Hi-Tech

Американские специалисты по компьютерной безопасности подвели первые итоги анализа атаки вируса Slammer (иногда его называют Sapphire). Они собрали всю доступную им статистику атаки и сумели достаточно точно восстановить ход событий 25 января. Как оказалось, по скорости распространения Slammer побил все прежние рекорды. Ознакомиться с полной версией анализа атаки Slammer можно здесь.

На начальном этапе атаки количество пораженных узлов удваивалось каждые 8,5 секунд, и за первые три минуты атаки были поражены 75000 серверов по всему миру. К этому времени червь сканировал по 55 млн. IP-адресов в секунду. При таких темпах распространения Slammer мог поразить 90% интернета всего за десять минут. Для сравнения, вирус Code Red, поразивший множество серверов в августе 2001 г., распространялся заметно медленнее. Число зараженных машин тогда удваивалось каждые 37 минут.

Географию распространения Slammer через полчаса после начала атаки можно увидеть на иллюстрации.

Причин стремительного распространения Slammer было несколько. Во-первых, этот вирус чрезвычайно мал по размеру - всего 376 байт. Это позволяет уместить его код в одном UDP-пакете объемом 404 байта против 4 кб у Code Red или 60 кб у Nimda. Во-вторых, Slammer распространялся путем генерации случайных IP-адресов и немедленной отправки по ним своих копий. Этот способ значительно быстрее метода распространения Code Red, который перед отправкой своей копии проверял уязвимость атакуемого сервера.

Однако высокая скорость распространения Slammer привела к тому, что атака достаточно быстро сошла на нет. Когда копии червя заполонили все каналы связи, они стали мешать пересылке вирусных запросов с недавно пораженных компьютеров. В результате, атака пошла на спад. Этому поспособствовали и администраторы сетей, принявшиеся в спешном порядке латать дыры в MS SQL Server. График активности червя можно увидеть здесь.

Несмотря на свою скоротечность, атака Slammer оказалась самой разрушительной в истории интернета. Вирус оставил без интернета Южную Корею, нарушил работу банкоматов в США и серьезно замедлил работу всего интернета. Что интересно, код Slammer оказался не слишком оригинален. Во всяком случае, основатель компании NGS Software Дэвид Личфилд утверждает, что в Slammer использован созданный им код, использующий уязвимость в MS SQL Server, и продемонстрированный еще в августе 2002 г. на конференции Black Hat Briefings. По словам Личфилда, создатели Slammer использовали его программу, почти не внеся в нее изменений.

География распространения Slammer через полчаса после начала атаки

.

Активность Slammer в течение двенадцати часов после начала атаки