防止fork暴力攻击

在2014中发布的补丁中也使用的类似的技术，以延缓fork()，由于fork()崩溃导致的问题(这可能意味着它是一个攻击的一部分)。 但是这些尝试并没有进一步的推动。

在Brute补丁的文档中 ，Wood描述了Brute LSM所针对的行为类型。基本思想是，有几种类型的攻击可以使用多次fork()来接收所需的内存布局。 每个fork的子进程都可以通过各种方式进行探测，如果这些探测失败并导致子进程崩溃，则可以简单地重新fork另一个子进程再试一次。因为使用创建的子进程与其父进程共享相同的内存布局，所以成功的探针可以提供可用来突破Linux虚拟内存地址空间随机化布局(ASLR)，可以用来探测堆栈Stack_canaries或其他有敏感信息。

Brute采用不同于grsecurity或Weinberger修补程序的方法，因为它不会简单地延迟随后的fork()在检测到问题时调用。取而代之的是，Brute杀死了与攻击相关的所有进程。 此外，Brute 检测更多类型的fork()使用攻击(包括探测父进程而不是子进程的攻击。 它还着重于为了避免误报而越过特权边界的进程崩溃。

Brute通过统计崩溃率来实现。Brute收集有关已在一组已经fork进程中发生的“失败”数量的信息，但是在其中没有使用执行任何新操作execve()。一个brute_stats 所有这些进程之间共享结构。执行一个新程序会导致一个新的结构来跟踪新的(潜在的)结构中的故障fork()层次。

从进程启动到进程或其任何共享内存布局的子进程(即没有 execve())崩溃或连续崩溃之间的时间间隔，最终用来确定是否发生攻击的时间。为了防止多次调用，插件使用EMA(指数移动平均值)计数，一旦发生五次崩溃，就会计算该时期 (EMA)。 EMA用于确定是否正在发生“快速暴力”攻击。 如果两次崩溃之间的时间间隔的EMA下降到30秒的阈值以下，就会触发缓解攻击。对于“慢速暴力”变体，将层次结构中的绝对崩溃次数与200个阈值进行比较。

使用ask_fatal_signal() LSM钩子,添加作为集合中的第一个补丁。 每当内核向进程传递致命信号时，就会调用该方法。 Brute还使用现有的 task_alloc() 钩子来检测 fork()调用，使用 bprm_committing_creds() 钩子来检测 execve()调用，以及使用 task_free() 钩子来清理所有内容。

通过跟踪对执行新程序时发生的各种用户和组ID的更改，可以实现安全边界检查。 没有提到 Linux功能 补丁中 ，但是功能更改也将表明特权边界已被突破; 

（编辑：淮安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!