SQL Slammer

SQL slammer eventual într-un fișier de computer

SQL Slammer este un vierme de computer care a provocat o refuzare a serviciului pe unele servere de Internet și a încetinit dramatic traficul pe Internet în general, începând cu ora 05:30 GMT pe 25 ianuarie 2003. S-a răspândit rapid, infectând majoritatea celor 75.000 de victime în zece minute. Numit după Christopher J. Rouland, director de tehnologie al ISS , Slammer a fost adus pentru prima dată în atenția publicului de Michael Bacarella (vezi notele de mai jos). Deși intitulat „SQL Slammer Worm”, spectacolul nu a folosit limbajul SQL ; a profitat de o eroare de depășire a tamponuluiîn produsele pentru motorul de baze de date Microsoft SQL Server și produsele pentru motorul de date Microsoft SQL Server , pentru care a fost lansat un patch cu șase luni mai devreme în MS02-039. Alte nume includ W32.SQLExp.Worm, DDOS.SQLP1434.A, viermele Sapphire, SQL_HEL, W32/SQLSlammer și Helkern. ^{[ 1} ]

Detalii tehnice

Viermele se bazează pe dovezile de concept prezentate la Black Hat Briefings găzduite de David Litchfield , care a descoperit inițial vulnerabilitatea de depășire a tamponului pe care a exploatat-o viermele. ^{[ 2 ]} Aceasta este o mică bucată de cod care nu face altceva decât să genereze aleatoriu adrese IP și să se trimită la acele adrese. Dacă o adresă selectată aparține unei gazde care rulează o copie nepatchată a soluției Microsoft SQL Server care ascultă pe portul UDP 1434, gazda devine imediat infectată și începe să pulverizeze Internetul cu mai multe copii ale programului vierme.

PC-urile de acasă nu sunt în general vulnerabile la acest vierme decât dacă au instalat MSDE . Viermele este atât de mic încât nu conține cod de scris pe disc, așa că rămâne doar în memorie și este ușor de îndepărtat. De exemplu, Symantec oferă un instrument gratuit de eliminare (vezi linkul extern de mai jos) sau poate fi chiar eliminat prin repornirea SQL Server (deși este posibil ca mașina să fie infectată din nou imediat).

Viermele a fost posibil datorită unei vulnerabilități de securitate în software-ul SQL Server, raportată pentru prima dată de Microsoft la 24 iulie 2002. Un patch a fost disponibil de la Microsoft timp de șase luni înainte de lansarea viermelui, dar multe instalări au eșuat - inclusiv multe la Microsoft.

Incetinirea a fost cauzata de prabusirea a numeroase routere sub bombardamentul cu trafic foarte mare de la serverele infectate. În mod normal, atunci când traficul este prea mare pentru ca routerele să le poată gestiona, routerele ar trebui să întârzie sau să oprească temporar traficul în rețea. În schimb, unele routere au eșuat (au devenit inutilizabile), iar routerele „vecinate” și-au dat seama că aceste routere s-au oprit și nu ar trebui contactate (cunoscut și ca „șters din tabelul de rutare ”). Astfel, aceste routere au început să trimită notificări în acest sens altor routere din apropiere despre ceea ce știau. Atacul notificărilor de actualizare a tabelului de rutare a făcut ca unele routere suplimentare să eșueze, agravând problema. În cele din urmă, operatorii routerelor eșuate le-au repornit, provocând noi valuri de actualizări ale tabelelor de rutare. Curând, o parte semnificativă a lățimii de bandă a Internetului a fost consumată de routerele care comunicau între ele pentru a-și actualiza tabelele de rutare, iar traficul de date obișnuit a încetinit sau, în unele cazuri, sa oprit complet. În mod ironic, deoarece viermele SQL Slammer era atât de mic ca dimensiune, uneori putea trece chiar și atunci când traficul legitim nu a făcut-o. Două aspecte cheie au contribuit la răspândirea rapidă a SQL Slammer. Viermele a infectat noi gazde prin protocolul UDP fără sesiune, iar întregul vierme (doar 376 de octeți) se încadrează într-un singur pachet. ^{[ 3 ]}^[ ⁴^] Ca rezultat, fiecare gazdă infectată ar putea pur și simplu „declanșa și uita” pachetele cât mai repede posibil (de obicei, sute pe secundă).

Este dezvăluit

Există o dispută cu privire la cine a găsit primul „Slammer”. Cu toate acestea, în ceea ce privește prima alertă a publicului larg, aceasta poate fi atribuită lui Michael Bacarella, care a postat un mesaj pe lista de corespondență de securitate Bugtraq intitulat „MS SQL WORM IS DESTRUY THE INTERNET BLOCK PORT 1434!”. ^{[ 5 ]} Acesta a fost trimis la 07:11:41 UTC pe 25 ianuarie 2003 Ben Koshy este adesea creditat ca primul; De altfel, compania la care a lucrat a emis un comunicat de presă despre asta. ^{[ 6 ]} Cu toate acestea, alerta sa ^{[ 7 ]} către public, trimisă pe lista de corespondență NTBugtraq, nu a fost trimisă decât la 10:28 UTC. Robert Boyle a trimis o alertă către NTBugtraq la 08:35 UTC ^{[ 8 ]} depășindu-l pe Koshy, dar în urma lui Bacarella. ISS, prin Chris Rouland, a trimis alerte la 11:54 UTC ^{[ 9 ]} și 11:56 UTC ^{[ 10 ]} către listele de corespondență ISSForum și, respectiv, Vulnwatch. O analiză publicată de Symantec este ștampilată cu data 07:45 GMT, care ar precede aceste anunțuri publice. ^{[ 11} ]

Referințe

^ „Symantec W32.SQLExp.Worm” .
^ Leyden, John (6 februarie 2003). „Slammer: De ce beneficiază securitatea de pe urma codului proof of concept” . Înregistrează-te . Recuperat la 29 noiembrie 2008 .
^ Moore, David și colab. „Răspândirea Safirului/Viermele Slammer” . CAIDA (Asociația Cooperativă pentru Analiza Datelor pe Internet) .
^ Serazzi, Giuseppe & Zanero, Stefano (2004). „Modele de propagare a virusurilor pe computer” . În Calzarossa, Maria Carla & Gelenbe, Erol, ed. Instrumente de performanță și aplicații pentru sistemele în rețea . Note de curs în informatică. Vol. 2965.pp. 26-50.
↑ Bacarella, Michael (25 ianuarie 2003). „MS SQL WORM DISTRUGE PORTUL INTERNET BLOC 1434!” . Bugtraq . Accesat 2012-11-29 .
↑ „Ben Koshy de la W3 Media, primul care a identificat virusul „Slammer” pe Internet” . Comunicat de presă . W3 înseamnă. 24 ianuarie 2003 . Recuperat la 29 noiembrie 2008 .
^ Koshy, Ben (25 ianuarie 2003). „Pacea sufletească prin integritate și perspectivă” . Arhivele Neohapsis. Arhivat din original pe 19 februarie 2009 . Recuperat la 29 noiembrie 2008 .
^ Boyle, Robert (25 ianuarie 2003). „Pacea sufletească prin integritate și perspectivă” . Arhivele Neohapsis. Arhivat din original pe 19 februarie 2009 . Recuperat la 29 noiembrie 2008 .
^ „Informația despre securitate ISS: Microsoft SQL Slammer Worm Propagation” . ISSForum . 25 ianuarie 2003. Arhivat din original la 19 februarie 2009 . Recuperat la 29 noiembrie 2008 .
↑ X-Force (25 ianuarie 2003). „Pacea sufletească prin integritate și perspectivă” . Arhivele Neohapsis. Arhivat din original pe 19 februarie 2009 . Recuperat la 29 noiembrie 2008 .
^ „SQLExp SQL Server Worm Analysis” . Analiza amenințărilor sistemului DeepSight™ de management al amenințărilor. 28 ianuarie 2003.

Link- uri externe

Știri

BBC News Technology Atacul asemănător unui virus lovește traficul web
Viermele MS SQL Server face ravagii
Prin cablu 11.07: Trat! O explicație profană a codului Slammer.

Anunț

Analiză

În interiorul revistei Slammer Worm IEEE Security and Privacy, David Moore, Vern Paxson, Stefan Savage, Colleen Shannon, Stuart Staniford și Nicholas Weaver

Detalii tehnice

Cod de vierme dezasamblat
Vulnerabilități multiple în Microsoft SQL Server - Carnegie-Mellon Software Engineering Institute

[1] „Symantec W32.SQLExp.Worm” .

[2] Leyden, John (6 februarie 2003). „Slammer: De ce beneficiază securitatea de pe urma codului proof of concept” . Înregistrează-te . Recuperat la 29 noiembrie 2008 .

[3] Moore, David și colab. „Răspândirea Safirului/Viermele Slammer” . CAIDA (Asociația Cooperativă pentru Analiza Datelor pe Internet) .

[4] Serazzi, Giuseppe & Zanero, Stefano (2004). „Modele de propagare a virusurilor pe computer” . În Calzarossa, Maria Carla & Gelenbe, Erol, ed. Instrumente de performanță și aplicații pentru sistemele în rețea . Note de curs în informatică. Vol. 2965.pp. 26-50.

[5] Bacarella, Michael (25 ianuarie 2003). „MS SQL WORM DISTRUGE PORTUL INTERNET BLOC 1434!” . Bugtraq . Accesat 2012-11-29 .

[6] „Ben Koshy de la W3 Media, primul care a identificat virusul „Slammer” pe Internet” . Comunicat de presă . W3 înseamnă. 24 ianuarie 2003 . Recuperat la 29 noiembrie 2008 .

[7] Koshy, Ben (25 ianuarie 2003). „Pacea sufletească prin integritate și perspectivă” . Arhivele Neohapsis. Arhivat din original pe 19 februarie 2009 . Recuperat la 29 noiembrie 2008 .

[8] Boyle, Robert (25 ianuarie 2003). „Pacea sufletească prin integritate și perspectivă” . Arhivele Neohapsis. Arhivat din original pe 19 februarie 2009 . Recuperat la 29 noiembrie 2008 .

[9] „Informația despre securitate ISS: Microsoft SQL Slammer Worm Propagation” . ISSForum . 25 ianuarie 2003. Arhivat din original la 19 februarie 2009 . Recuperat la 29 noiembrie 2008 .

[10] X-Force (25 ianuarie 2003). „Pacea sufletească prin integritate și perspectivă” . Arhivele Neohapsis. Arhivat din original pe 19 februarie 2009 . Recuperat la 29 noiembrie 2008 .

[11] „SQLExp SQL Server Worm Analysis” . Analiza amenințărilor sistemului DeepSight™ de management al amenințărilor. 28 ianuarie 2003.

[ 1

[ 2 ]

[ 3 ]

[

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11