SQL Slammer (auch bekannt als Sapphire ) ist ein Computerwurm , der das verursacht hat25. Januar 2003eine Denial - of - Service auf einigen Internet - Host - Computer , und eine schwere Verlangsamung des Internetverkehrs . Die Verbreitung war überwältigend. Michael Bacarella war der erste, der dies bekannt gab, aber es war Christopher J. Rouland, CTO der ISS, der ihn Slammer nannte (siehe Anmerkungen unten). Obwohl es als "SQL-Slammer-Wurm" bezeichnet wurde, verwendete das Programm nicht die SQL- Sprache . vielmehr breitete sie durch eine Sicherheitslücke Typ Pufferüberlauf in Server - Datenbank Microsoft SQL Server und MSDE , für die ein Patch ist bereits vorhanden.
Das 25. Januar 2003Ab 05:30 UTC begann sich der SQL Slammer-Computerwurm zu verbreiten. Es breitete sich so schnell aus, dass es die meisten seiner Opfer in den ersten zehn Minuten des Angriffs infizierte.
Dies ist eine Sicherheitslücke von Microsoft SQL Server , indem berichtete Microsoft auf24. Juli 2002Dies ermöglichte die Implementierung des Wurms. Gleichzeitig mit dieser Ankündigung hatte Microsoft sechs Monate vor dem Start des Angriffs eine Korrektur für diesen Fehler veröffentlicht.
SQL Slammer ergab, dass einige Netzwerkadministratoren, auch bei Microsoft, die erforderlichen Patches nicht auf die von ihnen verwendete Software angewendet haben, obwohl das Update für diesen Fehler 6 Monate vor dem Tag zuvor veröffentlicht wurde. Die Ausbreitung des Wurms. Sie können diesen Fehler auch beheben, indem Sie Service Pack 3 für SQL Server installieren.
Der Wurm ist auch unter den Namen W32.SQLExp.Worm, DDOS.SQLP1434.A, SQL_HEL, W32 / SQLSlammer und Helkern bekannt.
Das Design des Wurms basiert auf einem Proof-of-Concept, der einer Black Hat-Konferenz von David Litchfield (in) ausgesetzt wurde und einen zuvor entdeckten Pufferüberlauf vom Typ Schwachstelle ausnutzt . Dieser Wurm ist ein kleiner Code, der nichts anderes tut, als zufällig IP-Adressen zu generieren und Kopien von sich selbst an diese Adressen zu senden. Wenn sich an einer dieser Adressen ein Computer befindet, auf dem eine Version von Microsoft SQL Server ausgeführt wird, auf die der im Bulletin MS02-039 veröffentlichte Patch nicht angewendet wurde, wird er sofort infiziert und beginnt wiederum, neue Kopien von über das Internet zu senden der Wurm.
Der Wurm - Code , sehr kurz (306 Bytes ) enthält keine Anweisungen selbst auf der Festplatte zu kopieren, so dass es nur in Speicher befindet , die es sehr einfach macht , zu löschen. Sie können dies tun, indem Sie ein Entfernungsprogramm wie das kostenlose von Symantec (siehe externer Link unten) verwenden oder den Server einfach neu starten. Der Computer wird jedoch wahrscheinlich fast sofort erneut infiziert.
Zwei Hauptmerkmale haben zur schnellen Verbreitung des SQL Slammer-Wurms beigetragen: die Verwendung des UDP- Protokolls zur Infektion neuer Hosts und die Möglichkeit, den Wurmcode in einem einzigen UDP- Paket zusammenzufassen . Durch die Verwendung von UDP von der Notwendigkeit befreit , eine Verbindung wie in TCP herzustellen, könnte der infizierte Host eine Strategie anwenden, die als "Schießen und Vergessen" bekannt ist, um sein Paket so oft wie möglich zu übertragen (normalerweise mehrere hundert pro Sekunde).
Personal Computern (PCs) sind nicht von diesem Wurm betroffen , es sei denn MSDE auf ihnen installiert ist.
Der Zusammenbruch vieler Router als Reaktion auf den enormen Anstieg des Datenverkehrs, der durch das massive Senden von Kopien des Wurms von infizierten Servern verursacht wurde, führte aufgrund des massiven Datenverkehrs auf Port 1434 zu einer erheblichen Verlangsamung des Internets Der Datenverkehr wird zu stark, als dass der Router ihn verarbeiten könnte. Der Router soll den Datenverkehr verzögern oder vorübergehend stoppen. Die Bandbreitenüberlastung hat zu Fehlfunktionen einiger Router geführt, die von benachbarten Routern direkt vom Internet "getrennt" wurden (durch Entfernen der Routing-Tabelle ). Schließlich haben die mehrfachen Benachrichtigungen über Aktualisierungen von Routen, entweder um ausgestorbene Router aus dem Netzwerk zu entfernen oder um neue hinzuzufügen, die neu gestartet wurden, sehr schnell einen erheblichen Teil der Internetbandbreite monopolisiert. Der normale Verkehr hat sich folglich verlangsamt und ist in einigen Fällen sogar zum Stillstand gekommen. Es ist jedoch ironisch, dass der SQL Slammer-Wurm aufgrund seiner sehr geringen Größe manchmal übertragen werden kann, wenn legitimer Datenverkehr dies nicht kann.
Es gibt Kontroversen darüber, wer Slammer zuerst gefunden hat, obwohl dies in der Praxis praktisch unmöglich zu bestimmen ist. Wir können jedoch die erste öffentliche Warnung Michael Bacarella zuschreiben, der eine Nachricht auf der Bugtraq- Mailingliste gesendet hat : "MS SQL-Wurm zerstört das Internet - Block Port 1434!" "(" MS SQL WORM ZERSTÖRT INTERNET - BLOCK PORT 1434! "). Gesendet um 07:11:41 UTC am25. Januar 2003.
Die erste Ankündigung wird jedoch häufig Ben Koshy zugeschrieben. In der Tat hatte die Firma W3Media, für die er arbeitete, eine entsprechende Pressemitteilung herausgegeben. Seine öffentliche Warnung, die an die NTBugtraq-Mailingliste gesendet wurde, wurde jedoch erst um 10:28 UTC gesendet. Robert Boyle schickte um 08:35 UTC eine Warnung an NTBugtraq, also vor Koshy, aber nach Bacarella.
ISS hat über Chris Rouland um 11:54 UTC und 11:56 UTC Benachrichtigungen auf den Mailinglisten ISSForum und Vulnwatch gesendet.