Dieser Artikel wurde maschinell übersetzt.
Eine Fork-Bombe ist ein Denial-of-Service-Angriff. Ein winziges Stück Code bewirkt, dass ein Prozess repliziert wird, und jedes Mal erschöpft die neue Instanz des Programms die verfügbaren Systemressourcen weiter. Wenn der Angriff einen Server an seine Grenzen bringt, stürzt IT ab.
Gabelbomben sind nichts Neues. Einer der allerersten Fälle dieser Angriffe ereignete sich im Jahr 1969. Manchmal funktionieren alte Bedrohungen jedoch genauso gut wie neue, wenn es darum geht, Systeme offline zu schalten.
Wie funktioniert eine Gabelbombe?
Stellen Sie sich vor, Sie öffnen Hunderte oder sogar Tausende von Instanzen eines Prozesses auf Ihrem Computer. Der Lüfter surrte, die Leistung ließ nach und schließlich stürzte Ihr Gerät ab. Eine Gabelbombe funktioniert auf die gleiche Weise.
Fork-Bomb-Code erstellt eine Kopie eines Programms. Sobald die neue Instanz ausgeführt wird, erfolgt der Fork erneut. Dieser Prozess kann unbegrenzt oder so lange ablaufen, bis die IT-Abteilung den gesamten verfügbaren Speicher erschöpft hat. Ein solcher Denial-of-Service-Angriff kann verheerend sein.
Die Implementierung von Fork Bombs ist für einen erfahrenen Hacker relativ einfach. Wir werden hier nicht ins Detail gehen (da wir niemandem eine falsche Vorstellung vermitteln wollen), aber oft ist nur ein winziges bisschen Code erforderlich.
Können Sie eine Gabelbombe verhindern?
Sie können nicht jedem Entwickler über die Schulter schauen und ihn davon abhalten, Code einzubinden, der Ihnen schaden könnte. Aber Sie können zwei wichtige Dinge tun, um sicherzustellen, dass es weniger wahrscheinlich ist, dass eine Fork-Bombe Ihr System lahmlegt.
Beginnen Sie damit, die maximale Anzahl von Prozessen zu begrenzen, die ein einzelner Benutzer besitzen kann. Dies ist unter Linux eine bemerkenswert einfache Aufgabe. Wenn Sie Ihre Benutzer davon abhalten, mehr als eine Handvoll Prozesse zu besitzen, können sie einen solchen Angriff nicht auf den Weg bringen.
Sie können auch die Speicherauslastung pro Prozess begrenzen. Wenn ein Prozess mehr als das von Ihnen festgelegte Limit benötigt, haben Sie es wahrscheinlich mit einer Duplizierung zu tun und können die Ausführung sofort verweigern. Dieser einfache Schritt kann auch verhindern, dass eine Fork-Bombe die Serverkapazität erschöpft.
Wenn ein Angreifer Sie mit einer Fork-Bombe trifft, müssen Sie Ihren Server zurücksetzen. Und leider müssen Sie jede Instanz des Codes entfernen, damit der Angriff gestoppt wird.
Wenn Sie nach noch mehr Möglichkeiten suchen, sich in einer Linux-Umgebung zu schützen, sollten Sie unser Whitepaper über die Durchsetzung des Least-Privilege-Zugriffs für Linux-Server lesen. Und scheuen Sie sich nicht, sich an Okta zu wenden, wenn Sie Fragen haben.
Referenzen
Bash Fork Bomb-Code verstehen. (Januar 2019). NixCraft.
Sicherheit gegen Fork-Bomb-Angriffe in Linux-basierten Systemen. (April 2019). Internationale Zeitschrift für Forschung in der Adventstechnologie.
