4.4　针对Kubernetes的拒绝服务攻击案例

拒绝服务攻击有多种类型。日常生活中经常见到的是基于流量的拒绝服务攻击和基于漏洞的拒绝服务攻击。前者通常依赖僵尸网络或网络协议缺陷，针对特定主机形成瞬时大规模流量，超出特定主机的处理能力，实现拒绝服务；后者则通过触发目标机器上运行程序的漏洞来致使程序、系统崩溃或耗尽CPU、内存资源，同样能实现拒绝服务的目的。

对于传统环境和云原生环境来说，流量攻击的差异性较小，攻击效果通常取决于流量大小；而漏洞则不然，存在于云原生组件的拒绝服务漏洞很可能并不存在于传统主机环境。在本节，我们将介绍近年来曝光的三个可以导致Kubernetes API Server拒绝服务的安全漏洞CVE-2019-11253、CVE-2019-9512和CVE-2019-9514。其中，CVE-2019-11253的本质是YAML解析问题；CVE-2019-9512与CVE-2019-9514均为Kubernetes依赖的Go语言HTTP/2库的问题，希望分析这些漏洞的成因能够给读者带来一些思考。