Так так так… Держите цепь крепче… Он очень агрессивен… И проверьте намордник на нем. Slammer тот еще зверь…
… примерно так заключили американские специалисты по компьютерной безопасности, подведя первые итоги анализа атаки вируса Slammer (иногда его еще называют Sapphire). Они собрали всю доступную им статистику атаки и сумели достаточно точно восстановить ход событий 25 января. И как оказалось, по скорости распространения Slammer побил абсолютно все прежние рекорды и продолжает удерживать позицию самого агрессивного вируса за всю историю...
Поговорим подробнее. Итак на начальном этапе атаки, количество пораженных узлов удваивалось каждые 8,5 секунд, и таким образом за первые три минуты атаки, Slammer’ом были поражены 75 000 серверов по всему миру. А, какой зверь. К этому времени червь сканировал по 55 млн. IP-адресов в секунду. При таких темпах распространения зверюга могла поразить около 90% интернета всего за десять минут. К примеру для сравнения, вирус Code Red, поразивший множество серверов в августе 2001 г., о котором Мы уже говорили, распространялся заметно медленнее. Число зараженных машин тогда удваивалось каждые 37 минут. Причин стремительного распространения Slammer несколько.
Первое, этот вирус чрезвычайно мал по размеру - всего 376 байт. Это позволяет уместить его код в одном UDP-пакете объемом 404 байта и творить свои дела без труда из оперативной памяти ПК, против 4 кб у Code Red или 60 кб у Nimda. Второе, это то что Slammer, распространялся путем генерации случайных IP-адресов и немедленной отправки по этим адресам своих копий. Этот способ значительно быстрее метода распространения того же Code Red, который перед отправкой своей копии проверял уязвимость атакуемого сервера.
Но как говориться любая сила действия имеет равную силу противодействия, и эта самая высокая скорость распространения Slammer и привела к тому, что атака достаточно быстро сошла на нет. Когда копии червя заполонили все каналы связи, они стали мешать пересылке вирусных запросов с недавно пораженных компьютеров. В результате, атака пошла на спад. Так же этому способствовали и администраторы сетей, принявшиеся в спешном порядке латать дыры в MS SQL Server, которыми вирус собственно и пользовался в своих целях.
Несмотря на свою скоротечность, как вспышка, атака Slammer оказалась самой разрушительной в истории интернета, что характеризует больше как взрыв своего рода. Вирус оставил без интернета Южную Корею, плюс чувствительно нарушил работу банкоматов в США и серьезно замедлил работу всего интернета.
Что интересно, код Slammer оказался не слишком то оригинален. Во всяком случае, основатель компании NGS Software, Дэвид Личфилд, утверждает, что в Slammer, использован созданный им код, использующий уязвимость в MS SQL Server, и продемонстрированный еще в августе 2002 г. на конференции Black Hat Briefings. По словам Личфилда, создатели Slammer использовали его программу, почти не внеся в нее ни каких изменений.
Вот так порой те же самые грабли, так не слабо затрескивают, прямо по лбу, да еще и не по одному.