Fork炸彈一直以來都是Linux系統的一大威脅。有時，在平時工作中，我們可能不經意地創建了一個類似的Fork炸彈，前段時間我就遇到了。

簡單來說，我在一個無限循環（while(1)）中不斷調用popen，但卻沒有調用pclose，這導致大量子進程被創建。與傳統的Fork炸彈不同的是，這種情況并不會立即耗盡大量系統資源并導致系統崩潰。每次調用popen都會創建一個新的子進程來執行命令，但這些子進程不會立即被清理。因此，它們會逐漸積累，占用一些系統資源，例如進程表項，但不會像傳統的Fork炸彈那樣大量消耗內存或CPU資源。通常，系統會在一定的限制內允許創建子進程，因此不會立即導致系統崩潰。

然而，如果長時間運行這種代碼，就會導致系統資源逐漸耗盡，因為子進程不斷增加，從而影響系統的性能和穩定性。這可能會導致系統變得極度緩慢或不穩定，直到所有資源都用盡。

為了防止這種情況發生，最佳做法是在使用popen創建子進程后，及時調用pclose來關閉子進程，并釋放相關資源。這樣可以確保系統資源得到合理管理，避免資源泄露和系統性能下降。

分析fork

1.fork原理

fork() 是一個在Unix/Linux系統中創建新進程的系統調用。它的內核原理相當復雜，但可以簡要概括如下：

• 創建新進程：當應用程序中的進程調用fork()時，操作系統內核會創建一個新的進程，這個新進程是調用進程的副本。新進程被稱為子進程，而調用進程則被稱為父進程。
• 復制進程：內核會復制父進程的大部分內容到子進程中。這包括代碼、數據、堆棧、文件描述符和資源等。這個復制是通過寫時復制（Copy-On-Write，COW）機制實現的，這意味著在父子進程中共享相同的物理內存，直到其中一個進程嘗試修改它。這種方式使得內存資源得以節省。
• 返回值：在父進程中，fork() 返回新創建子進程的進程ID（PID），而在子進程中，fork() 返回0。這個返回值允許父子進程在執行不同的操作。
• 繼承和修改：子進程會繼承父進程的環境和狀態，包括打開的文件描述符、用戶ID、工作目錄等。通常，子進程會在這個基礎上進行修改，以執行不同的任務。
• 獨立執行：父子進程之間是獨立的，它們各自執行自己的代碼。父子進程的執行順序和執行時間可能是不確定的，由操作系統調度。
• 執行時機：fork() 在父進程中返回之后，在子進程中開始執行。這意味著在fork()之后，父子進程可能會并行運行，但執行順序取決于操作系統的調度。

2.進程炸彈是什么？

進程炸彈是一種惡意程序或代碼片段，通過反復調用Linux系統的fork()系統調用來創建大量子進程，目的是消耗系統的資源，最終導致系統崩潰或變得極度緩慢。這種攻擊方式充分利用了fork()的特性，每次調用fork()都會創建一個新進程，系統資源如內存和CPU時間也會被新進程消耗。

3.解析進程炸彈的原理

進程炸彈的核心原理就是不斷遞歸地調用fork()。每次fork()調用都會將當前進程完整復制一份，包括代碼、數據、文件描述符等等。這些復制的子進程也會再次調用fork()，導致指數級增長的進程數量。而每個進程都需要占用一定的內存和CPU時間，當數量足夠龐大時，系統資源迅速枯竭，系統性能急劇下降。

舉個栗子：

#include <stdio.h>
#include <unistd.h>

void recursive_fork_bomb() {
    while (1) {
        if (fork() == 0) {
            recursive_fork_bomb();
        }
    }
}

int main() {
    recursive_fork_bomb();
    return 0;
}

這個示例中，recursive_fork_bomb()函數在子進程中遞歸地調用自己，導致子進程的子進程也繼續創建新的進程，如此反復，形成了一個難以察覺的Fork炸彈。

防范和解決

1.實際工作中的現象

在實際工作中，如何判斷是否遇到fork炸彈了？如果在終端執行ls、cd等指令(終端執行指令linux會創建進程去執行)報如下錯就有可能遇到了，因為系統資源被極度消耗，無法執行新的進程。

• fork: Cannot allocate memory: 內存不足，無法創建新進程。
• Resource temporarily unavailable: 資源不可用，系統資源已耗盡。
• fork bomb detected: 一些系統會檢測到Fork炸彈并報告此錯誤。

2.如何防范和解決進程炸彈

要防范進程炸彈，可以采取以下措施：

• 限制用戶權限：不要讓未受信任的用戶擁有足夠的權限來運行惡意代碼。
• 資源限制：可以通過ulimit命令或配置/etc/security/limits.conf文件來限制進程的資源使用。
• 檢測工具：使用入侵檢測系統（IDS）或安全監控工具來檢測異常進程的創建。
• 定期監控：定期檢查系統性能，以及不尋常的進程活動。
• 緊急處理：如果系統受到進程炸彈攻擊，可以嘗試登錄并停止進程，然后重啟系統。