来自 网络 2021-10-11 13:23 的文章

网站防护_服务器防火墙关闭后又自动开启_免费测试

网站防护_服务器防火墙关闭后又自动开启_免费测试

去年,Checkmarx安全研究团队决定调查Kubernetes,因为它在全球范围内的使用越来越广泛。对于那些不太熟悉这项技术的人,你可以在这里的官方网站上找到更多的信息。Kubernetes是一个用Go语言编写的开源框架,最初由Google设计和开发,用于自动化容器化应用程序的部署、扩展和管理。为了理解我们的发现,了解库伯内特斯的一些基本知识是很重要的。Kubernetes的目的是组织一个服务器集群,命名节点,每个节点都能够承载pod。pod是在节点上运行的封装应用程序的进程。请记住,应用程序可以包含在一个或多个容器上。这使得Kubernetes可以根据应用程序的需要自动增加资源,方法是创建/删除同一应用程序的更多pod。集群上将有一个主节点和一个工作节点。主节点运行kube apiserver进程,该进程允许主节点监视和控制工作进程。在Workers端,与主机的通信由kubelet进程完成,kube代理进程反映了Pods的网络服务,允许用户与应用程序交互。下图说明了Kubernetes的主要组件及其交互方式。(来源:https://en.wikipedia.org/wiki/Kubernetes)为了寻找Kubernetes中的漏洞,我们需要一个有多个服务器的实验室环境。为此,ddos防御网,我们决定使用虚拟机而不是物理机,因为每次需要重新创建实验室时,虚拟机的配置速度要快得多。为了自动化实验室创建和重新创建过程,我们使用了Terraform、Packer和Ansible。我们在Kubernetes发现的漏洞是通过这个自动化过程发现的。在创建实验室的过程中,我们重用了Packer映像,没有错误地更改服务器的主机名,当我们将服务器升级为Kubernetes集群成员时,我们意识到集群是不稳定的。主节点上的CPU负载非常高,最终集群崩溃了!我们不知道是什么导致了这种行为。虽然我们错误地将集群中的服务器配置为相同的主机名,神盾ddos云防御,但在DevOps进程中,这种情况很可能发生。还有一个攻击向量,即在Worker中拥有足够权限的用户可能导致整个集群崩溃。当使用kubectl get nodes命令列出Master中的集群节点时,我们只得到一个成员,它是原始的主节点,尽管其他节点都被添加到集群中而没有错误。在重新引导到主节点后,集群保持稳定。当使用两个具有相同主机名和不同主主机名的Worker进行试时,集群中也存在不稳定性,kubectl get nodes命令的输出中只显示要添加到集群的第一个Worker。深入挖掘,我们能够理解是什么导致了这种不稳定。更新etcd密钥时存在竞争条件。Kubernetes主机使用Etcd存储所有集群配置和状态数据。集群节点的主机名用于命名etcd中的键,格式如下:/registry/minions/hostname–其中hostname是节点的实际主机名。当两个节点共享同一主机名时,每当它们将其状态通信给主节点时,etcd都会更新引用的密钥。当定期检查这个键的值时,我们证明了竞争条件,因为两个节点的值都是随时间随机显示的,如图1所示。图1:两个连续的密钥更新之间的差异除了更新数量的增加,每次更新时,还会创建其他几个键(事件),并由Kubernetes组件调度。这就是由于主节点上的高CPU负载导致集群不稳定的原因。可以在这里找到一段视频,演示该漏洞。除了添加具有已存在主机名的工作节点外,还可以在向集群添加节点时使用选项–-hostname override来攻击该漏洞。我们针对公共Kubernetes服务提供商azurekubernetes服务(AKS)验证了此行为,并注意到它为节点的主机名添加了前缀。这种行为足以减轻所描述的漏洞。根据我们的研究,ddos防御模式,Kubernetes GitHub官方页面上出现了一个问题,建议使用两种解决方案来修复该漏洞:阻止具有重复hostname或–hostname override值的节点加入集群在etcd密钥名称中添加前缀/后缀随后,根据我们上面描述的第一个建议,创建了Pull请求81056来解决该漏洞。如果已经存在同名的节点,高防cdn代理,则拒绝加入集群的节点已解决此问题。像本博客中提到的那样发现漏洞是Checkmarx安全研究团队进行调查的原因。这类研究活动是我们不断努力提高全球组织安全性的一部分。应用程序安全警告应用程序安全程序应用程序安全漏洞检查马克思安全研究团队Kubernetesresearch生物最新帖子拉贾伊·努塞比赫数据驱动、注重结果、精力充沛的产品经理,在数字营销、数字产品管理、技术和安全SaaS公司拥有专业知识。Rajai Nuseibeh的最新帖子Checkmarx Research:SoundCloud API安全咨询-2020年2月11日Checkmarx Research:从安全角度看稳健和智能合约-2020年1月15日Android WebView:是否遵循了安全编码实践?-2018年12月20日

,服务器cc攻击怎么防御