SQL Slammer
Ten artykuł od 2020-03 wymaga zweryfikowania podanych informacji. |
SQL Slammer – robak, który 25 stycznia 2003 zainfekował serwery Microsoft SQL na całym świecie.
Cechą szczególną SQL Slammera była niespotykana dotychczas szybkość rozprzestrzeniania się. Tempo podwajania liczby zainfekowanych komputerów wynosiło ok. 8 i pół sekundy, w porównaniu z 37 minutami w przypadku Code Red.
Ponieważ dziura wykorzystywała pakiety UDP zamiast bardziej tradycyjnych TCP, pojedynczy pakiet mógł przejąć podatny komputer, a ponadto robak nie musiał śledzić losu wysłanych pakietów, co umożliwiło mu wysyłanie ich w niespotykanym dotychczas tempie. Co prawda TCP również umożliwia wysyłanie pakietów bez śledzenia ich losu, za pomocą procedury Reverse SYN dostępnej m.in. w Paketto Keiretsu, jednak jest to o wiele bardziej skomplikowana procedura i żaden robak jak dotychczas z tego nie korzystał.
Ten sposób działania umożliwił robakowi generowanie gigantycznego ruchu w sieci, rzędu wielu gigabajtów na sekundę.
Microsoft w lipcu 2002 wypuścił patcha, który łatał tę dziurę, jednak potem kolejny patch ponownie ją otwierał. Większość administratorów serwerów opartych o ten produkt Microsoftu jednak nie zaaplikowała ani jednego, ani drugiego z nich, włącznie z niektórymi administratorami wewnątrz Microsoftu.
Ponieważ główne straty powstały nie w wyniku przejęcia serwerów MS SQL, ale w wyniku wygenerowania ogromnego ruchu w sieci, ofiarami którego padły w większości zupełnie inne serwery, bardzo trudno było takiemu atakowi przeciwdziałać.