3.1.3　容器網(wǎng)絡(luò)存在的風(fēng)險(xiǎn)

我們剛剛提到，默認(rèn)情況下每個(gè)容器處于自己獨(dú)立的網(wǎng)絡(luò)命名空間中，與宿主機(jī)之間存在隔離。然而，每個(gè)容器都處于由docker0網(wǎng)橋構(gòu)建的同一局域網(wǎng)內(nèi)，彼此之間互相連通。理論上，容器之間可能發(fā)生網(wǎng)絡(luò)攻擊，尤其是中間人攻擊等局域網(wǎng)內(nèi)常見的攻擊方式。

事實(shí)也確實(shí)如此。容器內(nèi)的root用戶雖然被Docker禁用了許多權(quán)限（Capabilities機(jī)制），但它目前依然具有CAP_NET_RAW權(quán)限，具備構(gòu)造并發(fā)送ICMP、ARP等報(bào)文的能力。因此，ARP欺騙、DNS劫持等中間人攻擊是可能發(fā)生在容器網(wǎng)絡(luò)的。