Форум Рідного Міста

Атака на Інтернет!

Андрій Пелещишин - 26-1-2003 у 12:04

Це новина, але я думаю, тут є місце для грунтовного аналізу.
24 січня основні технічні сервери Інтернету було піддано достатньо успішній глобально розподіленій атаці

Результати вражають:
5 з 13 головних серверів імен (DNS) лягли і тимчасово прининили функціонувати, решта різко сповільнилися та погіршили передачу інформації.
Усі провайдери "хребта" Інтернету (backbone - базова глобальна інформаційна магістраль) зіткнулися з величезними технічними трудонощами.
Цитата:

Internet attack

"We are monitoring massive Distributed Denial of Service attacks all over the U.S. tonight starting at around 11:30 PM CST. As many as 5 of the 13 root nameserver have been down, up to 10 with massive packet loss (xx%):

Internet Status to Root Name Servers
Date: Fri Jan 24 21:37:00 PST 2003

Place Address Packet Loss Time: Min/Avg/Max
Root b.root-servers.net 53% 25/40/48
Root c.root-servers.net 0% 82/82/82
Root e.root-servers.net 20% 16/29/33
Root f.root-servers.net 26% 17/27/32
Root h.root-servers.net 20% 91/101/108
Root i.root-servers.net 26% 190/199/205
Root j.root-servers.net 26% 81/91/96
Root k.root-servers.net 64% 172/188/201
Root l.root-servers.net 0% 5/5/6
Root m.root-servers.net 33% 160/171/205
GTLD b.gtld-servers.net 26% 52/63/67
GTLD c.gtld-servers.net 31% 85/93/95
GTLD d.gtld-servers.net 13% 88/100/103
GTLD f.gtld-servers.net 22% 38/50/57
GTLD i.gtld-servers.net 0% 198/200/203
GTLD k.gtld-servers.net 24% 90/100/105
GTLD l.gtld-servers.net 33% 128/138/171


All backbone providers are suffering major packet loss (XX%):

Place Address Packet Loss Time: Min/Avg/Max
AboveNet ns.above.net 28% 53/64/66
AGIS ns1.agis.net 26% 62/74/78
AlohaNet nuhou.aloha.net 35% 84/94/98
ANS ns.ans.net 26% 83/97/100
BBN-NearNet nic.near.net 28% 91/114/572
BBN-BARRnet ns1.barrnet.net 26% 16/26/32
Best ns.best.com 35% 79/89/95
Concentric nameserver.concentric.net 35% 18/31/56
CW ns.cw.net 28% 88/98/105
DIGEX ns.digex.net 31% 78/86/91
ENTER.NET dns.enter.net 28% 91/104/108
Epoch Internet ns1.hlc.net 33% 37/48/52
Flash net ns1.flash.net 17% 80/92/94
GetNet ns1.getnet.com 20% 40/52/56
GlobalCrossing name.roc.gblx.net 24% 85/97/104
GoodNet ns1.good.net 31% 83/92/97
GridNet grid.net 20% 80/92/101
IDT Net ns.idt.net 20% 91/104/121
Internex nic1.internex.net 26% 18/31/35
MCI ns.mci.net 22% 91/103/107
MindSpring itchy.mindspring.net 15% 75/88/106
NAP.NET ns2.nap.net 20% 73/85/94
PacBell ns1.pbi.net 0% 89/89/90
Primenet dns1.primenet.net 20% 31/41/45
PSI ns.psi.net 0% 82/84/160
RAINet ns.rain.net 31% 40/49/53
SAVVIS ns1.savvis.net 31% 88/99/102
SprintLink ns1.sprintlink.net 11% 15/27/35
UUNet,AlterNet auth00.ns.uu.net 26% 89/98/103
Verio-West ns0.verio.net 22% 31/42/47
Verio-East ns1.verio.net 22% 86/96/101
VISInet ceylon.visinet.ca 20% 102/116/188
MoonGlobal-ClubNET ns.clubnet.net 0% 0/1/2
MoonGlobal-Netway dns.nwc.net 4% 6/6/7
MoonGlobal-Netxactics verdi.netxactics.com 4% 6/6/7
InterWorld ns.interworld.net 0% 4/4/5


It's massive, no word on source yet. We are watching it closely. This is upstream mostly, hitting the root name servers and backbone providers. Routes are dropping like flies, dns is getting bad."



Лінки щодо теми:

http://www.startribune.com/stories/535/3613562.html

http://www.cnn.com/2003/TECH/intern...k.ap/index.html

На цей раз для організації глобальної атаки було використано дирку в Microsoft SQL Server 2000:

http://www.kb.cert.org/vuls/id/370308

Андрій Пелещишин - 26-1-2003 у 12:35

http://compulenta.ru/2002/1/25/33234/
Цитата:

Вирусная атака парализует интернет
25 января 2003 года, 16:28

В субботу произошла активизация неизвестного ранее серверного вируса. Примерно с 8:30 по московскому времени работа интернета во многих частях мира на несколько часов оказалась практически парализована. По предварительной информации, более всего пострадали сети в Европе и Юго-восточной Азии. В российской части интернета также ощущалось воздействие вируса.

Вирус эксплуатирует найденную полгода назад дыру в сервере баз данных Microsoft SQL Server 2000. По своим повадкам он напоминает вирус Code Red, распространявшийся по интернету летом 2001 года. Активизировавшись, вирус пытается отправить свой код по случайно сгенерированным IP-адресам в порт UDP 1434. В случае неудачи, попытки повторяются снова и снова. Сетевые каналы и сервера, подвергающиеся атаке, оказываются перегружены.

Размер вредоносной программы составляет всего 376 байт. При работе вируса никакие файлы не создаются, и заметить его можно только по сетевой активности.

Microsoft давно выпустила патч, который исправляет используемую вирусом ошибку в Microsoft SQL Server. Однако, судя по масштабам эпидемии, большинство системных администраторов не потрудились установить его.

Андрій Пелещишин - 26-1-2003 у 12:51

Смутно пригадую, що щось подібне ми обговорювали в мене на парах цієї осени (про невтішні перспективи сучасного Інтернету). Якщо є мої студенти, думаю нагадають.

Андрій Пелещишин - 26-1-2003 у 16:22

Падіння ефективності Інтернету під час атаки:

Андрій Пелещишин - 26-1-2003 у 16:23

Кількість втрачених пакетів даних

Ігор+ - 27-1-2003 у 01:44

В мене на кабельному пропадало до 30 процентів пакетів. Я не знав про ці проблеми і написав гнівного листа в technical support свого провайдера :)

Ostap - 27-1-2003 у 19:32

Так пригадую ми щось подібне обговорювали на парах...
Питання до Ігора:
Хто в тебе провайдер?
Інтернет по кабельному телебаченні?

Microsoft також спіймала хробачка

Дмитро Тарасов - 4-2-2003 у 13:15

Тест на червя не прошли и в Microsoft

Как выяснилось, в самой компании оказалось предостаточно непропатченных MsSQL 2000, подверженных атаке разгулявшегося на выходных червя. На этом фоне упреки в адрес ленивых администраторов, не ставящих последние патчи, выглядят уже не столь убедительно.
Источник: Lenta.Ru

Назва хробака - SQL Slammer

PS
Пригадую повідомлення про незначний відсоток використання у Microsoft серверів БД власного виробництва . :D

Краще запобігати проблемам чим потім їх вирішувати

Djin - 5-2-2003 у 02:33

А патч був випущений Майкрософтом ще літом -
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/...
:cool:

Ігор+ - 5-2-2003 у 21:13

Цитата:
Першим відправив користувач Ostap
Питання до Ігора:
Хто в тебе провайдер?
Інтернет по кабельному телебаченні?


AtlantaBroadband.com 768 down / 384 up. У Львові ще з цим не розпочали?

Андрій Пелещишин - 5-2-2003 у 23:04

Коли я своїх кабельщиків запитав про Інтернет - ви б бачили їхні очі :o :o

Про кабельне телебачення відкриваю тему в розділі "Звязок". Прошу тут (Остапа в першу чергу) зберігати тематичну чистоту дискусії

Реплікант10322195 - 14-2-2003 у 20:55

Цікаво яка була мета виводу всіх днс серверів?
Ніяк не можу допетрити.

Андрій Пелещишин - 14-2-2003 у 23:10

Наскільки я розумію - сервери імен самі попадали - це була побічний наслідок

А взагалі - це риторичне запитання - навіщо іншим людям заважати жити. На жаль в Інтернеті дуже актуальне.
Роби своє, а не шкодь чужому!

Дмитро Тарасов - 17-2-2003 у 11:01

Slammer робив переповнення буфера у MS SQL, не чипаючи серверів DNS та інші сервіси. Проблеми DNS викликані перевантаженістю.

У зв'язку зі Slammer згадали про технологію мутації програм для захисту від вірусів та переповнень буферу. Може допомогти :D. Сама технологія позичена у вірусів :D:D

Agent86 - 22-2-2003 у 12:22

Worm.SQL.Helkern (aka SQL.Slammer aka Sapphire)


Интернет-червь, заражающий сервера работающие под Microsoft SQL Server 2000. Распространяется от компьютера к компьютеру пересылая на очередной (заражаемый) компьютер, через порт 1434, свой код и запуская этот код на выполнение путём использования ошибки в программном обеспечении MS
SQL (см. ниже).
Червь имеет крайне небольшой размер - всего 376 байт.
Червь присутствует только в памяти зараженных компьютеров и не создаёт своих копий в дисковых файлах. Более того, при работе червя никакие файлы не создаются, и червь никак не проявляет себя (помимо сетевой активности зараженного компьютера).
При активизации на заражаемом компьютере червь получает адреса трёх функций Windows:
 GetTickCount    (KERNEL32.DLL)
 socket, sendto  (WS2_32.DLL)
Затем червь в бесконечном цикле посылает свой код (командой "sendto";) на случайно выбранные адреса в сети (при этом использует случайные данные от команды "GetTickCount";).
Поскольку SQL-сервера часто используются в качестве стандартной базы данных на Web-серверах, то данный червь может замедлить работу Интернета в глобальных масштабах, поскольку все зараженные сервера в бесконечном цикле посылают пакеты на случайно выбранные адреса в сети - и, следовательно, сильно увеличивают сетевой трафик.
В коде червя видны строки:
 h.dllhel32hkernQhounthickChGet
 Qh32.dhws2_f
 etQhsockf
 toQhsend
 
Реализация атаки
Для реализации атаки на сервера используется одна из ошибок в защите IIS типа:
  Remote Buffer Overrun Vulnerability
Название конкретной применяемой атаки:
  Unauthenticated Remote Compromise in MS SQL Server 2000
Данная ошибка была обнаружена в июле 2002 года и исправлена последующими патчами к
MS SQL Server 2000.
Подробное описание уязвимости можно найти на сайте Microsoft: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/...
 (Microsoft Security Bulletin MS02-039)
и на сайте NGSSoftware Insight Security Research Advisory: http://www.nextgenss.com/advisories/mssql-udp.txt
Патч к MS SQL Server 2000 исправляющий данную ошибку можно скачать с сайта Microsoft:
 http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602
Также рекомендуется запускать SQL Server c минимальным уровнем привелегий локальных аккаунтов, без системного или доменного аккаунта.

Інформація взята із сайту Касперського Kaspersky Lab