Fork-bomba
Fork-bomba (ang. fork bomb) – rodzaj ataku Denial of Service na systemy komputerowe.
Implementacja ataku
Charakterystyka
Podstawowa implementacja fork-bomby jest nieskończoną pętlą, która uruchamia kolejne kopie tego samego procesu. Atak opiera się na założeniu, że w środowisku wieloprocesowym tylko pewna liczba procesów może być efektywnie wykonywana naraz. Atak polega na bardzo szybkim „rozmnożeniu” kopii programu (fork to nazwa funkcji systemowej służącej do duplikowania procesów) w celu wypełnienia tablicy procesów systemu operacyjnego[1][2]. W takiej sytuacji wywołanie nowego procesu (mającego na celu np. zabicie procesów bomby) jest wstrzymane do czasu zwolnienia choćby jednego wpisu, co jednak jest mało prawdopodobne, ponieważ każdy proces bomby jest gotów w tym momencie się rozmnożyć.
Ponieważ każdy z procesów bomby wykonuje jakiś kod (nie usypia się), planista systemowy każdemu z nich przydziela czas procesora, co praktycznie zatrzymuje działanie systemu. Jedną z technik obrony przed fork-bombami jest ustalenie górnego limitu procesów, jakie może utworzyć dany proces lub użytkownik (dotyczy to również jego dalszych potomków).
Porównanie ataku w systemach Windows oraz Unix
W systemach z rodziny Unix, fork bomby przeważnie używają wywołania funkcji fork[2]. Ponieważ procesy utworzone przez bombę są kopiami programu „pierwotnego”, w momencie kolejnych wykonań zaczynają także tworzyć kopie samych siebie; w efekcie dochodzi do wykładniczego wzrostu ilości procesów. Ponieważ współczesne systemy Unix przeważnie korzystają z opcji kopiowania przy zapisie przy tworzeniu nowych procesów wywołaniem fork[3], bomba zazwyczaj nie zużywa dużej ilości pamięci.
Systemy Microsoft Windows nie posiadają funkcji, będącej odpowiednikiem wywołania fork w systemach Unix[4]; zatem fork bomba na takim systemie musi tworzyć nowy proces zamiast kopiować istniejący.
Przykłady fork-bomb
Uwaga! Użycie kodu z poniższych przykładów bez odpowiednich zabezpieczeń może spowodować utratę danych. |
:loop
start %0
goto loop
Krótsza wersja:
%0|%0
:(){ :|:& };:
Wyjaśnienie: zdefiniowana jest tutaj funkcja o nazwie „:” nie przyjmująca żadnego parametru. W swoim ciele (ograniczanym przez "{" i "}") wywołuje się rekurencyjnie dwukrotnie, przekierowując wyjście pierwszego wywołania na wejście drugiego wywołania poprzez mechanizm nienazwanych potoków (pipes, „|”) i przechodzi do tła – „&” – : dzięki czemu zabicie procesu-rodzica nie zabije procesów-potomków. Średnik kończy definicję funkcji, a końcowy dwukropek jest jej pierwszym wywołaniem. Poniżej znajduje się bardziej przejrzysty zapis (zmieniono nazwę funkcji):
bomba()
{
bomba | bomba &
};
bomba
perl -e "fork while fork"
- Java:
public class ForkBomb
{
public static void main(String[] args)
{
while(true)
{
Runtime.getRuntime().exec(new String[]{"javaw", "-cp", System.getProperty("java.class.path"), "ForkBomb"});
}
}
}
- Ruby:
loop { fork { load(__FILE__) } }
import Control.Monad (forever)
import System.Posix.Process (forkProcess)
forkBomb = forever $ forkProcess forkBomb
main = forkBomb
- Common Lisp (Clozure CL):
(loop (#_fork))
C:
#include <unistd.h>
int main(void)
{
while(1) fork();
}
Trudność naprawy
Kiedy fork-bomba zostanie poprawnie uruchomiona, odzyskanie sprawności systemu może nie być możliwe bez ponownego uruchomienia, ponieważ jedynym sposobem na zniszczenie fork-bomby jest zabicie wszystkich jej procesów. Próba użycia programu do zabicia złośliwych procesów zwykle potrzebuje utworzenia odrębnego procesu, co może się nie udać, gdy nie ma wolnych miejsc w tablicy procesów lub wolnej pamięci. Może wymagać restartu lub wyłączenia.
Automatycznie może naprawić go watchdog. Programowy watchdog linuksa, przy ustawionym ograniczeniu liczby oczekujących procesów (odkomentowaniu linii zaczynających się od „max-load”), możliwie łagodnie zrestartuje system.
Metoda sprawdzona na Debianie poleceniem[5]:
:(){ :|:& };:
po zmianie ustawień w zbiorze /etc/watchdog.conf na:
max-load-1 = 120 max-load-5 = 90 max-load-15 = 30 min-memory = 1
Zapobieganie
Jedną z możliwości zapobieżenia fork-bombie jest ustanowienie limitu liczby procesów, które może uruchomić użytkownik. Gdy proces próbuje utworzyć inny proces, a jego rodzic posiada już więcej niż przewiduje maksimum, sklonowanie nie zachodzi. Maksimum powinno być wystarczająco niskie, aby w razie zaatakowania maszyny przez wielu użytkowników naraz pozostawić wystarczającą ilość wolnych zasobów dla uniknięcia katastrofy.
Przypisy
- ↑ Nong Ye: Secure Computer and Network Systems: Modeling, Analysis and Design. 2008, s. 16. ISBN 0-470-02324-4.
- ↑ a b Dong Jielin: Network Dictionary. 2007, s. 200. ISBN 1-60267-000-5.
- ↑ D. M. Dhamdhere: Operating Systems: A Concept-based Approach. 2006, s. 285. ISBN 0-07-061194-7.
- ↑ Mark Hammond: Python Programming On Win32: Help for Windows Programmers. 2000, s. 35. ISBN 1-56592-621-8.
- ↑ Kontrola działania watchdoga
Media użyte na tej stronie
Autor: Dake, Licencja: CC-BY-SA-3.0
Fork bomb principle. The processes are recursively forked, resulting in a saturation of the available ressources and denial of service.
Autor: David Vignoni (original), Bastique (SVG), Rocket000 (recolored), Licencja: LGPL
Orange warning icon.