Kıyamet ertesi

0
conan
Evet hepimiz biliyoruz ki SQ_Hell, Slammer, veya ne isim verirseniz bu kurtçuk Internet'i hafta sonundan itibaren esir aldı. Bizlere fazlamesai yaptırdı, bolbol küfür ettirirken bazı şeylere de dikkatimizi çekmeyi sağladı. Örneğin patch ne demek bir kere daha ögrendik. Ya da geç kalınmış ve tamamen test edilmemiş SP'lerin insanların başına neler getirebildiğini gördük. Ama bunlardan bahsetmeyeceğim. Bahsedeceğim şey neden Internetin bu problemden dolayı durma aşamasına geldiği?
Olay sadece aşırı UDP trafiği miydi? Yoksa onun yanında etkileşimden oluşan yan trafiklerin de bu kıyamette etkisi oldu mu?

Öncelikle aşırı UDP trafiğini biraz açıklamak istiyorum. MSSQL server 1434 numaralı portundan tek bytelik bir UDP paket aldığında (0x0A) bu paketi yollayana aynı paketle aynı porta cevap verir. Bunu bir çesit SQL pingi olarak isimlendirebiliriz. UDP `connectionless´ bir protocoldur (bağlantısız) Yani bir önceki paketten haberdar değildir. A sunucusu B sunucusuna bir SQLping yolladığında B sunucusu da aynı paketle A sunucusuna bu pinge cevap verdiğinde, A sunucusuna ilk pingleyen taraf olduğunu bildiğinden B`den gelen pakete cevap vermez. (Normalde A da aynı paketi aldığına göre cevap vermeliydi değil mi? ;) Peki diyelim ki kötü insan C bu iki SQL sunucusu birbirine düşürmek istiyor. Ne yapıyor? A´dan geliyormuş gibi bir paket yaratıyor ve B´ye yolluyor. (kaynak adresi: A) B ise aynı paketi ping cevabı şeklinde A´ya geri yolluyor, A ise bu durumdan haberdar değil! A da B`nin onu pinglediğini sanıyor ve aynı paketi geri yolluyor, B -> A, A -> B.... bu böyle sunuculardan birisi kapatılana kadar sürüyor. UDP bağlantısız bir protokol olduğundan TCP`den çok çok daha hızlı hareket edebiliyor. Böylece trafik katlanarak çoğalıp network`u doldurmaya başlıyor. (Basit ama gerçek, bu tip problemler 96`dan beri tartışılmakta: www.cert.org/advisories/CA-1996-01.html)

Gelelim yan etkilere. Peki dünya üzerinde SQL sunucu sayısı web sunucu sayısından daha az, neden code red yayılırken Internet durma noktasına gelmedi de bu olayda %95`lere varan ping kayıpları oldu? Bunun asıl cevabı UDP`nin hızlı trafiği olsa da buna bağlı olarak bence bir de SQL hizmeti sunmayan bilgisayarların (1434/1433 UDP port açık olmayan diyelim) geriye döndürdüğü ICMP cevaplarının (port unreachable gibi) routerları doldurup durma noktasına getirmesi de önemli bir unsurdu. ICMP önemli bir trafik. Çünkü birçok routerda üstünlük tanınabilen bir protokol. QoS önemli olduğu network uygulamalarında, ya da genel olarak karşı tarafın durumunun bilinmesinin hayati önem taşıdığı hallerde (VOIP, Video Stream, Finansal iletisim, vs...) ICMP öncelikli pakettir. ICMP paketlerindeki dramatik artış bu tip uygulamaların çalışmamasına sebep olabilir. (Bank of America ATMlerinin durması bu nedenden olabilir)

Evet, günümüzde yanlış yazılmış kodların ve bunların duzeltilmesine rağmen ihmal edilmelerinin önüne geçebildiğimizi, ve de geçebileceğimizi söylemek çok güç. Bu boyle geldi uzun bir süre daha böyle gidecek gibi gözüküyor. Ama hey? bi dakka! böyle gitmezse bizler aç kalırız değil mi? ;) (Işler böyle gitmesin, ben aç kalmaya razıyım)

Mini kaynakça:
Unauthenticated Remote Compromise in MS SQL Server 2000
CERT® Advisory CA-1996-01 UDP Port Denial-of-Service Attack
Sapphire worm code disassembled (eEye Digital Security: Jan 25, 2003)

Görüşler

0
sundance
Valla eline sağlık Conan, böyle yazılar gördükçe ulan iyi ki FM var, iyi ki böyle insanları tanıyorum diye seviniyorum :)
0
Nightwalker
>Valla eline sağlık Conan, böyle yazılar gördükçe ulan iyi ki FM var, iyi ki böyle insanları tanıyorum diye seviniyorum :)

Ehu... Burdan kendimize pay mı çıkartıyoruz sundance ? :)
Ama bu payı çıkartmakta bütüm FM ekibinin hakkı galiba :)
Bu arada yazı güzel olmuş conan , eline sağlık...
0
conan
once senin aklina gelseydi de sen de kendine pay cikarsaydin ;) Tabii ki pay cikaracak adam, FM ekibinden once boyle bir olusum var miydi? yoktu! :)

>Bu arada yazı güzel olmuş conan , eline sağlık...
Bu arada tesekkurler :)
0
tongucyumruk
Conan! yazılarının kalitesini düşür, çıtayı çok yükseltiyorsun affetmeyiz sonra...

--
Makale Mafyası
0
cazz
Evet ne demisler (kim demis? ;) ) ceken bilir!
Conan'cim eline saglik, kufur ede, kufur ede! cildirmadan icini bosaltmissin! helalinden :)

eline agzina parmaklarina saglik!
0
FZ
Bir sürü İngilizce makale okudum şu SQLSlammer ile ilgili, %80´i posa idi; sonra bilgisayarı açtım, FM sitesine bağlandım, anadilimde yazılmış ve tam da olması gereken teknik seviyedeki bu makaleyi okudum, aydınlandım.

FM sitesini takip etmenin faydasını, ayrıcalığını bir kez daha yaşadım. Bu arada SQLSlammer ile ilgili ilk haberi FM sitesinden aldığımı söylememe bilmem gerek var mı (pek çok arkadaşım da ilk kez buradan öğrendiğini söylüyor).

Teşekkürler!
0
anonim
itiraf edeyim ki ben okuyup birsey anlayamamistim sagda solda. Simdi aydinlandim
0
conan
once ingilizce makaleleri okuyup sonra FM`ye bakman buyuk hata! ;)

Ben ilk slammeri cep telefonuma yagan sapik otesi alarmlardan ogrendim hehe! servers down! move your @55 system slave!!!
0
anonim
Vallahi bende anlatım diline hayran kaldım. Abi sen linux, programlama yada iyi bildiğin konularda kitap yazsana. :)) Dalga geçmiyorum gerçekten acayip para kazanırsın. :)) Cidden çok güzel basit ve anlaşılır şekilde anlatmışsın açıkçası hayran kaldım.

Sevgi, Saygı, Linux, MySQL
Yüksel ÖZCAN
0
anonim
Her ne kadar ilk basta yayinlanan yazilarda wormun ''karsilikli ping'' acigini kullandigindan bahsedilmis olsa da, Son analizlerde bu DoS etkisinin sadece wormun sonsuz bir dongu icerisinde rastgele IP adreslerine kendisini iceren UDP paketlerini gondermesinden kaynaklandigi ortaya cikti. Bu UDP paketini alan yamanmamis SQL server makineler de ayni sekilde saldiriya basliyorlardi ...
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Alcatel DSL Modemlerde Güvenlik Sorunları

parsifal

Eğer Alcatel DSL modeminiz varsa şunu bilin ki herhangi bir internet kullanıcısı modeminizin ayarlarını ve şifrenizi değiştirebilir, bilgilerinizi çalabilir veya zevk için modeminizi bozabilir.

Bunu keşfeden ise Tsutomu Shimomura. Shimomura 1994 yılında Kevin Mitnick'in izini bulmuştu. Mitnick ise ABD'nin aranan en ünlü internet hackerlarından biri idi. Sayısız bilgisayar sistemine girip şifrelerden tutun gizli program kodlarına kadar pek çok bilgiyi ele geçirmişti.

Windows 2000´e Güvenlik Ödülü (nasıl yani?)

anonim

Microsoft Windows 2000, Information Technology Security Evaluation for Common Criteria (Bilgi Teknolojileri Güvenlik Değerlendirmesi Ortak Kriterleri) tarafından belirlenen standartlara göre, bugüne kadar bir işletim sisteminin hayata geçirdiği en geniş çaptaki gerçek yaşam senaryoları nedeniyle Common Criteria Sertifikası almaya hak kazandı.

XSS ölüyor mu?

Yns_

PHP 5.2 ile beraber PHP'de setcookie() fonksiyonuna 7.parametre olarak httponly desteği gelmiş.

Httponly çerezlere Javascript ile ulaşılamadığı için xss ataklarının en tehlikelisi olan cookie çalma olayı ortadan kalkıyor.

Şu an tek sorun her tarayıcı tarafından desteklenmemesi, ama yakında bir çok tarayıcı yeni sürümünde bu standartlara uyacaktır tahminimce.IE 7 ile en güvenli şekilde bu özelliği destekliyor, fakat mozilla şaşırtıcı bir şekilde desteklemiyor.

Windows XP kullanıcılarına hodri meydan!

sundance

Geçtiğimiz günlerde FZ`nin yorumlarından birinde inanılmaz irkildiğimiz bir yazıya:` Windows XP Microsoft`un Nereye Gittiğinin İşareti!` rastladık. Yorumlarda kaybolup gitmesine gönlümüzün razı olmadığı bu yazının büyük bir bölümünü Türkçe`ye çevirip yayınlama ihtiyacı duyduk. Bu yazıda

-Windows XP`nin Internet`e birçok sebeple kullanıcının kontrolü dışında bağlandığı
-Eğer bu bağlantılara izin verilmezse fonksionların bir kısmının kapandığını
-Lisans anlaşması gereği herhangibir MS patchi install eden kullanıcıların makinalarının yönetim haklarını yasal olarak MS`a devrettiği
gibi saçmasapan iddialar var. FM`i takip eden Microsoft Profesyonelleri`nden bu yazıyı okuyup bizleri aydınlatmalarını rica ediyoruz. İnanıyoruz ki bu kadar yoğun kullanılan, başarılı bir işletim sistemi hakkında böyle asılsız ithamlar yapılıyorsa gerektiği şekilde cevap verilmeli ;)

MP3 Çalar ile ATM’den Kredi Kartı Bilgisi Çalındı

innaw

İngiltere, Manchester'da yaşayan 41 yaşındaki Maxwell Parsons, sıradan bir MP3 çalar ile bankaların güvenlik sistemlerini aşarak kredi kartı bilgilerini ele geçirdiği suçlaması ile tutuklandı. 200.000 £ çaldığı bildirilen Parsons’un “ters mühendislik” olarak adlandırılan ve son dönemde yaygınlaşan bir yöntem kullandığı bildiriliyor.

Kaynaklar: 1, 2