SQL Slammer
Author
Albert FloresSQL Slammer je počítačový červ, který způsobil Denial of Service některým internetovým službám a dramaticky zpomalil celkový internetový provoz, počínaje 25. ledna 2003 v 5:30 UTC. Rozšířil se velmi rychle, infikoval většinu ze svých 75 000 obětí během deseti minut. Slammer, pojmenovaný technickým ředitelem Internet Security Systems Christopherem J. Roulandem, byl poprvé představen veřejnosti Michaelem Bacarellem. Program nevyužíval jazyk SQL, i když byl pojmenován „SQL Slammer červ“. Zneužíval bug v přetečení vyrovnávací paměti ve vlajkové lodi Microsoftu SQL Server a v produktech založených na MSDE, pro které vyšla záplata v [url=https://technet.microsoft.com/library/security/ms02-039]MS02-039[/url]. Jinak se mu také říká W32.SQLExp.Worm, DDOS.SQLP1434.A, Sapphire Worm, SQL_HEL, W32/SQLSlammer a Helkern.
Technické detaily
Červ byl založen na demonstrativní ukázce kódu, která byla předvedena na konferenci Black Hat, Davidem Lichfieldem, jenž jako první objevil zranitelnost vůči přetečení vyrovnávací paměti, kterou červ využíval. Je to malý kus kódu, který dělá o něco více než to, že generuje náhodné IP adresy a posílá sebe sama na ně. +more Pokud vybraná IP adresa patří některému poskytovateli služeb, který má spuštěnou neopravenou verzi Microsoft SQL Server Resolution Service poslouchající na UDP portu 1434, stane se okamžitě nakažen a začne šířit další kopie do Internetu.
Osobní počítače nejsou obecně zranitelné vůči tomuto červu, pokud nemají nainstalovaný MSDE. Červ je tak malý, že neobsahuje kód pro zapsání sebe sama na disk, místo toho zůstává uložen pouze v paměti a tím se dá snadno odstranit. +more Například utilitou Symantec (viz externí odkaz níže), nebo lze také odstranit restartováním samotného SQL serveru (avšak stroj bude pravděpodobně okamžitě znovu infikován).
Červa bylo možné vytvořit díky softwarové zranitelnosti v SQL Serveru, která byla poprvé zaznamenána Microsoftem 24. února 2002. +more Záplata od Microsoftu byla k dostání šest měsíců před vypuštěním červa, ale mnoho instalací nemělo tuto záplatu nainstalovanou - včetně mnohých z Microsoftu.
Zpomalení bylo způsobeno kolapsem mnoha routerů pod zátěží extrémně vysokého provozu způsobeného infikovanými servery. Pokud je za normálních okolností síťový provoz pro routery příliš velký, routery by ho měly zpomalit nebo dočasně zastavit. +more Místo toho se některé routery zhroutily (staly se nepoužitelnými) a okolní routery si všimly, že se tento router vypnul a že s ním nemají komunikovat (neboli odstranit záznam z routovací tabulky). Routery začaly posílat oznámení o této události ostatním routerů, o kterých věděly. Záplava oznámení o změnách routovací tabulky způsobila kolaps několika dalších routerů a tím se problém jen prohluboval. Dříve či později správci zkolabovaných routerů tyto routery restartovali, a tím routery oznámily svůj status a to vedlo k další vlně aktualizování routovacích tabulek. Zanedlouho byla velká část přenosové rychlosti Internetu pohlcena vzájemnou komunikací routerů o aktualizování routovacích tabulek a obyčejný datový provoz byl zpomalen nebo dokonce zastaven. Naneštěstí velikost červa SQL Slammer byla tak malá, že se mu občas povedlo projít, i když legitimní provoz v sítí neprošel.
Dva klíčové aspekty přispěly k rapidnímu rozšíření SQL Slammeru. Červ infikoval nové hosty přes sessionless UDP protokol a celý červ (pouhých 376 bajtů) se vešel do jednoho jediného paketu. +more Ve výsledku každý z nakažených hostů mohl místo toho jednoduše zaslat co nejvíce „fire and forget“ paketů (pošli a zapomeň - nečeká se na odpověď paketu) za sekundu (běžně stovky za sekundu).
Poznámky
Je tu spor o to, kdo první našel „Slammer“. Nicméně tím, kdo první varoval širokou veřejnost, byl Michael Bacarella, který napsal zprávu do bezpečnostního mailing listu Bugtraq pojmenovanou „MS SQL ČERV NÍČÍ INTERNET, ZABLOKUJTE PORT 1434. +more“. Tato zpráva byla poslána 25. ledna 2003 v 7:11:41 UTC. Prvenství je často připisováno Benovi Koshymu. Společnost, pro kterou pracoval, vydala v tomto smyslu tiskové prohlášení. Jeho oznámení, odeslané veřejnosti přes NTBugtraq mailing list, však nebylo odesláno před 10:28 UTC. Zpráva Roberta Boyla byla přes NTBugtraq odeslána v 8:45 UTC, čímž porazil Koshyho, ale zůstal pozadu za Bacarellou. ISS skrze Chrise Roulanda poslala varování v 11:54 UTC, poté v 11:56 UTC na ISSForum a následně na Vulnwatch mailing list. Analýza vydaná společností Symantec je časově označená na 7:45 GMT, což předchází těmto tiskovým prohlášením.
Reference
Externí odkazy
;Novinky *[url=http://news. bbc. +moreco. uk/2/hi/technology/2693925. stm]BBC NEWS Technology Virus-like attack hits web traffic[/url] *[url=http://slashdot. org/article. pl. sid=03/01/25/1245206&mode=flat&tid=109]MS SQL Server Worm Wreaking Havoc[/url] *[url=http://www. wired. com/wired/archive/11. 07/slammer. html]Wired 11. 07: Slammed. [/url] Laické vysvětlení kódu Slammeru.
Oznámení *[url=https://web. archive. +moreorg/web/20080307052903/http://www. microsoft. com/technet/security/bulletin/ms02-039. mspx]Microsoft Security Bulletin MS02-039 and Patch[/url] *[url=http://www. cert. org/advisories/CA-2003-04. html]CERT Advisory CA-2003-04[/url] *[url=https://web. archive. org/web/20060105050228/http://securityresponse. symantec. com/avcenter/venc/data/w32. sqlexp. worm. html]Symantec Security Response - W32. SQLExp. Worm[/url].
Analýza * [url=http://www. cs. +moreucsd. edu/~savage/papers/IEEESP03. pdf]Inside the Slammer Worm[/url] IEEE Security and Privacy Magazine, David Moore, Vern Paxson, Stefan Savage, Colleen Shannon, Stuart Staniford, and Nicholas Weaver.
Technické detaily *[url=http://www.cert.org/advisories/CA-2002-22.html]Multiple Vulnerabilities in Microsoft SQL Server[/url] - Carnegie-Mellon Software Engineering Institute