Nejrychlejší červ

Slammer byl podle právě zveřejněné studie nejrychleji se šířícím internetovým červem. I další výsledky ukazují...


Slammer byl podle právě zveřejněné studie nejrychleji se šířícím internetovým
červem. I další výsledky ukazují, že se v jistém ohledu jedná o mezník v
historii internetu, srovnatelný s prvním významnějším "wormem", který infikoval
v roce 1988 až 10 % všech tehdejších internetových serverů.
V prvních třech minutách šíření Slammera se množství infikovaných počítačů
zdvojnásobovalo každých 8,5 sekundy. Pro srovnání, u epidemie Code Red v roce
2001 byl tento ukazatel roven 37 minutám. Jaké byly příčiny rychlosti nového
červa? Pravděpodobně jich je hned několik. Díky celkové velikosti (respektive
malosti) 376 bajtů se dokázal vtěstnat do jediného 404bajtového paketu
protokolu UDP. Opět pro srovnání: Code Red zabral 4 KB, velikost Nimdy pak byla
až 37 KB.
Rozdílné byly také mechanismy šíření. Slammer generoval náhodné IP adresy a
útočil na takto vybrané cíle. Červ neprováděl žádné skenování serverového
softwaru, aby si vybral nezáplatované stroje. Šířil se náhodně všemi směry a
infikoval přitom vše, co šlo.
Expanze červa se zpomalila jen proto, že řada infikovaných počítačů
nedisponovala dostatečnou šířkou pásma mezi sebou a zbytkem internetu. Slammer
se díky tomu nemohl na další adresy rozesílat tak rychle, jak sám "chtěl".
Protože červ také útočil přes jediný speciální port, šlo jeho tažení navíc
jednoduše zpomalit prostým zákazem komunikace na tomto portu.
Posledním závěrem analýzy je fakt, že zatímco Slammer využíval chyby v masově
rozšířeném softwaru (servery Microsoftu), příští útok může být zaměřen i proti
platformám minoritním. Celá studie vznikla ve spolupráci několika odborných
skupin a amerických univerzit. Detailní informace jsou k dispozici na adrese
http://www.caida.org/analysis/security/sapphire.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.