • Dockerfile
      • client.py
    • Ordnerserver/
      • Dockerfile
      • server.py
    • Ordneroutput/ (PCAP wird hier gespeichert)
    • README.md

Quick Start

Abschnitt betitelt „Quick Start“

  1. In den Ordner wechseln

    Terminal-Fenster
    cd docker-setup

  2. Container starten

    Terminal-Fenster
    docker-compose up --build

  3. Warten (~5 Minuten)

    Du siehst die Beacons in der Konsole:

    malware-client  | [Beacon 1/10]
    malware-client  | [DNS] Resolving update-checker-info.net
    malware-client  | [HTTP] Beacon -> http://10.10.10.50:8088/checkin?id=4521
    c2-server       | [BEACON] ID: 4521, Client: 10.10.10.10

  4. Warten bis “Simulation complete”

    malware-client  | [DONE] Simulation complete

  5. Container stoppen

    Terminal-Fenster
    # Ctrl+C oder:
    docker-compose down

  6. PCAP verwenden

    Terminal-Fenster
    ls output/
    # training_c2.pcap

Was passiert?

Abschnitt betitelt „Was passiert?“
┌─────────────────────────────────────────────────────┐
│              Docker Network (10.10.10.0/24)         │
│                                                     │
│  ┌─────────────┐   Beacons    ┌─────────────┐      │
│  │   Client    │ ──────────►  │   Server    │      │
│  │ 10.10.10.10 │              │ 10.10.10.50 │      │
│  └─────────────┘              └─────────────┘      │
│                                                     │
│  ┌─────────────────────────────────────────────┐   │
│  │              tcpdump Container               │   │
│  │         (speichert training_c2.pcap)        │   │
│  └─────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────┘
ContainerIPFunktion
c2-server10.10.10.50Empfängt Beacons
malware-client10.10.10.10Sendet 10 Beacons
tcpdump10.10.10.100Schneidet Traffic mit

Konfiguration

Abschnitt betitelt „Konfiguration“

Schnellere PCAP (für Tests)

Abschnitt betitelt „Schnellere PCAP (für Tests)“

Bearbeite docker-compose.yml:

malware-client:
  environment:
    - BEACON_INTERVAL=10    # 10 statt 30 Sekunden
    - MAX_BEACONS=6         # 6 statt 10 Beacons

→ PCAP in ~1 Minute statt ~5 Minuten

Mehr Traffic

Abschnitt betitelt „Mehr Traffic“
malware-client:
  environment:
    - BEACON_INTERVAL=30
    - MAX_BEACONS=20        # Mehr Beacons

Troubleshooting

Abschnitt betitelt „Troubleshooting“
ProblemLösung
”Cannot connect to Docker”Docker Desktop starten
Leere PCAPWarten bis “Simulation complete”
Permission deniedchmod 777 output/
Port 8088 belegtAnderen Port in docker-compose.yml

Aufräumen

Abschnitt betitelt „Aufräumen“
Terminal-Fenster
# Container stoppen
docker-compose down


# Auch Images löschen
docker-compose down --rmi all


# Output leeren
rm output/*.pcap

PCAP verteilen

Abschnitt betitelt „PCAP verteilen“

Nach dem Durchlauf liegt die Datei unter:

output/training_c2.pcap

Diese Datei an die Studierenden verteilen (Moodle, LMS, etc.).