《云原生安全攻防》-- 容器攻擊案例：鏡像投毒與Fork炸彈

在本節(jié)課程中，我們將介紹兩個(gè)比較有意思的容器攻擊案例，鏡像投毒與Fork炸彈。

在這個(gè)課程中，我們將學(xué)習(xí)以下內(nèi)容：

• 鏡像投毒：構(gòu)建惡意鏡像，誘導(dǎo)用戶拉取鏡像創(chuàng)建容器。

• Fork炸彈：Fork炸彈的攻擊原理及防范措施。

  ---

  
  

我們來介紹鏡像投毒。攻擊者將惡意代碼注入到鏡像文件中，構(gòu)建出惡意鏡像，當(dāng)用戶拉取到惡意鏡像并運(yùn)行容器時(shí)，惡意代碼就會(huì)在容器啟動(dòng)過程中被執(zhí)行，從而獲取對容器環(huán)境的訪問權(quán)限。

與攻擊容器應(yīng)用相比，鏡像投毒的攻擊成本較低，但收益更高，攻擊者可以通過將惡意鏡像上傳到公開倉庫或是入侵本地倉庫后篡改鏡像等方式來執(zhí)行鏡像投毒的動(dòng)作。這種攻擊方式允許攻擊者直接利用鏡像作為潛在的攻擊入口，通過在構(gòu)建、分發(fā)或存儲(chǔ)過程中操縱鏡像來傳播惡意代碼。因此，針對容器鏡像供應(yīng)鏈的攻擊越來越普遍。

容器攻擊案例：Fork炸彈。默認(rèn)情況下，如果用戶在創(chuàng)建容器時(shí)，并未對容器內(nèi)進(jìn)程的CPU、內(nèi)存等資源使用進(jìn)行限制，這將導(dǎo)致容器環(huán)境容易遭受Fork炸彈，攻擊者通過創(chuàng)建大量進(jìn)程來耗盡系統(tǒng)資源，最終導(dǎo)致系統(tǒng)崩潰或服務(wù)不可用。

云原生安全攻防--容器攻擊案例：鏡像投毒與Fork炸彈