Cамая быстрая вирусная атака в истории [ Редагувати ]
Американские специалисты по компьютерной безопасности подвели первые итоги анализа атаки вируса Slammer (иногда его называют Sapphire). Они собрали всю доступную им статистику атаки и сумели достаточно точно восстановить ход событий 25 января. Как оказалось, по скорости распространения Slammer побил все прежние рекорды.
На начальном этапе атаки количество пораженных узлов удваивалось каждые 8,5 секунд, и за первые три минуты атаки были поражены 75000 серверов по всему миру. К этому времени червь сканировал по 55 млн. IP-адресов в секунду. При таких темпах распространения Slammer мог поразить 90% интернета всего за десять минут. Для сравнения, вирус Code Red, поразивший множество серверов в августе 2001 г., распространялся заметно медленнее. Число зараженных машин тогда удваивалось каждые 37 минут.
Причин стремительного распространения Slammer было несколько. Во-первых, этот вирус чрезвычайно мал по размеру - всего 376 байт. Это позволяет уместить его код в одном UDP-пакете объемом 404 байта против 4 кб у Code Red или 60 кб у Nimda. Во-вторых, Slammer распространялся путем генерации случайных IP-адресов и немедленной отправки по ним своих копий. Этот способ значительно быстрее метода распространения Code Red, который перед отправкой своей копии проверял уязвимость атакуемого сервера.
Однако высокая скорость распространения Slammer привела к тому, что атака достаточно быстро сошла на нет. Когда копии червя заполонили все каналы связи, они стали мешать пересылке вирусных запросов с недавно пораженных компьютеров. В результате, атака пошла на спад. Этому поспособствовали и администраторы сетей, принявшиеся в спешном порядке латать дыры в MS SQL Server.
Несмотря на свою скоротечность, атака Slammer оказалась самой разрушительной в истории интернета. Вирус оставил без интернета Южную Корею, нарушил работу банкоматов в США и серьезно замедлил работу всего интернета. Что интересно, код Slammer оказался не слишком оригинален. Во всяком случае, основатель компании NGS Software Дэвид Личфилд утверждает, что в Slammer использован созданный им код, использующий уязвимость в MS SQL Server, и продемонстрированный еще в августе 2002 г. на конференции Black Hat Briefings. По словам Личфилда, создатели Slammer использовали его программу, почти не внеся в нее изменений.