fbpx
Wikipedia

SQL Slammer

Diciembre 03, 2021

SQL Slammer es un gusano informático que provocó una Denegación de servicio en algunos servidores de Internet e hizo dramáticamente más lento el tráfico de Internet en general, a partir de las 05:30 GMT del 25 de enero de 2003. Se extendió rápidamente, infectando a la mayoría de sus 75.000 víctimas dentro de los diez minutos. Llamado así por Christopher J. Rouland, director de tecnología de la ISS, Slammer primero fue traído a la atención del público por Michael Bacarella (ver notas abajo). Aunque titulado "gusano SQL Slammer", el programa no utilizó el lenguaje SQL; se aprovechó de un error de desbordamiento de buffer en los productos de motor de base de datos de Microsoft SQL Server y los productos Microsoft SQL Server Data Engine, para el cual se había lanzado un parche seis meses antes en MS02-039. Otros nombres incluyen W32.SQLExp.Worm, DDOS.SQLP1434.A, el gusano Sapphire, SQL_HEL, W32/SQLSlammer y Helkern.[1]

SQL slammer posiblemente en el archivo de un ordenador

Detalles técnicos

El gusano se basa en pruebas de concepto mostrado en las Black Hat Briefings organizadas por David Litchfield, quien inicialmente había descubierto la vulnerabilidad de desbordamiento de búfer que el gusano explotaba.[2]​ Se trata de un pequeño trozo de código que hace poco más que generar al azar direcciones IP y enviarse a sí mismo a esas direcciones. Si una dirección seleccionada pasa a pertenecer a un host que ejecuta una copia sin parches de servicio de resolución de Microsoft SQL Server escucha en el puerto UDP 1434, el anfitrión inmediatamente se infecta y empieza a rociar la Internet con más copias del programa del gusano.

Los PCs del hogar en general no son vulnerables a este gusano a menos que hayan instalado MSDE. El gusano es tan pequeño que no contiene código para escribir en el disco en sí, por lo que solo permanece en la memoria, y es fácil de eliminar. Por ejemplo, Symantec ofrece una herramienta gratuita de eliminación (ver enlace externo abajo), o incluso puede ser eliminado reiniciando SQL Server (aunque la máquina es probable que se infecta de nuevo inmediatamente).

El gusano fue posible gracias a una vulnerabilidad de seguridad en el software de SQL Server reportado por primera vez por Microsoft el 24 de julio de 2002. Un parche había estado disponible desde Microsoft durante seis meses antes del lanzamiento del gusano, pero muchas instalaciones no habían sido parcheadas - incluyendo muchas en Microsoft.

La ralentización fue causada por el colapso de numerosos routers bajo el bombardeo con muy alto tráfico desde los servidores infectados. Normalmente, cuando el tráfico es demasiado alto para que los enrutadores lo manejen, se supone que los enrutadores demoran o detienen temporalmente el tráfico de red. En cambio, algunos enrutadores fallaron (se convirtieron en inservibles), y los enrutadores "vecinos" se dieron cuenta de que estos enrutadores se habían detenido y no debían ser contactados (también conocido como "eliminados de la tabla de enrutamiento"). Así, estos enrutadores comenzaron a enviar avisos a estos efectos a otros enrutadores cercanos de lo que sabían. La avalancha de avisos de actualización de tabla de enrutamiento causó que algunos enrutadores adicionales fallaran, lo que agravó el problema. Eventualmente los operadores de los enrutadores fallados los reiniciaron, causando nuevas olas de actualizaciones de la tabla de enrutamiento. Pronto una parte significativa del ancho de banda de Internet se consumió por los enrutadores que se comunicaban entre sí para actualizar sus tablas de enrutamiento, y el tráfico de datos ordinario se ralentizó o en algunos casos se detuvo por completo. Irónicamente, debido a que el gusano SQL Slammer era tan pequeño en tamaño, a veces era capaz de pasar a través aun cuando el tráfico legítimo no lo lograba. Dos aspectos claves contribuyeron a la rápida propagación del SQL Slammer. El gusano infectaba nuevos huéspedes a través del protocolo sin sesión UDP, y todo el gusano (solo 376 bytes) cabe dentro de un solo paquete.[3][4]​ Como resultado, cada host infectado podía simplemente "disparar y olvidar" los paquetes con la mayor rapidez posible (generalmente cientos por segundo).

Se da a conocer

Hay una disputa en cuanto a quién encontró "Slammer" primero. Sin embargo, en términos de que fue el primero que alertó al público en general, esto se puede atribuir a Michael Bacarella, quien envió un mensaje a la lista de correo de seguridad Bugtraq titulado "MS SQL WORM ESTÁ DESTRUYENDO INTERNET BLOQUEE PUERTO 1434!".[5]​ Esta fue enviado en 07:11:41 UTC del 25 de enero de 2003 Ben Koshy menudo se le acredita como el primero; de hecho la empresa para la que trabajaba durante emitió un comunicado de prensa al respecto.[6]​ Sin embargo, su alerta[7]​ al público, enviado a la lista de correo NTBugtraq no fue enviado hasta el 10:28 UTC. Robert Boyle envió una alerta a NTBugtraq a las 08:35 UTC[8]​ superando Koshy pero la zaga de Bacarella. ISS, a través de Chris Rouland, envió alertas a las 11:54 UTC[9]​ y 11:56 UTC[10]​ a las listas de correo ISSForum y Vulnwatch respectivamente. Un análisis publicado por Symantec está marcado con la fecha 07:45 GMT, que precedería estos anuncios públicos.[11]

Referencias

  1. «Symantec W32.SQLExp.Worm». 
  2. Leyden, John (6 de febrero de 2003). «Slammer: Why security benefits from proof of concept code». Register. Consultado el 29 de noviembre de 2008. 
  3. Moore, David et al. «The Spread of the Sapphire/Slammer Worm». CAIDA (Cooperative Association for Internet Data Analysis). 
  4. Serazzi, Giuseppe & Zanero, Stefano (2004). «Computer Virus Propagation Models». En Calzarossa, Maria Carla & Gelenbe, Erol, ed. Performance Tools and Applications to Networked Systems. Lecture Notes in Computer Science. Vol. 2965. pp. 26-50. 
  5. Bacarella, Michael (25 de enero de 2003). «MS SQL WORM IS DESTROYING INTERNET BLOCK PORT 1434!». Bugtraq. Consultado el 29 de noviembre de 2012. 
  6. «W3 Media's Ben Koshy first to identify Internet 'Slammer' Virus». Press Release. W3 Media. 24 de enero de 2003. Consultado el 29 de noviembre de 2008. 
  7. Koshy, Ben (25 de enero de 2003). . Neohapsis Archives. Archivado desde el original el 19 de febrero de 2009. Consultado el 29 de noviembre de 2008. 
  8. Boyle, Robert (25 de enero de 2003). . Neohapsis Archives. Archivado desde el original el 19 de febrero de 2009. Consultado el 29 de noviembre de 2008. 
  9. . ISSForum. 25 de enero de 2003. Archivado desde el original el 19 de febrero de 2009. Consultado el 29 de noviembre de 2008. 
  10. X-Force (25 de enero de 2003). . Neohapsis Archives. Archivado desde el original el 19 de febrero de 2009. Consultado el 29 de noviembre de 2008. 
  11. «SQLExp SQL Server Worm Analysis». DeepSight™ Threat Management System Threat Analysis. Jan 28, 2003. 

Enlaces externos

Noticias
  • BBC NEWS Technology Virus-like attack hits web traffic
  • MS SQL Server Worm Wreaking Havoc
  • Wired 11.07: Slammed! A layman's explanation of the Slammer code.
Anuncio
  • Microsoft Security Bulletin MS02-039 and Patch
  • CERT Advisory CA-2003-04
Análisis
  • Inside the Slammer Worm IEEE Security and Privacy Magazine, David Moore, Vern Paxson, Stefan Savage, Colleen Shannon, Stuart Staniford, and Nicholas Weaver
Detalles técnicos
  • Worm code disassembled
  • Multiple Vulnerabilities in Microsoft SQL Server - Carnegie-Mellon Software Engineering Institute
  •   Datos: Q1322529

Diciembre 03, 2021
slammer, gusano, informático, provocó, denegación, servicio, algunos, servidores, internet, hizo, dramáticamente, más, lento, tráfico, internet, general, partir, enero, 2003, extendió, rápidamente, infectando, mayoría, víctimas, dentro, diez, minutos, llamado,. SQL Slammer es un gusano informatico que provoco una Denegacion de servicio en algunos servidores de Internet e hizo dramaticamente mas lento el trafico de Internet en general a partir de las 05 30 GMT del 25 de enero de 2003 Se extendio rapidamente infectando a la mayoria de sus 75 000 victimas dentro de los diez minutos Llamado asi por Christopher J Rouland director de tecnologia de la ISS Slammer primero fue traido a la atencion del publico por Michael Bacarella ver notas abajo Aunque titulado gusano SQL Slammer el programa no utilizo el lenguaje SQL se aprovecho de un error de desbordamiento de buffer en los productos de motor de base de datos de Microsoft SQL Server y los productos Microsoft SQL Server Data Engine para el cual se habia lanzado un parche seis meses antes en MS02 039 Otros nombres incluyen W32 SQLExp Worm DDOS SQLP1434 A el gusano Sapphire SQL HEL W32 SQLSlammer y Helkern 1 SQL slammer posiblemente en el archivo de un ordenador Indice 1 Detalles tecnicos 2 Se da a conocer 3 Referencias 4 Enlaces externosDetalles tecnicos EditarEl gusano se basa en pruebas de concepto mostrado en las Black Hat Briefings organizadas por David Litchfield quien inicialmente habia descubierto la vulnerabilidad de desbordamiento de bufer que el gusano explotaba 2 Se trata de un pequeno trozo de codigo que hace poco mas que generar al azar direcciones IP y enviarse a si mismo a esas direcciones Si una direccion seleccionada pasa a pertenecer a un host que ejecuta una copia sin parches de servicio de resolucion de Microsoft SQL Server escucha en el puerto UDP 1434 el anfitrion inmediatamente se infecta y empieza a rociar la Internet con mas copias del programa del gusano Los PCs del hogar en general no son vulnerables a este gusano a menos que hayan instalado MSDE El gusano es tan pequeno que no contiene codigo para escribir en el disco en si por lo que solo permanece en la memoria y es facil de eliminar Por ejemplo Symantec ofrece una herramienta gratuita de eliminacion ver enlace externo abajo o incluso puede ser eliminado reiniciando SQL Server aunque la maquina es probable que se infecta de nuevo inmediatamente El gusano fue posible gracias a una vulnerabilidad de seguridad en el software de SQL Server reportado por primera vez por Microsoft el 24 de julio de 2002 Un parche habia estado disponible desde Microsoft durante seis meses antes del lanzamiento del gusano pero muchas instalaciones no habian sido parcheadas incluyendo muchas en Microsoft La ralentizacion fue causada por el colapso de numerosos routers bajo el bombardeo con muy alto trafico desde los servidores infectados Normalmente cuando el trafico es demasiado alto para que los enrutadores lo manejen se supone que los enrutadores demoran o detienen temporalmente el trafico de red En cambio algunos enrutadores fallaron se convirtieron en inservibles y los enrutadores vecinos se dieron cuenta de que estos enrutadores se habian detenido y no debian ser contactados tambien conocido como eliminados de la tabla de enrutamiento Asi estos enrutadores comenzaron a enviar avisos a estos efectos a otros enrutadores cercanos de lo que sabian La avalancha de avisos de actualizacion de tabla de enrutamiento causo que algunos enrutadores adicionales fallaran lo que agravo el problema Eventualmente los operadores de los enrutadores fallados los reiniciaron causando nuevas olas de actualizaciones de la tabla de enrutamiento Pronto una parte significativa del ancho de banda de Internet se consumio por los enrutadores que se comunicaban entre si para actualizar sus tablas de enrutamiento y el trafico de datos ordinario se ralentizo o en algunos casos se detuvo por completo Ironicamente debido a que el gusano SQL Slammer era tan pequeno en tamano a veces era capaz de pasar a traves aun cuando el trafico legitimo no lo lograba Dos aspectos claves contribuyeron a la rapida propagacion del SQL Slammer El gusano infectaba nuevos huespedes a traves del protocolo sin sesion UDP y todo el gusano solo 376 bytes cabe dentro de un solo paquete 3 4 Como resultado cada host infectado podia simplemente disparar y olvidar los paquetes con la mayor rapidez posible generalmente cientos por segundo Se da a conocer EditarHay una disputa en cuanto a quien encontro Slammer primero Sin embargo en terminos de que fue el primero que alerto al publico en general esto se puede atribuir a Michael Bacarella quien envio un mensaje a la lista de correo de seguridad Bugtraq titulado MS SQL WORM ESTA DESTRUYENDO INTERNET BLOQUEE PUERTO 1434 5 Esta fue enviado en 07 11 41 UTC del 25 de enero de 2003 Ben Koshy menudo se le acredita como el primero de hecho la empresa para la que trabajaba durante emitio un comunicado de prensa al respecto 6 Sin embargo su alerta 7 al publico enviado a la lista de correo NTBugtraq no fue enviado hasta el 10 28 UTC Robert Boyle envio una alerta a NTBugtraq a las 08 35 UTC 8 superando Koshy pero la zaga de Bacarella ISS a traves de Chris Rouland envio alertas a las 11 54 UTC 9 y 11 56 UTC 10 a las listas de correo ISSForum y Vulnwatch respectivamente Un analisis publicado por Symantec esta marcado con la fecha 07 45 GMT que precederia estos anuncios publicos 11 Referencias Editar Symantec W32 SQLExp Worm Leyden John 6 de febrero de 2003 Slammer Why security benefits from proof of concept code Register Consultado el 29 de noviembre de 2008 Moore David et al The Spread of the Sapphire Slammer Worm CAIDA Cooperative Association for Internet Data Analysis Serazzi Giuseppe amp Zanero Stefano 2004 Computer Virus Propagation Models En Calzarossa Maria Carla amp Gelenbe Erol ed Performance Tools and Applications to Networked Systems Lecture Notes in Computer Science Vol 2965 pp 26 50 Bacarella Michael 25 de enero de 2003 MS SQL WORM IS DESTROYING INTERNET BLOCK PORT 1434 Bugtraq Consultado el 29 de noviembre de 2012 W3 Media s Ben Koshy first to identify Internet Slammer Virus Press Release W3 Media 24 de enero de 2003 Consultado el 29 de noviembre de 2008 Koshy Ben 25 de enero de 2003 Peace of Mind Through Integrity and Insight Neohapsis Archives Archivado desde el original el 19 de febrero de 2009 Consultado el 29 de noviembre de 2008 Boyle Robert 25 de enero de 2003 Peace of Mind Through Integrity and Insight Neohapsis Archives Archivado desde el original el 19 de febrero de 2009 Consultado el 29 de noviembre de 2008 ISS Security Brief Microsoft SQL Slammer Worm Propagation ISSForum 25 de enero de 2003 Archivado desde el original el 19 de febrero de 2009 Consultado el 29 de noviembre de 2008 X Force 25 de enero de 2003 Peace of Mind Through Integrity and Insight Neohapsis Archives Archivado desde el original el 19 de febrero de 2009 Consultado el 29 de noviembre de 2008 SQLExp SQL Server Worm Analysis DeepSight Threat Management System Threat Analysis Jan 28 2003 Enlaces externos EditarNoticiasBBC NEWS Technology Virus like attack hits web traffic MS SQL Server Worm Wreaking Havoc Wired 11 07 Slammed A layman s explanation of the Slammer code AnuncioMicrosoft Security Bulletin MS02 039 and Patch CERT Advisory CA 2003 04 Symantec Security Response W32 SQLExp WormAnalisisInside the Slammer Worm IEEE Security and Privacy Magazine David Moore Vern Paxson Stefan Savage Colleen Shannon Stuart Staniford and Nicholas WeaverDetalles tecnicosWorm code disassembled Multiple Vulnerabilities in Microsoft SQL Server Carnegie Mellon Software Engineering Institute Datos Q1322529 Obtenido de https es wikipedia org w index php title SQL Slammer amp oldid 138669178, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos