免责声明:本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安全+的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!
拒绝服务攻击
9.2. 拒绝服务攻击
9.2.1. 简介
DoS(Denial of Service)指拒绝服务,是一种常用来使服务器或网络瘫痪的网络攻击手段。
在平时更多提到的是分布式拒绝服务(DDoS,Distributed Denial of Service) 攻击,该攻击是指利用足够数量的傀儡计算机产生数量巨大的攻击数据包,对网络上的一台或多台目标实施DoS攻击,从而耗尽受害目标的资源,迫使目标失去提供正常服务的能力。
9.2.2. UDP反射
基于UDP文的反射DDoS攻击是拒绝服务攻击的一种形式。攻击者不直接攻击目标,而是利用互联网中某些开放的服务器,伪造被攻击者的地址并向该服务器发送基于UDP服务的特殊请求报文,使得数倍于请求报文的数据被发送到被攻击IP,从而对后者间接形成DDoS攻击。
常用于DoS攻击的服务有:
NTP
SSDP
Memcached
9.2.3. TCP Flood
TCP Flood是一种利用TCP协议缺陷的攻击,这种方式通过伪造IP向攻击服务器发送大量伪造的TCP SYN请求,被攻击服务器回应握手包后(SYN+ACK),因为伪造的IP不会回应之后的握手包,服务器会保持在SYN_RECV状态,并尝试重试。这会使得TCP等待连接队列资源耗尽,正常业务无法进行。
9.2.4. Shrew DDoS
Shrew DDoS利用了TCP的重传机制,调整攻击周期来反复触发TCP协议的RTO,达到攻击的效果。其数据包以固定的、恶意选择的慢速时间发送,这种模式能够将TCP流量限制为其理想速率的一小部分,同时以足够低的平均速率进行传输以避免检测。
现代操作系统已经对TCP协议进行了相应的修改,使得其不受影响。
9.2.5. Ping Of Death
在正常情况下不会存在大于65536个字节的ICMP包,但是报文支持分片重组机制。通过这种方式可以发送大于65536字节的ICMP包并在目标主机上重组,最终会导致被攻击目标缓冲区溢出,引起拒绝服务攻击。
现代操作系统已经对这种攻击方式进行检查,使得其不受影响。
9.2.6. Challenge Collapsar (CC)
CC攻击是一种针对资源的DDoS攻击,攻击者通常会常用请求较为消耗服务器资源的方式来达到目的。常见的攻击通过搜索页,物品展示页来实现。
Docker
9.3. Docker
9.3.1. Docker与虚拟机的区别
虚拟机通过添加hypervisor层,虚拟出网卡,内存,CPU等虚拟硬件,再在其上建立客户机,每个客户机都有自己的系统内核。而Docker容器则是通过隔离的方式,将文件系统,进程,设备,网络等资源进行隔离,再对权限,CPU资源等进行控制,最终让容器之间互不影响,容器无法影响宿主机。容器与宿主机共享内核,文件系统,硬件等资源。
9.3.2. 安全考虑
在考虑Docker安全性的时候主要考虑了几个点
内核本身的安全性及其对命名空间和cgroups的支持
Docker守护进程本身的攻击面
内核的“强化”安全功能以及它们如何与容器进行交互
9.3.3. Docker安全基线
9.3.4. 内核命名空间
Docker容器与LXC容器非常相似,并且具有相似的安全特性。当使用docker运行启动容器时,Docker会在后台为容器创建一组命名空间和控制组。
命名空间提供了一个最直接的隔离形式:在容器中运行的进程看不到或者无法影响在另一个容器或主机系统中运行的进程。
每个容器也有自己的网络堆栈,这意味着一个容器不能获得对另一个容器的套接字或接口的特权访问。当然,如果主机系统相应设置,容器可以通过各自的网络接口交互。如果为容器指定公共端口或使用链接时,容器之间允许IP通信。
它们可以相互ping通,发送/接收UDP数据包,并建立TCP连接,但是如果需要可以限制它们。从网络体系结构的角度来看,给定Docker主机上的所有容器都位于网桥接口上。这意味着它们就像通过普通的以太网交换机连接的物理机器一样。
9.3.5. Control groups
控制组是Linux容器的另一个关键组件。他们实施资源核算和限制。 它们提供了许多有用的度量标准,但也有助于确保每个容器都能获得公平的内存,CPU和磁盘I/O; 更重要的是单个容器不能耗尽这些资源中的一个来降低系统的性能。
因此,尽管它们不能阻止一个容器访问或影响另一个容器的数据和进程,但它们对于抵御一些拒绝服务攻击是至关重要的。它们对于多租户平台尤其重要,例如公共和私人PaaS,即使在某些应用程序开始行为不当时也能保证一致的正常运行时间(和性能)。
9.3.6. 守护进程的攻击面
使用Docker运行容器意味着运行Docker守护进程,而这个守护进程当前需要root权限,因此,守护进程是需要考虑的一个地方。
首先,只有受信任的用户才能被允许控制Docker守护进程。具体来说,Docker允许您在Docker主机和访客容器之间共享一个目录;它允许你这样做而不限制容器的访问权限。这意味着可以启动一个容器,其中/host目录将成为主机上的/目录,容器将能够不受任何限制地改变主机文件系统。
这具有很强的安全意义:例如,如果通过Web服务器测试Docker以通过API配置容器,则应该更加仔细地进行参数检查,以确保恶意用户无法传递制作的参数,从而导致Docker创建任意容器。
守护进程也可能容易受到其他输入的影响,例如从具有docker负载的磁盘或从具有docker pull的网络加载映像。
最终,预计Docker守护进程将运行受限特权,将操作委托给审核良好的子进程,每个子进程都有自己的(非常有限的)Linux功能范围,虚拟网络设置,文件系统管理等。也就是说,很可能,Docker引擎本身的部分将在容器中运行。
9.3.7. Linux内核功能
默认情况下,Docker使用一组受限的功能启动容器。
功能将“root/non-root”二分法转变为一个细粒度的访问控制系统。只需要绑定在1024以下端口上的进程(如web服务器)不必以root身份运行:它们可以被赋予net_bind_service功能。
在大多数情况下,容器不需要“真正的”root权限。因此,Docker可以运行一个能力较低的集合;这意味着容器中的“root”比真正的“root”要少得多。例如:
否认所有挂载操作
拒绝访问原始套接字(防止数据包欺骗)
拒绝访问某些文件系统操作,如创建新的设备节点,更改文件的所有者或修改属性(包括不可变标志)
拒绝模块加载
其他
这意味着,即使入侵者在容器内获取root权限,进一步攻击也会困难很多。
默认情况下,Docker使用白名单而不是黑名单,去除了所有非必要的功能。
9.3.8. 其他攻击面
在构建Docker的过程中,即使是使用排名靠前的来源,也可能因为未修补的1day造成问题。
9.3.9. 安全加固
移除依赖构建
配置严格的网络访问控制策略
不使用root用户启动docker
控制资源
CPU Share
CPU 核数
内存资源
IO 资源
使用安全的基础镜像
定期安全扫描和更新补丁
删除镜像中的setuid和setgid权限
RUN find / -perm +6000-type f-exec chmod a-s {} \;|| true
配置Docker守护程序的TLS身份验证
本文转载自 安全时代
WEB安全渗透测试基础知识(二十三)
WEB安全渗透测试基础知识(二十二)
WEB安全渗透测试基础知识(二十一)
WEB安全渗透测试基础知识(二十)
WEB安全渗透测试基础知识(十九) WEB安全渗透测试基础知识(十八) WEB安全渗透测试基础知识(十七) WEB安全渗透测试基础知识(十六) WEB安全渗透测试基础知识(十五) WEB安全渗透测试基础知识(十四) WEB安全渗透测试基础知识(十三) WEB安全渗透测试基础知识(十二) WEB安全渗透测试基础知识(十一) WEB安全渗透测试基础知识(十) WEB安全渗透测试基础知识(九) WEB安全渗透测试基础知识(八) WEB安全渗透测试基础知识(七) WEB安全渗透测试基础知识(六) WEB安全渗透测试基础知识(五) WEB安全渗透测试基础知识(四) WEB安全渗透测试基础知识(三) WEB安全渗透测试基础知识(二) WEB安全渗透测试基础知识(一)