网络与信息安全学报 ›› 2020, Vol. 6 ›› Issue (6): 45-56.doi: 10.11959/j.issn.2096-109x.2020074

• 专栏:网络应用与防护技术 • 上一篇    下一篇

Docker组件间标准输入输出复制的DoS攻击分析

周天昱1,2,申文博2(),杨男子3,李金库3,秦承刚4,喻望4   

  1. 1 浙江大学NGICS大平台,浙江 杭州 310027
    2 浙江大学网络空间安全学院,浙江 杭州 310027
    3 西安电子科技大学网络与信息安全学院,陕西 西安710071
    4 蚂蚁科技集团股份有限公司,浙江 杭州 310000
  • 修回日期:2020-09-24 出版日期:2020-12-15 发布日期:2020-12-16
  • 作者简介:周天昱(1995- ),男,浙江杭州人,浙江大学硕士生,主要研究方向为容器安全|申文博(1989- ),男,浙江大学研究员、博士生导师,主要研究方向为操作系统安全、容器安全、软件及系统攻防、硬件安全、程序分析|杨男子(1996- ),男,陕西咸阳人,西安电子科技大学硕士生,主要研究方向为容器安全|李金库(1976- ),男,河北保定人,西安电子科技大学教授、博士生导师,主要研究方向为系统与网络安全、移动安全、云计算及其安全|秦承刚(1983- ),男,江苏徐州人,主要研究方向为操作系统、系统安全|喻望(1986- ),男,重庆人,主要研究方向为Linux内核、安全容器技术
  • 基金资助:
    浙江省引进培育领军型创新创业团队(2018R01005);陕西省重点研发计划基金(2019ZDLGY12-06);浙江大学NGICS大平台

Analysis of DoS attacks on Docker inter-component stdio copy

Tianyu ZHOU1,2,Wenbo SHEN2(),Nanzi YANG3,Jinku LI3,Chenggang QIN4,Wang YU4   

  1. 1 Zhejiang University NGICS Platform,Hangzhou 310027,China
    2 School of Cyber Science and Technology,Zhejiang University,Hangzhou 310027,China
    3 School of Cyber Engineering,Xidian University,Xi'an 710071,China
    4 Ant Financial Services Group,Hangzhou 310000,China
  • Revised:2020-09-24 Online:2020-12-15 Published:2020-12-16
  • Supported by:
    Leading Innovative and Entrepreneur Team Introduction Program of Zhejiang Province(2018R01005);The Key R&D Program of Shaanxi Province(2019ZDLGY12-06);Fundamental Research Funds for the Central Universities

摘要:

近年来,Docker 技术因其部署灵活、可扩展性强,获得了大规模应用。Docker 采用模块化设计,在降低开发和维护的复杂性的同时引入了针对组件间通信的拒绝服务(DoS)攻击。在Docker容器内频繁进行stdout输出会引起Docker组件消耗大量CPU,造成DoS攻击。经过分析,可发现容器实例中的stdout输出会触发Docker各个组件的goroutine,进行频繁输出复制。为系统化地找出可被DoS攻击的goroutine创建的路径,提出使用静态分析的方法来分析Docker各组件,设计并实现了Docker组件静态分析框架,最后在Docker上进行了测试,成功分析得到了34条此类路径,其中22条路径经验证,可成功被动态触发。

关键词: 容器, Docker组件, DoS攻击, 静态分析

Abstract:

In recent years,Docker has been widely deployed due to its flexibility and high scalability.However,its modular design leads to the DoS attacks on inter-component communication.A new DoS attack that outputs to stdout,causing high CPU usages among different Docker components.Analysis shows that the stdout output triggers the goroutines of Docker components.To find all goroutines setup paths,using the static analysis method to analyze the Docker components systematically was proposed.A static analysis framework was designed and implemented,and evaluated on Docker source code.The results show that static analysis framework finds 34 paths successfully,while 22 of them are confirmed by runtime verification.

Key words: container, Docker components, DoS attack, static analysis

中图分类号: