Kıyamet ertesi

0
conan
Evet hepimiz biliyoruz ki SQ_Hell, Slammer, veya ne isim verirseniz bu kurtçuk Internet'i hafta sonundan itibaren esir aldı. Bizlere fazlamesai yaptırdı, bolbol küfür ettirirken bazı şeylere de dikkatimizi çekmeyi sağladı. Örneğin patch ne demek bir kere daha ögrendik. Ya da geç kalınmış ve tamamen test edilmemiş SP'lerin insanların başına neler getirebildiğini gördük. Ama bunlardan bahsetmeyeceğim. Bahsedeceğim şey neden Internetin bu problemden dolayı durma aşamasına geldiği?
Olay sadece aşırı UDP trafiği miydi? Yoksa onun yanında etkileşimden oluşan yan trafiklerin de bu kıyamette etkisi oldu mu?

Öncelikle aşırı UDP trafiğini biraz açıklamak istiyorum. MSSQL server 1434 numaralı portundan tek bytelik bir UDP paket aldığında (0x0A) bu paketi yollayana aynı paketle aynı porta cevap verir. Bunu bir çesit SQL pingi olarak isimlendirebiliriz. UDP `connectionless´ bir protocoldur (bağlantısız) Yani bir önceki paketten haberdar değildir. A sunucusu B sunucusuna bir SQLping yolladığında B sunucusu da aynı paketle A sunucusuna bu pinge cevap verdiğinde, A sunucusuna ilk pingleyen taraf olduğunu bildiğinden B`den gelen pakete cevap vermez. (Normalde A da aynı paketi aldığına göre cevap vermeliydi değil mi? ;) Peki diyelim ki kötü insan C bu iki SQL sunucusu birbirine düşürmek istiyor. Ne yapıyor? A´dan geliyormuş gibi bir paket yaratıyor ve B´ye yolluyor. (kaynak adresi: A) B ise aynı paketi ping cevabı şeklinde A´ya geri yolluyor, A ise bu durumdan haberdar değil! A da B`nin onu pinglediğini sanıyor ve aynı paketi geri yolluyor, B -> A, A -> B.... bu böyle sunuculardan birisi kapatılana kadar sürüyor. UDP bağlantısız bir protokol olduğundan TCP`den çok çok daha hızlı hareket edebiliyor. Böylece trafik katlanarak çoğalıp network`u doldurmaya başlıyor. (Basit ama gerçek, bu tip problemler 96`dan beri tartışılmakta: www.cert.org/advisories/CA-1996-01.html)

Gelelim yan etkilere. Peki dünya üzerinde SQL sunucu sayısı web sunucu sayısından daha az, neden code red yayılırken Internet durma noktasına gelmedi de bu olayda %95`lere varan ping kayıpları oldu? Bunun asıl cevabı UDP`nin hızlı trafiği olsa da buna bağlı olarak bence bir de SQL hizmeti sunmayan bilgisayarların (1434/1433 UDP port açık olmayan diyelim) geriye döndürdüğü ICMP cevaplarının (port unreachable gibi) routerları doldurup durma noktasına getirmesi de önemli bir unsurdu. ICMP önemli bir trafik. Çünkü birçok routerda üstünlük tanınabilen bir protokol. QoS önemli olduğu network uygulamalarında, ya da genel olarak karşı tarafın durumunun bilinmesinin hayati önem taşıdığı hallerde (VOIP, Video Stream, Finansal iletisim, vs...) ICMP öncelikli pakettir. ICMP paketlerindeki dramatik artış bu tip uygulamaların çalışmamasına sebep olabilir. (Bank of America ATMlerinin durması bu nedenden olabilir)

Evet, günümüzde yanlış yazılmış kodların ve bunların duzeltilmesine rağmen ihmal edilmelerinin önüne geçebildiğimizi, ve de geçebileceğimizi söylemek çok güç. Bu boyle geldi uzun bir süre daha böyle gidecek gibi gözüküyor. Ama hey? bi dakka! böyle gitmezse bizler aç kalırız değil mi? ;) (Işler böyle gitmesin, ben aç kalmaya razıyım)

Mini kaynakça:
Unauthenticated Remote Compromise in MS SQL Server 2000
CERT® Advisory CA-1996-01 UDP Port Denial-of-Service Attack
Sapphire worm code disassembled (eEye Digital Security: Jan 25, 2003)

Görüşler

0
sundance
Valla eline sağlık Conan, böyle yazılar gördükçe ulan iyi ki FM var, iyi ki böyle insanları tanıyorum diye seviniyorum :)
0
Nightwalker
>Valla eline sağlık Conan, böyle yazılar gördükçe ulan iyi ki FM var, iyi ki böyle insanları tanıyorum diye seviniyorum :)

Ehu... Burdan kendimize pay mı çıkartıyoruz sundance ? :)
Ama bu payı çıkartmakta bütüm FM ekibinin hakkı galiba :)
Bu arada yazı güzel olmuş conan , eline sağlık...
0
conan
once senin aklina gelseydi de sen de kendine pay cikarsaydin ;) Tabii ki pay cikaracak adam, FM ekibinden once boyle bir olusum var miydi? yoktu! :)

>Bu arada yazı güzel olmuş conan , eline sağlık...
Bu arada tesekkurler :)
0
tongucyumruk
Conan! yazılarının kalitesini düşür, çıtayı çok yükseltiyorsun affetmeyiz sonra...

--
Makale Mafyası
0
cazz
Evet ne demisler (kim demis? ;) ) ceken bilir!
Conan'cim eline saglik, kufur ede, kufur ede! cildirmadan icini bosaltmissin! helalinden :)

eline agzina parmaklarina saglik!
0
FZ
Bir sürü İngilizce makale okudum şu SQLSlammer ile ilgili, %80´i posa idi; sonra bilgisayarı açtım, FM sitesine bağlandım, anadilimde yazılmış ve tam da olması gereken teknik seviyedeki bu makaleyi okudum, aydınlandım.

FM sitesini takip etmenin faydasını, ayrıcalığını bir kez daha yaşadım. Bu arada SQLSlammer ile ilgili ilk haberi FM sitesinden aldığımı söylememe bilmem gerek var mı (pek çok arkadaşım da ilk kez buradan öğrendiğini söylüyor).

Teşekkürler!
0
anonim
itiraf edeyim ki ben okuyup birsey anlayamamistim sagda solda. Simdi aydinlandim
0
conan
once ingilizce makaleleri okuyup sonra FM`ye bakman buyuk hata! ;)

Ben ilk slammeri cep telefonuma yagan sapik otesi alarmlardan ogrendim hehe! servers down! move your @55 system slave!!!
0
anonim
Vallahi bende anlatım diline hayran kaldım. Abi sen linux, programlama yada iyi bildiğin konularda kitap yazsana. :)) Dalga geçmiyorum gerçekten acayip para kazanırsın. :)) Cidden çok güzel basit ve anlaşılır şekilde anlatmışsın açıkçası hayran kaldım.

Sevgi, Saygı, Linux, MySQL
Yüksel ÖZCAN
0
anonim
Her ne kadar ilk basta yayinlanan yazilarda wormun ''karsilikli ping'' acigini kullandigindan bahsedilmis olsa da, Son analizlerde bu DoS etkisinin sadece wormun sonsuz bir dongu icerisinde rastgele IP adreslerine kendisini iceren UDP paketlerini gondermesinden kaynaklandigi ortaya cikti. Bu UDP paketini alan yamanmamis SQL server makineler de ayni sekilde saldiriya basliyorlardi ...
Görüş belirtmek için giriş yapın...

İlgili Yazılar

IstSec '09 - İstanbul Bilgi Güvenliği Konferansı

sundance

2009 yılında dünyaya damgası vuran ve siber tehditlere karşı önemini daha çok hissettiren siber güvenlik, siber casus yetiştirme politikaları, siber savaşlar ve bu alana yönelik olarak ülkelerin bütçelerinden ayırdıkları hatırı sayılır oranlara ulaşan rakamlar, bilgi güvenliğini bireysel, kurumsal ve ülke güvenliği açısından kritik öneme kavuşturmuştur. ISTSEC ‘09 konferansı bu eksendeki soru ve sorunlara çözüm ve çözüm önerileri sunmayı hedeflemektedir.

Kayıt için www.istsec.org

Internet`i dinleyenlere bombardıman girişimi

conan

LoveBug virusunun bir degişkeni olan ve Sophos tarafından VBS/LoveLet-CL olarak adlandırılan yeni virus NSA'in dünya iletişimini dinleme projesini aşırı yüklemek amacıyla yazılmışa benziyor! Email yoluyla kendini kopyalayan virüs kendini kopyalarken icinde "NSA national security agency code PGP GPG satellite cia yemen toxin botulinum mi5 mi6 mit kgb .mil mil base64 us defence intelligence agency admiral diplomat alert! BATF" gibi anahtar kelimeler taşıyor. Amaç iletişimi dinleyen Echelon'u aşırı yüklemek. Gerçi projenin asıl çalisma prensibi anahtar kelime yakalamak degil. Pattern yakalamak uzerine kurulu bir sistemi bu sekilde flood etmek bana yararsızmış gibi gözüküyor.

bogofilter İle Olasılıksal SPAM Filtreleme

FZ

Paul Graham 2002 yılı Ağustos'unda yazdığı makalede spam filtrelemede Bayes Teoremi'nin (Öznel Olasılık Teorisi) kullanılabilirliğine değinerek SPAM e-posta (email) ile savaş konusunda yeni bir akımı başlatmış oldu.

Graham'a göre aldığımız her email'e içerdiği kelimeler - mesaj başlığındakiler (header) de dahil olmak üzere- incelenerek 0 ile 1 arasında bir spam skoru atamak mümkün. Bu sayının hesaplanabilmesi için öncelikle size gelen çok sayıda spam ve spam olmayan emailin ayrı ayrı incelenmesi gerekiyor. Bu inceleme sonucunda eğer belli bir kelimeye sadece spam olan emaillerde rastlanıyorsa o kelimeyi göreceğiniz bir sonraki emailin de spam olma olasılığı çok yüksek olacaktır. Aynı mantıktan yola çıkarak, büyük bir çoğunlukla gerçekten okumak istediğiniz emaillerde rastlanan kelimelerin gelecekte de spam içermeyen emaillerde görülmesi beklenir. Bu anlattıklarımızın iyice yerleşmesi için birkaç örnek verelim:

CAPTCHA'ların sonu!

tongucyumruk

Sanıyorum hepimiz CAPTCHA denen şeyi ve ne kadar sinir bozucu olduğunu biliriz. OCR sistemlerinin tanıyamaması için iyice bozulan bu yazılar aynı zamanda bizim gözlerimizi de olağan dışı şekillere sokarlar. Ne varki bir yandan da spam-bot olarak anılan ve başta forumlar olmak üzere birçok yerde otomatize edilmiş halde reklam yayınlayan yazılımlardan korunmak için de en başarılı yol CAPTCHA kullanmak. Yani, en azından şu ana kadar öyleydi...

Cehennem.Org´u Hatırlar Mısınız?

anonim

Aşağıda sadece konu başlıklarını ve ayrıntılı bilgiye ulaşabileceğiniz linkleri veriyorum, yorumsuz...

"İnternette şifre tuzağı
'www.cehennem.org', Türk internet kullanıcılarına e-posta yoluyla tuzak kurarak, şifrelerini alıyor. Kurban sayısı ve isimlerini yayınlayan sitenin, bu yolla 10 bine yakın internet kullanıcısının şifresini ele geçirdi.
"

"Cehennem.org'da terör bağlantısı
İnternet kullanıcılarına tuzak kurarak şifrelerini indiren cehennem.org'un kapatıldığı açıklandı. Bu açıklamayı, ABD'den gelen ve şifreleri ele geçirilenleri dehşete düşüren bir açıklama takip etti.
"