DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

服务器防ddos_ddos攻击原理与防御方法_方法

12-24 CC防护

服务器防ddos_ddos攻击原理与防御方法_方法

康纳·戈尔曼2009年4月29日分享:在Facebook上分享LinkedIn上的分享Twitter上的分享发生了什么?Docker Support的主管Kent Lamb在给客户的电子邮件中写道:"在未经授权访问Docker Hub数据库的短暂时间内,来自大约19万个帐户的敏感数据可能已经暴露(不到Hub用户的5%)。数据包括一小部分用户的用户名和哈希密码,以及Docker autobuilds的Github和Bitbucket令牌。"由于这一漏洞,Docker Hub存储库中的图像可能被篡改或覆盖。为了减少这种可能性,你应该立即采取行动。您可以按照下面的建议进行任何部署,也可以利用StackRox采取步骤进行其他部署保护。硬化Docker:一个安全工具下载我们的实用指南来强化Docker容器和主机,以获得更安全的容器环境立即下载更新你的密码尽管密码被哈希处理,个人电脑ddos攻击防御,你应该更改密码。Docker已经撤销了可能被用于。用于Docker Hub用户帐号,旋转秘密是相当简单的进程:浏览到https://hub.docker.com/然后登录到帐户。打开下拉到您的用户名下,选择"帐户设置"。向下滚动到密码和更新!如果您在Kubernetes环境中使用Docker Hub,还需要滚动ImagePullSecrets,这可能会涉及更多。第一步是识别集群中的所有ImagePullSecrets,这可以通过运行以下kubectl来完成命令:kubectl getsecret—字段选择器=类型=kubernetes.io/dockerconfigjson--所有命名空间kubectl get secret--字段选择器=类型=kubernetes.io/dockercfg--所有命名空间理想情况下,机密的命名方式可以使您能够识别它们对应的注册表。如果没有,您可以解析机密作为最后的手段来确定相应的注册表。下面的kubectl命令将打印出您的图像拉取中引用的所有注册表秘密:库贝特secret—字段选择器=类型=kubernetes.io/dockerconfigjson--所有命名空间-o json | jq-r'。项[]{命名空间:。metadata.namespace,打不死高防加速cdn,名称:。元数据.名称,注册表:。数据.dockerconfigjson"]|@base64d|来自json.auths|键[]}'样本输出:{"namespace":"默认","name":"gcr","注册表":https://us.gcr.io"}{"namespace":"默认","name":"stackrox","注册表":https://docker.io"}现在删除图像拉机密引用docker.io公司然后使用kubectl重新创建它们(别忘了把它们放在适当的名称空间中!)。审计你的图像,因为Docker没有提供一个具体的时间表,没有人知道多久前未经授权的访问发生。与大多数违规行为一样,肇事者获得受损资源的时间可能比上周长得多。为了安全起见,您应该验证最近几周推送的图片。执行此审核可能很困难,因为不是每个注册表都允许您按图像筛选数据年龄。到帮助拉清单和检查您的图像的年龄,您可以使用一个开源工具,例如这里提供的registrycli(我们将在本文后面为StackRox客户提供其他建议)。下面是一个例子输出:repo=registry-1.docker.io/library/nginxtag=最新v1digest=$(reg manifest"${repo}:${tag}"| jq-r。摘要.config)注册层"${repo}@${v1digest}"| jq'{created:.created,history:.history}'样本输出:{"created":"2017-03-27T19:48:34.817993292Z","历史":[{"created":"2017-03-21T18:28:51.055495122Z","创建者":"/bin/sh-c(nop)ADD文件:4eedf861fb567fffb2694b65ebdd58d5e371a2c28c3863f363f333cb34e5eb7b in/ "},{"created":"2017-03-21T18:29:05.091744235Z","created_by":"/bin/sh-c#(nop)CMD["/bin/bash"]",cc防御哪家好,"空层":正确},...}检查您的环境是否存在意外的活动生成管道上的攻击可能会对基础结构中当前运行的内容产生严重的下游影响。被污染的图像很难被检测到,ddos防御网站,而且从这些图像中启动的容器甚至可以按预期运行,除非后台有恶意进程。Docker Hub上也发现了带有加密矿工的后门图像之前。出乎意料图像的更改将对应用程序的行为产生影响,从而使运行时检测和应用程序基线化变得至关重要。描述单个Kubernetes部署的行为将突出显示网络连接、文件访问和进程执行方面的偏差。这些偏差都表示容器中正在发生恶意活动。您需要能够快速检查容器中的运行时活动,以验证它们是否只在预期的情况下运行进程。在在这些违反情况下,工具,使一个有效的分类过程是必不可少的。能够快速识别受影响的资源,确定解决方案,并在整个容器环境中高效地执行,是降低风险的关键商业。杠杆作用StackRox简化事件响应TrackRox为您的Kubernetes基础设施提供全局可见性和安全性。StackRox Kubernetes安全平台的主要功能允许您快速解决由Docker Hub这样的漏洞引起的风险妥协。旋转SecretsStackRox收集并索引Kubernetes的机密元数据,以便快速统计所管理的不同机密。在本例中,搜索引用的ImagePullSecretsdocker.io公司如果超过1天,ddos防御500g,则会生成一个需要更新的密码队列及其所在的环境定位。审核ImagesStackRox使您能够快速找到跨基础结构的Dockerfiles。下面的屏幕截图中显示的简单查询返回正在使用的所有图像docker.io公司在过去30天里建造的。此功能允许您检查这些图像的内容并确定它们是否包含任何可疑内容层。检查deployment behaviorStackRox的运行时检测提供对所有已执行进程的可见性,并将对已知的恶意进程发出警报。运行时检测与图像审核结合使用,可以让用户快速分析可能受到危害的部署,并验证是否存在进程异常当前总结如下像Docker Hub这样的事件,您需要工具和流程来帮助您快速识别哪些地方容易受到安全漏洞的攻击。专门为容器和Kubernetes构建的安全平台可以使这些任务更加容易。在StackRox,我们将配置检查、运行时检测、强大的搜索功能和其他功能结合起来,使您能够更轻松地对问题进行分类并在整个环境中确定问题点。我们希望听到更多现成策略的反馈,这些策略将使您更容易理解和描述您的环境中正在运行的内容。想看更多吗?请求演示。对我们应该制定的新政策有什么想法?给我们留个便条。我们一直在寻求改进我们的产品,为集装箱和库伯内特斯安全。类别:container securitydocker秒urityTags:容器securitydocker安全映像安全性

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/56629.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 7585793访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X
    云顶国际彩票app-云顶国际下载-官网推荐