AWD竞赛平台实战:从零搭建Cardinal系统
1. 为什么选择Cardinal搭建AWD竞赛平台
第一次接触AWD(Attack With Defense)竞赛时,我被这种实时攻防对抗的比赛形式深深吸引。但作为组织者,最头疼的就是搭建一个稳定可靠的比赛平台。尝试过几个开源方案后,最终锁定了Cardinal——这个由Vidar-Team开发的Go语言编写的专业平台。
Cardinal最大的优势在于它的轻量级架构和完整的功能闭环。相比其他需要复杂环境依赖的平台,Cardinal的二进制文件可以直接运行,从下载到启动最快只要5分钟。我去年用它在公司内部组织了3次攻防演练,最直观的感受是:配置简单但功能不简单。
平台内置了完整的比赛流程管理:
- 自动化Flag轮换机制
- 实时分数计算
- 多维度数据统计
- 可视化大屏对接
- 靶机集群管理
特别值得一提的是它的异常检测能力。有次比赛中某台靶机被选手意外搞崩,平台立即自动隔离故障机器并通知裁判,整个过程不到10秒。这种自愈能力正是源自其名字的灵感——《刀剑神域》中能自我修复的Cardinal系统。
2. 搭建前的环境准备
2.1 硬件与基础软件
我的测试环境是一台4核8G的云服务器,实际使用中发现Cardinal对资源要求非常友好:
- 最低配置:1核CPU/512MB内存就能运行基础功能
- 推荐配置:2核CPU/2GB内存(同时管理10台靶机无压力)
- 磁盘空间:预留5GB用于存放靶机镜像和日志
操作系统方面,实测过这些组合:
- Ubuntu 20.04/22.04(最稳定)
- Debian 11(兼容性好)
- Kali Linux 2023(适合本地测试)
- CentOS 7(需要额外配置依赖)
避坑指南:曾在ARM架构的树莓派上尝试部署,虽然能运行但性能较差,不建议用于正式比赛。
2.2 关键组件安装
这三个组件必须提前准备好:
- Docker:建议安装20.10+版本
curl -fsSL https://get.docker.com | sh systemctl enable --now docker - Docker Compose:V2版本体验更好
mkdir -p ~/.docker/cli-plugins curl -SL https://github.com/docker/compose/releases/download/v2.20.3/docker-compose-linux-x86_64 -o ~/.docker/cli-plugins/docker-compose chmod +x ~/.docker/cli-plugins/docker-compose - MySQL:5.7或8.0版本均可
apt install mysql-server mysql_secure_installation
特别提醒:如果使用云服务器,务必在安全组开放以下端口:
- 19999(Cardinal默认端口)
- 30000-30100(靶机SSH端口范围)
- 8800-8900(靶机Web服务端口)
3. Cardinal平台部署详解
3.1 初始化安装
先从GitHub下载最新release包,以v0.8.1为例:
wget https://github.com/vidar-team/Cardinal/releases/download/v0.8.1/Cardinal_v0.8.1_linux_amd64.tar.gz tar -zxvf Cardinal*.tar.gz chmod +x Cardinal首次运行时会进入交互式配置向导,有几个关键参数需要注意:
- 比赛时间:建议设置时区为UTC+8
- 轮次间隔:常规AWD设置为3分钟/轮
- 扣分规则:Checkdown扣分建议设为30-50分
- 数据库配置:如果使用远程数据库,地址格式为
IP:Port
配置文件Cardinal.toml生成后,可以通过环境变量覆盖配置:
CARDINAL_DB_PASSWORD="newpass" ./Cardinal3.2 后台管理实操
访问http://服务器IP:19999/manager进入管理后台,重点功能包括:
队伍管理
- 支持批量导入(CSV格式)
- 自动生成SSH凭证
- 自定义队伍颜色标识
题目配置
1. 上传题目附件时注意: - 单个文件不超过50MB - 压缩包自动解压 - 支持在线编辑Web题目 2. Flag设置技巧: - 动态变量:`{{RANDOM_32}}` - 时间戳:`{{TIMESTAMP}}` - 组合模式:`flag{${MD5(${TEAM_HASH}+${ROUND})}}`比赛控制
- 实时启停比赛
- 手动触发Flag轮换
- 异常状态回滚
4. 靶机集群部署方案
4.1 标准靶机构建
推荐使用glzjin的AWD靶机模板:
git clone https://github.com/glzjin/20190511_awd_docker cd 20190511_awd_docker vim docker-compose.yml关键配置项修改示例:
version: '3' services: web: build: . ports: - "8801:80" # 外部访问端口 - "30001:22" # SSH端口 environment: - FLAG=flag{test} # 初始Flag restart: unless-stopped启动命令:
docker-compose up -d --build4.2 批量部署技巧
当需要部署多台同类型靶机时,可以用这个脚本自动生成配置:
import yaml template = """ version: '3' services: web{num}: build: . ports: - "{web_port}:80" - "{ssh_port}:22" environment: - FLAG=flag{{team{num}}} """ for i in range(1, 6): with open(f"docker-compose-team{i}.yml", "w") as f: f.write(template.format( num=i, web_port=8800+i, ssh_port=30000+i ))4.3 靶机监控策略
在Cardinal中配置靶机健康检查:
- 创建
check.sh检测脚本
#!/bin/bash # 检查Web服务 curl -I http://localhost | grep "200 OK" # 检查Flag文件 grep -q "flag{" /flag- 设置定时任务
*/2 * * * * /root/check.sh | mail -s "靶机状态" admin@example.com5. 高级功能配置
5.1 可视化大屏集成
Asteroid大屏的配置要点:
- 下载对应版本解压
- 修改配置文件:
{ "Cardinal": { "BaseURL": "http://你的服务器IP:19999", "ManagerToken": "从Cardinal后台获取的Token" } }- 启动参数调整:
./Asteroid --width 1920 --height 1080 --fullscreen5.2 自定义评分规则
通过修改Cardinal.toml实现特殊赛制:
[game] attack_score = 50 # 攻击得分 checkdown_score = -30 # 服务宕机扣分 defense_score = 20 # 防御加分(需配合插件) [plugins] defense_detector = "/plugins/defense.so" # 自定义检测模块5.3 流量镜像与分析
在Docker网卡上开启流量镜像:
iptables -t mangle -A PREROUTING -j TEE --gateway 10.0.0.2配合Wireshark实时分析:
tshark -i docker0 -Y "http or ssh" -w awd.pcap6. 实战问题排查指南
数据库连接失败
- 检查MySQL的bind-address是否为0.0.0.0
- 确认用户有远程访问权限
GRANT ALL ON *.* TO 'user'@'%'; FLUSH PRIVILEGES;靶机SSH无法连接
- 检查端口映射
docker port 容器ID 22- 重置SSH配置
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config service ssh restartFlag更新异常
- 确认容器有写入权限
docker exec -it 容器ID chmod 777 /flag- 检查Cron服务状态
systemctl status cron记得在正式比赛前做全流程压力测试,我通常会模拟10支队伍连续攻防2小时,观察系统负载和网络延迟。遇到任何问题都可以在Cardinal的GitHub提交issue,开发团队响应非常及时。