Андрій Пелещишин
Адміністратор
Повідомлень: 9191
Зареєстрований: 19-6-2002
Місто: Львів, Україна
Нема на форумі
Настрій: Настрій не вказаний
|
|
Атака на Інтернет!
Це новина, але я думаю, тут є місце для грунтовного аналізу.
24 січня основні технічні сервери Інтернету було піддано достатньо успішній
глобально розподіленій атаці
Результати вражають:
5 з 13 головних серверів імен (DNS) лягли і тимчасово прининили функціонувати, решта
різко сповільнилися та погіршили передачу інформації.
Усі провайдери "хребта" Інтернету (backbone - базова глобальна інформаційна
магістраль) зіткнулися з величезними технічними трудонощами.
| Цитата: |
Internet attack
"We are monitoring massive Distributed Denial of Service attacks all over the U.S. tonight starting at around 11:30 PM CST. As many as 5 of the 13
root nameserver have been down, up to 10 with massive packet loss (xx%):
Internet Status to Root Name Servers
Date: Fri Jan 24 21:37:00 PST 2003
Place Address Packet Loss Time: Min/Avg/Max
Root b.root-servers.net 53% 25/40/48
Root c.root-servers.net 0% 82/82/82
Root e.root-servers.net 20% 16/29/33
Root f.root-servers.net 26% 17/27/32
Root h.root-servers.net 20% 91/101/108
Root i.root-servers.net 26% 190/199/205
Root j.root-servers.net 26% 81/91/96
Root k.root-servers.net 64% 172/188/201
Root l.root-servers.net 0% 5/5/6
Root m.root-servers.net 33% 160/171/205
GTLD b.gtld-servers.net 26% 52/63/67
GTLD c.gtld-servers.net 31% 85/93/95
GTLD d.gtld-servers.net 13% 88/100/103
GTLD f.gtld-servers.net 22% 38/50/57
GTLD i.gtld-servers.net 0% 198/200/203
GTLD k.gtld-servers.net 24% 90/100/105
GTLD l.gtld-servers.net 33% 128/138/171
All backbone providers are suffering major packet loss (XX%):
Place Address Packet Loss Time: Min/Avg/Max
AboveNet ns.above.net 28% 53/64/66
AGIS ns1.agis.net 26% 62/74/78
AlohaNet nuhou.aloha.net 35% 84/94/98
ANS ns.ans.net 26% 83/97/100
BBN-NearNet nic.near.net 28% 91/114/572
BBN-BARRnet ns1.barrnet.net 26% 16/26/32
Best ns.best.com 35% 79/89/95
Concentric nameserver.concentric.net 35% 18/31/56
CW ns.cw.net 28% 88/98/105
DIGEX ns.digex.net 31% 78/86/91
ENTER.NET dns.enter.net 28% 91/104/108
Epoch Internet ns1.hlc.net 33% 37/48/52
Flash net ns1.flash.net 17% 80/92/94
GetNet ns1.getnet.com 20% 40/52/56
GlobalCrossing name.roc.gblx.net 24% 85/97/104
GoodNet ns1.good.net 31% 83/92/97
GridNet grid.net 20% 80/92/101
IDT Net ns.idt.net 20% 91/104/121
Internex nic1.internex.net 26% 18/31/35
MCI ns.mci.net 22% 91/103/107
MindSpring itchy.mindspring.net 15% 75/88/106
NAP.NET ns2.nap.net 20% 73/85/94
PacBell ns1.pbi.net 0% 89/89/90
Primenet dns1.primenet.net 20% 31/41/45
PSI ns.psi.net 0% 82/84/160
RAINet ns.rain.net 31% 40/49/53
SAVVIS ns1.savvis.net 31% 88/99/102
SprintLink ns1.sprintlink.net 11% 15/27/35
UUNet,AlterNet auth00.ns.uu.net 26% 89/98/103
Verio-West ns0.verio.net 22% 31/42/47
Verio-East ns1.verio.net 22% 86/96/101
VISInet ceylon.visinet.ca 20% 102/116/188
MoonGlobal-ClubNET ns.clubnet.net 0% 0/1/2
MoonGlobal-Netway dns.nwc.net 4% 6/6/7
MoonGlobal-Netxactics verdi.netxactics.com 4% 6/6/7
InterWorld ns.interworld.net 0% 4/4/5
It's massive, no word on source yet. We are watching it closely. This is upstream mostly, hitting the root name servers and backbone providers. Routes
are dropping like flies, dns is getting bad."
|
Лінки щодо теми:
http://www.startribune.com/stories/535/3613562.html
http://www.cnn.com/2003/TECH/intern...k.ap/index.html
На цей раз для організації глобальної атаки було використано дирку в Microsoft SQL Server
2000:
http://www.kb.cert.org/vuls/id/370308
|
|
|
Андрій Пелещишин
Адміністратор
Повідомлень: 9191
Зареєстрований: 19-6-2002
Місто: Львів, Україна
Нема на форумі
Настрій: Настрій не вказаний
|
|
http://compulenta.ru/2002/1/25/33234/
| Цитата: |
Вирусная атака парализует интернет
25 января 2003 года, 16:28
В субботу произошла активизация неизвестного ранее серверного вируса. Примерно с
8:30 по московскому времени работа интернета во многих частях мира на несколько
часов оказалась практически парализована. По предварительной информации, более
всего пострадали сети в Европе и Юго-восточной Азии. В российской части интернета
также ощущалось воздействие вируса.
Вирус эксплуатирует найденную полгода назад дыру в сервере баз данных Microsoft SQL Server
2000. По своим повадкам он напоминает вирус Code Red, распространявшийся по интернету
летом 2001 года. Активизировавшись, вирус пытается отправить свой код по случайно
сгенерированным IP-адресам в порт UDP 1434. В случае неудачи, попытки повторяются
снова и снова. Сетевые каналы и сервера, подвергающиеся атаке, оказываются
перегружены.
Размер вредоносной программы составляет всего 376 байт. При работе вируса никакие
файлы не создаются, и заметить его можно только по сетевой активности.
Microsoft давно выпустила патч, который исправляет используемую вирусом ошибку в
Microsoft SQL Server. Однако, судя по масштабам эпидемии, большинство системных
администраторов не потрудились установить его.
|
|
|
|
Андрій Пелещишин
Адміністратор
Повідомлень: 9191
Зареєстрований: 19-6-2002
Місто: Львів, Україна
Нема на форумі
Настрій: Настрій не вказаний
|
|
Смутно пригадую, що щось подібне ми обговорювали в мене на парах цієї осени (про
невтішні перспективи сучасного Інтернету). Якщо є мої студенти, думаю нагадають.
|
|
|
Андрій Пелещишин
Адміністратор
Повідомлень: 9191
Зареєстрований: 19-6-2002
Місто: Львів, Україна
Нема на форумі
Настрій: Настрій не вказаний
|
|
Падіння ефективності Інтернету під час атаки:
|
|
|
Андрій Пелещишин
Адміністратор
Повідомлень: 9191
Зареєстрований: 19-6-2002
Місто: Львів, Україна
Нема на форумі
Настрій: Настрій не вказаний
|
|
Кількість втрачених пакетів даних
|
|
|
Ігор+
Дійсний член
Повідомлень: 298
Зареєстрований: 5-11-2002
Нема на форумі
Настрій: Настрій не вказаний
|
|
В мене на кабельному пропадало до 30 процентів пакетів. Я не знав про ці проблеми і
написав гнівного листа в technical support свого провайдера 
|
|
|
Ostap
Новак
Повідомлень: 21
Зареєстрований: 7-12-2002
Місто: Lviv
Нема на форумі
Настрій: Настрій не вказаний
|
|
Так пригадую ми щось подібне обговорювали на парах...
Питання до Ігора:
Хто в тебе провайдер?
Інтернет по кабельному телебаченні?
|
|
|
Дмитро Тарасов
Адміністратор
Повідомлень: 328
Зареєстрований: 19-6-2002
Місто: Львів
Нема на форумі
Настрій: спокійний
|
|
Microsoft також спіймала хробачка
Тест на червя не прошли и в Microsoft
Как выяснилось, в самой компании оказалось предостаточно непропатченных MsSQL 2000,
подверженных атаке разгулявшегося на выходных червя. На этом фоне упреки в адрес
ленивых администраторов, не ставящих последние патчи, выглядят уже не столь
убедительно.
Источник: Lenta.Ru
Назва хробака - SQL Slammer
PS
Пригадую повідомлення про незначний відсоток використання у Microsoft серверів БД
власного виробництва . 
|
|
|
Djin
Заблокований
Повідомлень: 11
Зареєстрований: 5-2-2003
Місто: none
Нема на форумі
Настрій: Настрій не вказаний
|
|
Краще запобігати проблемам чим потім їх вирішувати
А патч був випущений Майкрософтом ще літом -
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/...
.13 team.
|
|
|
Ігор+
Дійсний член
Повідомлень: 298
Зареєстрований: 5-11-2002
Нема на форумі
Настрій: Настрій не вказаний
|
|
| Цитата: | Першим відправив користувач Ostap
Питання до Ігора:
Хто в тебе провайдер?
Інтернет по кабельному телебаченні? |
AtlantaBroadband.com 768 down / 384 up. У Львові ще з цим не розпочали?
|
|
|
Андрій Пелещишин
Адміністратор
Повідомлень: 9191
Зареєстрований: 19-6-2002
Місто: Львів, Україна
Нема на форумі
Настрій: Настрій не вказаний
|
|
Коли я своїх кабельщиків запитав про Інтернет - ви б бачили їхні очі 
Про кабельне телебачення відкриваю тему в розділі "Звязок". Прошу тут (Остапа
в першу чергу) зберігати тематичну чистоту дискусії
|
|
|
Реплікант10322195
Дійсний член
Повідомлень: 104
Зареєстрований: 22-1-2003
Місто: Газова школа-виставка
Нема на форумі
Настрій: Божественний
|
|
Цікаво яка була мета виводу всіх днс серверів?
Ніяк не можу допетрити.
Я любив вас усіх, та найбільше любив Україну,
Певно, в цьому і є та найважча провина моя. (c) С.Галябарда
|
|
|
Андрій Пелещишин
Адміністратор
Повідомлень: 9191
Зареєстрований: 19-6-2002
Місто: Львів, Україна
Нема на форумі
Настрій: Настрій не вказаний
|
|
Наскільки я розумію - сервери імен самі попадали - це була побічний наслідок
А взагалі - це риторичне запитання - навіщо іншим людям заважати жити. На жаль в
Інтернеті дуже актуальне.
Роби своє, а не шкодь чужому!
|
|
|
Дмитро Тарасов
Адміністратор
Повідомлень: 328
Зареєстрований: 19-6-2002
Місто: Львів
Нема на форумі
Настрій: спокійний
|
|
Slammer робив переповнення буфера у MS SQL, не чипаючи серверів DNS та інші сервіси.
Проблеми DNS викликані перевантаженістю.
У зв'язку зі Slammer згадали про технологію мутації програм для захисту від
вірусів та переповнень буферу. Може допомогти . Сама технологія позичена у вірусів
|
|
|
Agent86
Академік
Повідомлень: 470
Зареєстрований: 5-12-2002
Місто: Україна
Нема на форумі
Настрій:
|
|
Worm.SQL.Helkern (aka SQL.Slammer aka Sapphire)
Интернет-червь, заражающий сервера работающие под Microsoft SQL Server 2000.
Распространяется от компьютера к компьютеру пересылая на очередной (заражаемый)
компьютер, через порт 1434, свой код и запуская этот код на выполнение путём
использования ошибки в программном обеспечении MS
SQL (см. ниже).
Червь имеет крайне небольшой размер - всего 376 байт.
Червь присутствует только в памяти зараженных компьютеров и не создаёт своих
копий в дисковых файлах. Более того, при работе червя никакие файлы не создаются, и
червь никак не проявляет себя (помимо сетевой активности зараженного
компьютера).
При активизации на заражаемом компьютере червь получает адреса трёх функций
Windows:
GetTickCount (KERNEL32.DLL)
socket, sendto (WS2_32.DLL)
Затем червь в бесконечном цикле посылает свой код (командой "sendto" на случайно выбранные адреса в сети (при этом
использует случайные данные от команды "GetTickCount".
Поскольку SQL-сервера часто используются в качестве стандартной базы данных на
Web-серверах, то данный червь может замедлить работу Интернета в глобальных
масштабах, поскольку все зараженные сервера в бесконечном цикле посылают пакеты
на случайно выбранные адреса в сети - и, следовательно, сильно увеличивают сетевой
трафик.
В коде червя видны строки:
h.dllhel32hkernQhounthickChGet
Qh32.dhws2_f
etQhsockf
toQhsend
Реализация атаки
Для реализации атаки на сервера используется одна из ошибок в защите IIS типа:
Remote Buffer Overrun Vulnerability
Название конкретной применяемой атаки:
Unauthenticated Remote Compromise in MS SQL Server 2000
Данная ошибка была обнаружена в июле 2002 года и исправлена последующими патчами
к
MS SQL Server 2000.
Подробное описание уязвимости можно найти на сайте Microsoft: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/...
(Microsoft Security Bulletin MS02-039)
и на сайте NGSSoftware Insight Security Research Advisory: http://www.nextgenss.com/advisories/mssql-udp.txt
Патч к MS SQL Server 2000 исправляющий данную ошибку можно скачать с сайта Microsoft:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602
Также рекомендуется запускать SQL Server c минимальным уровнем привелегий локальных
аккаунтов, без системного или доменного аккаунта.
Інформація взята із сайту Касперського Kaspersky Lab
|
|
|
![[*]](images/xp/default_icon.gif){kind=icon}
