SQL Slammer

SQL Slammer to robak który zainfekował serwery Microsoft SQL na całym świecie.

Cechą szczególną SQL Slammera była niespotykana dotychczas szybkość rozprzestrzeniania się. Tempo podwajania ilości zainfekowanych komputerów wynosiło ok. 8 i pół sekundy, w porównaniu z 37 minutami w przypadku Code Red.

Ponieważ dziura wykorzystywała pakiety UDP zamiast bardziej tradycyjnych TCP, pojedynczy pakiet mógł przejąć podatny komputer, a ponadto robak nie musiał śledzić losu wysłanych pakietów, co umożliwiło mu wysyłanie ich w niespotykanym dotychczas tempie. TCP również umożliwia wysyłanie pekietów bez śledzenia ich losu, za pomocą procedury Reverse SYN dostępnej m.in. w Paketto Keiretsu, jednak jest to o wiele bardziej skomplikowana procedura i żaden robak jak dotychczas z tego nie korzystał.

W ten sposób robak wygenerował gigantyczną ilość ruchu w sieci, rzędu wielu gigabajtów na sekundę.

Co ciekawe, Microsoft wypuścił patcha który łatał tą dziurę w lipcu 2002, jednak potem kolejny patch ponownie ją otwierał ! Większość administratorów serwerów Microsoftowych jednak nie zaaplikowała ani jednego and drugiego z nich, włącznie z niektórymi administratorami wewnątrz Microsoftu.

Ponieważ główne straty wynikły nie w wyniku przejęcia serwerów MS SQL, ale w wyniku wygenerowania ogromnego ruchu w sieci, ofiarami którego padły w większości zupełnie inne serwery, bardzo trudno byłoby takiemu atakowi przeciwdziałać.