Jump to content

SQL-тюрьма

SQL-тюрьма
Тип Компьютерный червь
Источник 2003
Технические детали
Платформа Microsoft Windows

SQL-тюрьма [а] , выпущенный в 2003 году компьютерный червь , который вызывал отказ в обслуживании на некоторых узлах Интернета и резко замедлял общий интернет-трафик . Это также привело к сбоям в работе маршрутизаторов по всему миру, что привело к еще большему замедлению работы. Он быстро распространился, заразив большинство из 75 000 жертв в течение 10 минут.

Программа использовала ошибку переполнения буфера в продуктах баз данных Microsoft SQL Server и Desktop Engine . Хотя MS02-039 (CVE-2002-0649) [2] патч был выпущен шестью месяцами ранее, многие организации еще не применили его.

Наиболее зараженными регионами были Европа, Северная Америка и Азия (включая Восточную Азию и Южную Азию (Индию)) и т. д. [3]

Технические детали

[ редактировать ]

Червь был основан на экспериментальном коде, продемонстрированном на брифинге Black Hat Дэвидом Личфилдом , который изначально обнаружил уязвимость переполнения буфера, которую использовал червь. [4] Это небольшой фрагмент кода, который мало что делает, кроме генерации случайных IP-адресов и отправки себя на эти адреса. Если выбранный адрес принадлежит хосту, на котором запущена непропатченная копия службы разрешения Microsoft SQL Server, прослушивающая UDP-порт 1434, хост немедленно заражается и начинает забрасывать Интернет новыми копиями программы-червя.

Домашние компьютеры , как правило, не уязвимы для этого червя, если на них не установлен MSDE. Червь настолько мал, что не содержит кода для записи на диск, поэтому он остается только в памяти и его легко удалить. Например, Symantec предоставляет бесплатную утилиту удаления, или ее даже можно удалить, перезапустив SQL Server (хотя компьютер, скорее всего, будет немедленно повторно заражен).

Использование червя стало возможным благодаря уязвимости безопасности программного обеспечения в SQL Server, о которой впервые сообщила Microsoft 24 июля 2002 года. Исправление было доступно от Microsoft за шесть месяцев до запуска червя, но многие установки так и не были исправлены, в том числе многие в Microsoft. . [5]

Червя начали замечать утром 25 января 2003 года. [б] поскольку это замедлило работу систем по всему миру. Замедление было вызвано выходом из строя многочисленных маршрутизаторов под бременем чрезвычайно высокого бомбардировочного трафика с зараженных серверов. Обычно, когда трафик слишком велик для обработки маршрутизаторами, предполагается, что маршрутизаторы задерживают или временно останавливают сетевой трафик. Вместо этого некоторые маршрутизаторы выходили из строя (приходили в негодность), и «соседние» маршрутизаторы замечали, что эти маршрутизаторы остановились и с ними не следует связываться (так называемое «удаление из таблицы маршрутизации »). Маршрутизаторы начали рассылать уведомления об этом другим маршрутизаторам, о которых они знали. Поток уведомлений об обновлении таблицы маршрутизации привел к сбою некоторых дополнительных маршрутизаторов, что усугубило проблему. В конце концов специалисты по обслуживанию вышедших из строя маршрутизаторов перезапустили их, заставив их объявить о своем статусе, что привело к новой волне обновлений таблиц маршрутизации. Вскоре значительная часть пропускной способности Интернета была использована маршрутизаторами, взаимодействующими друг с другом для обновления своих таблиц маршрутизации, а обычный трафик данных замедлился, а в некоторых случаях вообще прекратился. Поскольку червь SQL Slammer был настолько мал по размеру, иногда ему удавалось пройти, когда законного трафика не было.

Два ключевых аспекта способствовали быстрому распространению SQL Slammer. Червь заражал новые хосты по бессеансовому протоколу UDP , а весь червь (всего 376 байт) умещался в одном пакете. [10] [11] В результате каждый зараженный хост мог просто «выпустить и забыть» пакеты как можно быстрее.

Примечания

[ редактировать ]
  1. ^ Другие названия включают W32.SQLExp.Worm, DDOS.SQLP1434.A, Sapphire Worm, SQL_HEL, W32/SQLSlammer и Helkern. [1]
  2. ^ сообщение Публичное раскрытие информации началось с того, что Майкл Бакарелла разместил в списке рассылки по безопасности Bugtraq под названием «ЧЕРВЬ MS SQL УНИЧТОЖАЕТ ИНТЕРНЕТ-БЛОК-ПОРТ 1434!» [6] в 07:11:41 UTC 25 января 2003 г. Аналогичные отчеты были опубликованы Робертом Бойлом в 08:35 UTC. [7] и Бен Коши в 10:28 UTC [8] Ранний анализ, опубликованный Symantec, имеет отметку времени 07:45 по Гринвичу. [9]

Ссылки

[ редактировать ]
  1. ^ «Symantec W32.SQLExp.Worm» . Архивировано из оригинала 10 ноября 2006 года.
  2. ^ «CVE-CVE-2002-0649» . cve.mitre.org . Проверено 7 сентября 2023 г.
  3. ^ Мескита, Тай (12 февраля 2020 г.). «Вирус SQL Slammer (предвестник грядущих событий)» . КиберХут .
  4. ^ Лейден, Джон (6 февраля 2003 г.). «Slammer: Почему безопасность выигрывает от проверки концептуального кода» . Зарегистрируйтесь . Проверено 29 ноября 2008 г.
  5. ^ «Майкрософт тоже атакован червем» . Проводной .
  6. ^ Бакарелла, Майкл (25 января 2003 г.). «ЧЕРВЬ MS SQL УНИЧТОЖАЕТ ИНТЕРНЕТ-БЛОК ПОРТА 1434!» . Багтрак . Проверено 29 ноября 2012 г.
  7. ^ Бойл, Роберт (25 января 2003 г.). «Душевное спокойствие через честность и проницательность» . Архив Неохапсиса. Архивировано из оригинала 19 февраля 2009 года . Проверено 29 ноября 2008 г.
  8. ^ Коши, Бен (25 января 2003 г.). «Душевное спокойствие через честность и проницательность» . Архив Неохапсиса. Архивировано из оригинала 19 февраля 2009 года . Проверено 29 ноября 2008 г.
  9. ^ «Анализ червей SQLExp SQL Server» (PDF) . Анализ угроз системы управления угрозами DeepSight™. 28 января 2003 г. Архивировано из оригинала (PDF) 7 марта 2003 г.
  10. ^ Мур, Дэвид; и др. «Распространение сапфирового/тюремного червя» . CAIDA (Кооперативная ассоциация анализа данных в Интернете) .
  11. ^ Серацци, Джузеппе; Занеро, Стефано (2004). «Модели распространения компьютерных вирусов» (PDF) . В Кальзароссе Мария Карла; Геленбе, Эрол (ред.). Инструменты повышения производительности и приложения для сетевых систем . Конспекты лекций по информатике. Том. 2965. стр. 26–50.
[ редактировать ]
Новости
Объявление
Анализ
  • Внутри Slammer Worm Журнал IEEE Security and Privacy, Дэвид Мур, Верн Паксон, Стефан Сэвидж, Коллин Шеннон, Стюарт Стэнифорд и Николас Уивер
Технические детали

Retrieved from "https://en.wikipedia.org/w/index.php?title=SQL_Slammer&oldid=1237650565"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 7ccac3e5a8ff8d76bfef39c7c95c6f3a__1722361140
URL1:https://arc.ask3.ru/arc/aa/7c/3a/7ccac3e5a8ff8d76bfef39c7c95c6f3a.html
Заголовок, (Title) документа по адресу, URL1:
SQL Slammer - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)