Español - Ht
HackTricks Training Twitter Linkedin Sponsor

Network Namespace

Aprende a hackear AWS desde cero hasta convertirte en un experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Información Básica

Un espacio de red es una característica del kernel de Linux que proporciona aislamiento de la pila de red, permitiendo que cada espacio de red tenga su propia configuración de red independiente, interfaces, direcciones IP, tablas de enrutamiento y reglas de firewall. Este aislamiento es útil en varios escenarios, como la contenerización, donde cada contenedor debe tener su propia configuración de red, independiente de otros contenedores y del sistema host.

Cómo funciona:

  1. Cuando se crea un nuevo espacio de red, comienza con una pila de red completamente aislada, sin interfaces de red excepto la interfaz loopback (lo). Esto significa que los procesos que se ejecutan en el nuevo espacio de red no pueden comunicarse con procesos en otros espacios de nombres o en el sistema host de forma predeterminada.

  2. Se pueden crear interfaces de red virtuales, como pares veth, y moverlas entre espacios de red. Esto permite establecer conectividad de red entre espacios de nombres o entre un espacio de nombres y el sistema host. Por ejemplo, un extremo de un par veth puede colocarse en el espacio de red de un contenedor, y el otro extremo puede conectarse a un puente u otra interfaz de red en el espacio de nombres del host, proporcionando conectividad de red al contenedor.

  3. Las interfaces de red dentro de un espacio de nombres pueden tener sus propias direcciones IP, tablas de enrutamiento y reglas de firewall, independientes de otros espacios de nombres. Esto permite que los procesos en diferentes espacios de red tengan diferentes configuraciones de red y operen como si estuvieran en sistemas de red separados.

  4. Los procesos pueden moverse entre espacios de nombres utilizando la llamada al sistema setns(), o crear nuevos espacios de nombres utilizando las llamadas al sistema unshare() o clone() con la bandera CLONE_NEWNET. Cuando un proceso se mueve a un nuevo espacio de nombres o crea uno, comenzará a utilizar la configuración de red e interfaces asociadas con ese espacio de nombres.

Laboratorio:

Crear diferentes Espacios de Nombres

CLI

sudo unshare -n [--mount-proc] /bin/bash
# Run ifconfig or ip -a

Al montar una nueva instancia del sistema de archivos /proc si se utiliza el parámetro --mount-proc, se asegura de que el nuevo espacio de nombres de montaje tenga una vista precisa y aislada de la información de procesos específica de ese espacio de nombres.

Error: bash: fork: Cannot allocate memory

Cuando unshare se ejecuta sin la opción -f, se encuentra un error debido a la forma en que Linux maneja los nuevos espacios de nombres de PID (Identificador de Proceso). A continuación se describen los detalles clave y la solución:

  1. Explicación del Problema:

  • El kernel de Linux permite que un proceso cree nuevos espacios de nombres utilizando la llamada al sistema unshare. Sin embargo, el proceso que inicia la creación de un nuevo espacio de nombres de PID (llamado proceso "unshare") no entra en el nuevo espacio de nombres; solo lo hacen sus procesos hijos.

  • Ejecutar %unshare -p /bin/bash% inicia /bin/bash en el mismo proceso que unshare. En consecuencia, /bin/bash y sus procesos hijos están en el espacio de nombres de PID original.

  • El primer proceso hijo de /bin/bash en el nuevo espacio de nombres se convierte en PID 1. Cuando este proceso sale, desencadena la limpieza del espacio de nombres si no hay otros procesos, ya que PID 1 tiene el papel especial de adoptar procesos huérfanos. El kernel de Linux deshabilitará entonces la asignación de PID en ese espacio de nombres.

  1. Consecuencia:

  • La salida de PID 1 en un nuevo espacio de nombres conduce a la limpieza de la bandera PIDNS_HASH_ADDING. Esto resulta en que la función alloc_pid falle al asignar un nuevo PID al crear un nuevo proceso, lo que produce el error "Cannot allocate memory".

  1. Solución:

  • El problema se puede resolver utilizando la opción -f con unshare. Esta opción hace que unshare bifurque un nuevo proceso después de crear el nuevo espacio de nombres de PID.

  • Al ejecutar %unshare -fp /bin/bash%, se asegura de que el comando unshare en sí mismo se convierta en PID 1 en el nuevo espacio de nombres. Luego, /bin/bash y sus procesos hijos están contenidos de manera segura dentro de este nuevo espacio de nombres, evitando la salida prematura de PID 1 y permitiendo una asignación normal de PID.

Al garantizar que unshare se ejecute con la bandera -f, el nuevo espacio de nombres de PID se mantiene correctamente, lo que permite que /bin/bash y sus subprocesos funcionen sin encontrar el error de asignación de memoria.

Docker

docker run -ti --name ubuntu1 -v /usr:/ubuntu1 ubuntu bash
# Run ifconfig or ip -a

Verificar en qué espacio de nombres está su proceso

ls -l /proc/self/ns/net
lrwxrwxrwx 1 root root 0 Apr  4 20:30 /proc/self/ns/net -> 'net:[4026531840]'

Encontrar todos los espacios de nombres de red

sudo find /proc -maxdepth 3 -type l -name net -exec readlink {} \; 2>/dev/null | sort -u | grep "net:"
# Find the processes with an specific namespace
sudo find /proc -maxdepth 3 -type l -name net -exec ls -l  {} \; 2>/dev/null | grep <ns-number>

Entrar dentro de un espacio de nombres de red

nsenter -n TARGET_PID --pid /bin/bash

También, solo puedes entrar en otro espacio de nombres de proceso si eres root. Y no puedes entrar en otro espacio de nombres sin un descriptor que apunte a él (como /proc/self/ns/net).

Referencias

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

AnteriorMount NamespaceSiguienteTime Namespace

Última actualización