Тема выпускной квалификационной работы: «Противодействие атакам ARP- и DNS-spoofing в контейнерах Kubernetes при наличии привилегии CAP_NET_RAW». Целью работы является повышение защищенности контейнеров Kubernetes от атак ARP- и DNS-spoofing при наличии привилегии CAP_NET_RAW. Предметом исследования являются современные методы противодействия атакам ARP- и DNS-spoofing в контейнерах Kubernetes. Задачи, решаемые в ходе исследования: 1. Исследовать внутреннее устройство сети в кластере Kubernetes. 2. Проанализировать влияние установленной привилегии CAP_NET_RAW на безопасность кластера Kubernetes. 3. Разработать демонстрационный стенд для практического исследования атак ARP- и DNS-spoofing в контейнерах Kubernetes с возможностью мониторинга состояния системы. 4. Сформировать правила для противодействия атакам ARP- и DNS-spoofing в контейнерах Kubernetes. В ходе работы была исследована сетевая модель в контейнерах Kubernetes, специфика работы и взаимодействия отдельных компонентов кластера, особенности работы DNS-сервера и разрешение MAC-адресов по протоколу ARP. Были рассмотрены уязвимости, связанные с наличием установленной привилегией CAP_NET_RAW. Были проанализированы современные исследования в области обеспечения безопасности сети в кластерах Kubernetes. В результате работы был разработан демонстрационный стенд для анализа атак ARP- и DNS- spoofing в контейнерах Kubernetes, позволяющий исследовать работу эксплойта, а также отслеживать состояние системы с помощью утилит для исследования сетевого трафика и сетевых настроек. В результате работы также были предложены методы противодействия атакам ARP- и DNS-spoofing в кластере Kubernetes. Составлены рекомендации по выбору предложенных подходов на основе требований с защищаемой инфраструктуре, особенностей конфигурации кластера и влияние каждого метода на функционирование приложений в контейнерах. Полученные результаты могут быть использованы в качестве основы для выбора стратегии по противодействию сетевым атакам ARP- и DNS-spoofing в контейнерах Kubernetes.

The topic of the graduate qualification work is «Counteracting ARP- and DNS-spoofing attacks in Kubernetes containers with the CAP_NET_RAW capability». The purpose of the study is to increase the security of Kubernetes containers from ARP- and DNS-spoofing attacks with the CAP_NET_RAW capability. The subject of the work is modern methods to counter ARP and DNS spoofing attacks in Kubernetes containers. The research set the following goals: 1. Explore the internal network structure in a Kubernetes cluster. 2. Analyze the impact of the installed CAP_NET_RAW capability on the security of the Kubernetes cluster. 3. Develop a demonstration stand for practical research of ARP- and DNS-spoofing attacks in Kubernetes containers with the ability to monitor the system state. 4. Create rules to counter ARP- and DNS-spoofing attacks in Kubernetes containers. During the work, the network model in Kubernetes containers, the specifics of the operation and interaction of individual cluster components, the features of the DNS server and the resolution of MAC addresses via the ARP protocol were studied. Vulnerabilities associated with having the CAP_NET_RAW privilege installed were reviewed. Modern research in the field of network security in Kubernetes clusters was analyzed. As a result of the work, a demo stand was developed for analyzing ARP and DNS spoofing attacks in Kubernetes containers, allowing one to research the operation of an exploit, as well as monitor the state of the system using utilities for studying network traffic and network settings. As a result of the work, methods were also proposed to counter ARP and DNS spoofing attacks in the Kubernetes cluster. Recommendations have been made for selecting the proposed approaches based on the requirements of the protected infrastructure, cluster configuration features, and the impact of each method on the functioning of applications in containers. The results obtained can be used as a basis for choosing a strategy to counter ARP and DNS spoofing network attacks in Kubernetes containers.