在本节课程中,我们将介绍两个比较有意思的容器攻击案例,镜像投毒与Fork炸弹。
在这个课程中,我们将学习以下内容:
-
镜像投毒:构建恶意镜像,诱导用户拉取镜像创建容器。
-
Fork炸弹:Fork炸弹的攻击原理及防范措施。
我们来介绍镜像投毒。攻击者将恶意代码注入到镜像文件中,构建出恶意镜像,当用户拉取到恶意镜像并运行容器时,恶意代码就会在容器启动过程中被执行,从而获取对容器环境的访问权限。
与攻击容器应用相比,镜像投毒的攻击成本较低,但收益更高,攻击者可以通过将恶意镜像上传到公开仓库或是入侵本地仓库后篡改镜像等方式来执行镜像投毒的动作。这种攻击方式允许攻击者直接利用镜像作为潜在的攻击入口,通过在构建、分发或存储过程中操纵镜像来传播恶意代码。因此,针对容器镜像供应链的攻击越来越普遍。
容器攻击案例:Fork炸弹。默认情况下,如果用户在创建容器时,并未对容器内进程的CPU、内存等资源使用进行限制,这将导致容器环境容易遭受Fork炸弹,攻击者通过创建大量进程来耗尽系统资源,最终导致系统崩溃或服务不可用。
云原生安全攻防--容器攻击案例:镜像投毒与Fork炸弹
