Fork炸弹一直以来都是Linux系统的一大威胁。有时，在平时工作中，我们可能不经意地创建了一个类似的Fork炸弹，前段时间我就遇到了。

简单来说，我在一个无限循环（while(1)）中不断调用popen，但却没有调用pclose，这导致大量子进程被创建。与传统的Fork炸弹不同的是，这种情况并不会立即耗尽大量系统资源并导致系统崩溃。每次调用popen都会创建一个新的子进程来执行命令，但这些子进程不会立即被清理。因此，它们会逐渐积累，占用一些系统资源，例如进程表项，但不会像传统的Fork炸弹那样大量消耗内存或CPU资源。通常，系统会在一定的限制内允许创建子进程，因此不会立即导致系统崩溃。

然而，如果长时间运行这种代码，就会导致系统资源逐渐耗尽，因为子进程不断增加，从而影响系统的性能和稳定性。这可能会导致系统变得极度缓慢或不稳定，直到所有资源都用尽。

为了防止这种情况发生，最佳做法是在使用popen创建子进程后，及时调用pclose来关闭子进程，并释放相关资源。这样可以确保系统资源得到合理管理，避免资源泄露和系统性能下降。

分析fork

1.fork原理

fork() 是一个在Unix/Linux系统中创建新进程的系统调用。它的内核原理相当复杂，但可以简要概括如下：

• 创建新进程：当应用程序中的进程调用fork()时，操作系统内核会创建一个新的进程，这个新进程是调用进程的副本。新进程被称为子进程，而调用进程则被称为父进程。
• 复制进程：内核会复制父进程的大部分内容到子进程中。这包括代码、数据、堆栈、文件描述符和资源等。这个复制是通过写时复制（Copy-On-Write，COW）机制实现的，这意味着在父子进程中共享相同的物理内存，直到其中一个进程尝试修改它。这种方式使得内存资源得以节省。
• 返回值：在父进程中，fork() 返回新创建子进程的进程ID（PID），而在子进程中，fork() 返回0。这个返回值允许父子进程在执行不同的操作。
• 继承和修改：子进程会继承父进程的环境和状态，包括打开的文件描述符、用户ID、工作目录等。通常，子进程会在这个基础上进行修改，以执行不同的任务。
• 独立执行：父子进程之间是独立的，它们各自执行自己的代码。父子进程的执行顺序和执行时间可能是不确定的，由操作系统调度。
• 执行时机：fork() 在父进程中返回之后，在子进程中开始执行。这意味着在fork()之后，父子进程可能会并行运行，但执行顺序取决于操作系统的调度。

2.进程炸弹是什么？

进程炸弹是一种恶意程序或代码片段，通过反复调用Linux系统的fork()系统调用来创建大量子进程，目的是消耗系统的资源，最终导致系统崩溃或变得极度缓慢。这种攻击方式充分利用了fork()的特性，每次调用fork()都会创建一个新进程，系统资源如内存和CPU时间也会被新进程消耗。

3.解析进程炸弹的原理

进程炸弹的核心原理就是不断递归地调用fork()。每次fork()调用都会将当前进程完整复制一份，包括代码、数据、文件描述符等等。这些复制的子进程也会再次调用fork()，导致指数级增长的进程数量。而每个进程都需要占用一定的内存和CPU时间，当数量足够庞大时，系统资源迅速枯竭，系统性能急剧下降。

举个栗子：

#include 
#include 

void recursive_fork_bomb() {
    while (1) {
        if (fork() == 0) {
            recursive_fork_bomb();
        }
    }
}

int main() {
    recursive_fork_bomb();
    return 0;
}

这个示例中，recursive_fork_bomb()函数在子进程中递归地调用自己，导致子进程的子进程也继续创建新的进程，如此反复，形成了一个难以察觉的Fork炸弹。

防范和解决

1.实际工作中的现象

在实际工作中，如何判断是否遇到fork炸弹了？如果在终端执行ls、cd等指令(终端执行指令linux会创建进程去执行)报如下错就有可能遇到了，因为系统资源被极度消耗，无法执行新的进程。

• fork: Cannot allocate memory: 内存不足，无法创建新进程。
• Resource temporarily unavailable: 资源不可用，系统资源已耗尽。
• fork bomb detected: 一些系统会检测到Fork炸弹并报告此错误。

2.如何防范和解决进程炸弹

要防范进程炸弹，可以采取以下措施：

• 限制用户权限：不要让未受信任的用户拥有足够的权限来运行恶意代码。
• 资源限制：可以通过ulimit命令或配置/etc/security/limits.conf文件来限制进程的资源使用。
• 检测工具：使用入侵检测系统（IDS）或安全监控工具来检测异常进程的创建。
• 定期监控：定期检查系统性能，以及不寻常的进程活动。
• 紧急处理：如果系统受到进程炸弹攻击，可以尝试登录并停止进程，然后重启系统。