Network Namespace

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するには、HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してください。

基本情報

ネットワーク名前空間は、ネットワークスタックの隔離を提供するLinuxカーネルの機能であり、各ネットワーク名前空間が独自のネットワーク構成、インターフェース、IPアドレス、ルーティングテーブル、およびファイアウォールルールを持つことを可能にします。この隔離は、各コンテナが他のコンテナやホストシステムから独立したネットワーク構成を持つべきであるコンテナ化など、さまざまなシナリオで有用です。

仕組み：

新しいネットワーク名前空間が作成されると、完全に隔離されたネットワークスタックが開始され、ループバックインターフェース（lo）を除いてネットワークインターフェースは存在しません。これは、新しいネットワーク名前空間で実行されているプロセスが、デフォルトでは他の名前空間やホストシステムのプロセスと通信できないことを意味します。
vethペアのような仮想ネットワークインターフェースを作成し、ネットワーク名前空間間で移動させることができます。これにより、名前空間間または名前空間とホストシステム間でネットワーク接続を確立できます。たとえば、vethペアの一端をコンテナのネットワーク名前空間に配置し、もう一端をホスト名前空間のブリッジまたは別のネットワークインターフェースに接続することで、コンテナにネットワーク接続を提供します。
名前空間内のネットワークインターフェースは、他の名前空間とは独立して独自のIPアドレス、ルーティングテーブル、およびファイアウォールルールを持つことができます。これにより、異なるネットワーク名前空間内のプロセスは異なるネットワーク構成を持ち、別々のネットワークシステムで実行されているかのように動作できます。
プロセスは、setns()システムコールを使用して名前空間間を移動するか、unshare()またはclone()システムコールをCLONE_NEWNETフラグと共に使用して新しい名前空間を作成できます。プロセスが新しい名前空間に移動するか、新しい名前空間を作成すると、その名前空間に関連付けられたネットワーク構成とインターフェースを使用し始めます。

ラボ：

異なる名前空間を作成する

CLI

sudo unshare -n [--mount-proc] /bin/bash
# Run ifconfig or ip -a

新しいインスタンスの /proc ファイルシステムを --mount-proc パラメータを使用してマウントすることで、新しいマウントネームスペースがそのネームスペースに特有のプロセス情報の 正確で孤立したビュー を持つことを保証します。

エラー: bash: fork: メモリを割り当てできません

unshare が -f オプションなしで実行されると、Linux が新しい PID (プロセス ID) ネームスペースを処理する方法のためにエラーが発生します。重要な詳細と解決策は以下の通りです：

問題の説明:

Linux カーネルはプロセスが unshare システムコールを使用して新しいネームスペースを作成することを許可します。しかし、新しい PID ネームスペースの作成を開始するプロセス（「unshare」プロセスと呼ばれる）は新しいネームスペースに入らず、その子プロセスのみが入ります。
%unshare -p /bin/bash% を実行すると、unshare と同じプロセスで /bin/bash が開始されます。その結果、/bin/bash とその子プロセスは元の PID ネームスペースに存在します。
新しいネームスペース内の /bin/bash の最初の子プロセスは PID 1 になります。このプロセスが終了すると、他にプロセスがない場合、ネームスペースのクリーンアップがトリガーされます。PID 1 は孤児プロセスを引き取る特別な役割を持っているためです。Linux カーネルはそのネームスペース内での PID 割り当てを無効にします。

結果:

新しいネームスペース内で PID 1 が終了すると、PIDNS_HASH_ADDING フラグがクリーニングされます。これにより、新しいプロセスを作成する際に alloc_pid 関数が新しい PID を割り当てることに失敗し、「メモリを割り当てできません」というエラーが発生します。

解決策:

この問題は、unshare に -f オプションを使用することで解決できます。このオプションにより、unshare は新しい PID ネームスペースを作成した後に新しいプロセスをフォークします。
%unshare -fp /bin/bash% を実行すると、unshare コマンド自体が新しいネームスペース内で PID 1 になります。これにより、/bin/bash とその子プロセスはこの新しいネームスペース内に安全に収容され、PID 1 の早期終了を防ぎ、通常の PID 割り当てを可能にします。

unshare が -f フラグで実行されることを保証することで、新しい PID ネームスペースが正しく維持され、/bin/bash とそのサブプロセスがメモリ割り当てエラーに遭遇することなく動作できるようになります。

Docker

docker run -ti --name ubuntu1 -v /usr:/ubuntu1 ubuntu bash
# Run ifconfig or ip -a

プロセスがどの名前空間にあるかを確認する

ls -l /proc/self/ns/net
lrwxrwxrwx 1 root root 0 Apr  4 20:30 /proc/self/ns/net -> 'net:[4026531840]'

すべてのネットワーク名前空間を見つける

sudo find /proc -maxdepth 3 -type l -name net -exec readlink {} \; 2>/dev/null | sort -u | grep "net:"
# Find the processes with an specific namespace
sudo find /proc -maxdepth 3 -type l -name net -exec ls -l  {} \; 2>/dev/null | grep <ns-number>

ネットワーク名前空間に入る

nsenter -n TARGET_PID --pid /bin/bash

また、ルートでない限り、他のプロセスネームスペースに入ることはできません。そして、ディスクリプタがそれを指していない限り、他のネームスペースに入ることはできません（例えば、/proc/self/ns/netのように）。

参考文献

https://stackoverflow.com/questions/44666700/unshare-pid-bin-bash-fork-cannot-allocate-memory

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousMount Namespace NextTime Namespace

Last updated 1 month ago