4.4　針對Kubernetes的拒絕服務攻擊案例

拒絕服務攻擊有多種類型。日常生活中經常見到的是基于流量的拒絕服務攻擊和基于漏洞的拒絕服務攻擊。前者通常依賴僵尸網絡或網絡協議缺陷，針對特定主機形成瞬時大規模流量，超出特定主機的處理能力，實現拒絕服務；后者則通過觸發目標機器上運行程序的漏洞來致使程序、系統崩潰或耗盡CPU、內存資源，同樣能實現拒絕服務的目的。

對于傳統環境和云原生環境來說，流量攻擊的差異性較小，攻擊效果通常取決于流量大小；而漏洞則不然，存在于云原生組件的拒絕服務漏洞很可能并不存在于傳統主機環境。在本節，我們將介紹近年來曝光的三個可以導致Kubernetes API Server拒絕服務的安全漏洞CVE-2019-11253、CVE-2019-9512和CVE-2019-9514。其中，CVE-2019-11253的本質是YAML解析問題；CVE-2019-9512與CVE-2019-9514均為Kubernetes依賴的Go語言HTTP/2庫的問題，希望分析這些漏洞的成因能夠給讀者帶來一些思考。