Kıyamet ertesi

0
conan
Evet hepimiz biliyoruz ki SQ_Hell, Slammer, veya ne isim verirseniz bu kurtçuk Internet'i hafta sonundan itibaren esir aldı. Bizlere fazlamesai yaptırdı, bolbol küfür ettirirken bazı şeylere de dikkatimizi çekmeyi sağladı. Örneğin patch ne demek bir kere daha ögrendik. Ya da geç kalınmış ve tamamen test edilmemiş SP'lerin insanların başına neler getirebildiğini gördük. Ama bunlardan bahsetmeyeceğim. Bahsedeceğim şey neden Internetin bu problemden dolayı durma aşamasına geldiği?
Olay sadece aşırı UDP trafiği miydi? Yoksa onun yanında etkileşimden oluşan yan trafiklerin de bu kıyamette etkisi oldu mu?

Öncelikle aşırı UDP trafiğini biraz açıklamak istiyorum. MSSQL server 1434 numaralı portundan tek bytelik bir UDP paket aldığında (0x0A) bu paketi yollayana aynı paketle aynı porta cevap verir. Bunu bir çesit SQL pingi olarak isimlendirebiliriz. UDP `connectionless´ bir protocoldur (bağlantısız) Yani bir önceki paketten haberdar değildir. A sunucusu B sunucusuna bir SQLping yolladığında B sunucusu da aynı paketle A sunucusuna bu pinge cevap verdiğinde, A sunucusuna ilk pingleyen taraf olduğunu bildiğinden B`den gelen pakete cevap vermez. (Normalde A da aynı paketi aldığına göre cevap vermeliydi değil mi? ;) Peki diyelim ki kötü insan C bu iki SQL sunucusu birbirine düşürmek istiyor. Ne yapıyor? A´dan geliyormuş gibi bir paket yaratıyor ve B´ye yolluyor. (kaynak adresi: A) B ise aynı paketi ping cevabı şeklinde A´ya geri yolluyor, A ise bu durumdan haberdar değil! A da B`nin onu pinglediğini sanıyor ve aynı paketi geri yolluyor, B -> A, A -> B.... bu böyle sunuculardan birisi kapatılana kadar sürüyor. UDP bağlantısız bir protokol olduğundan TCP`den çok çok daha hızlı hareket edebiliyor. Böylece trafik katlanarak çoğalıp network`u doldurmaya başlıyor. (Basit ama gerçek, bu tip problemler 96`dan beri tartışılmakta: www.cert.org/advisories/CA-1996-01.html)

Gelelim yan etkilere. Peki dünya üzerinde SQL sunucu sayısı web sunucu sayısından daha az, neden code red yayılırken Internet durma noktasına gelmedi de bu olayda %95`lere varan ping kayıpları oldu? Bunun asıl cevabı UDP`nin hızlı trafiği olsa da buna bağlı olarak bence bir de SQL hizmeti sunmayan bilgisayarların (1434/1433 UDP port açık olmayan diyelim) geriye döndürdüğü ICMP cevaplarının (port unreachable gibi) routerları doldurup durma noktasına getirmesi de önemli bir unsurdu. ICMP önemli bir trafik. Çünkü birçok routerda üstünlük tanınabilen bir protokol. QoS önemli olduğu network uygulamalarında, ya da genel olarak karşı tarafın durumunun bilinmesinin hayati önem taşıdığı hallerde (VOIP, Video Stream, Finansal iletisim, vs...) ICMP öncelikli pakettir. ICMP paketlerindeki dramatik artış bu tip uygulamaların çalışmamasına sebep olabilir. (Bank of America ATMlerinin durması bu nedenden olabilir)

Evet, günümüzde yanlış yazılmış kodların ve bunların duzeltilmesine rağmen ihmal edilmelerinin önüne geçebildiğimizi, ve de geçebileceğimizi söylemek çok güç. Bu boyle geldi uzun bir süre daha böyle gidecek gibi gözüküyor. Ama hey? bi dakka! böyle gitmezse bizler aç kalırız değil mi? ;) (Işler böyle gitmesin, ben aç kalmaya razıyım)

Mini kaynakça:
Unauthenticated Remote Compromise in MS SQL Server 2000
CERT® Advisory CA-1996-01 UDP Port Denial-of-Service Attack
Sapphire worm code disassembled (eEye Digital Security: Jan 25, 2003)

Görüşler

0
sundance
Valla eline sağlık Conan, böyle yazılar gördükçe ulan iyi ki FM var, iyi ki böyle insanları tanıyorum diye seviniyorum :)
0
Nightwalker
>Valla eline sağlık Conan, böyle yazılar gördükçe ulan iyi ki FM var, iyi ki böyle insanları tanıyorum diye seviniyorum :)

Ehu... Burdan kendimize pay mı çıkartıyoruz sundance ? :)
Ama bu payı çıkartmakta bütüm FM ekibinin hakkı galiba :)
Bu arada yazı güzel olmuş conan , eline sağlık...
0
conan
once senin aklina gelseydi de sen de kendine pay cikarsaydin ;) Tabii ki pay cikaracak adam, FM ekibinden once boyle bir olusum var miydi? yoktu! :)

>Bu arada yazı güzel olmuş conan , eline sağlık...
Bu arada tesekkurler :)
0
tongucyumruk
Conan! yazılarının kalitesini düşür, çıtayı çok yükseltiyorsun affetmeyiz sonra...

--
Makale Mafyası
0
cazz
Evet ne demisler (kim demis? ;) ) ceken bilir!
Conan'cim eline saglik, kufur ede, kufur ede! cildirmadan icini bosaltmissin! helalinden :)

eline agzina parmaklarina saglik!
0
FZ
Bir sürü İngilizce makale okudum şu SQLSlammer ile ilgili, %80´i posa idi; sonra bilgisayarı açtım, FM sitesine bağlandım, anadilimde yazılmış ve tam da olması gereken teknik seviyedeki bu makaleyi okudum, aydınlandım.

FM sitesini takip etmenin faydasını, ayrıcalığını bir kez daha yaşadım. Bu arada SQLSlammer ile ilgili ilk haberi FM sitesinden aldığımı söylememe bilmem gerek var mı (pek çok arkadaşım da ilk kez buradan öğrendiğini söylüyor).

Teşekkürler!
0
anonim
itiraf edeyim ki ben okuyup birsey anlayamamistim sagda solda. Simdi aydinlandim
0
conan
once ingilizce makaleleri okuyup sonra FM`ye bakman buyuk hata! ;)

Ben ilk slammeri cep telefonuma yagan sapik otesi alarmlardan ogrendim hehe! servers down! move your @55 system slave!!!
0
anonim
Vallahi bende anlatım diline hayran kaldım. Abi sen linux, programlama yada iyi bildiğin konularda kitap yazsana. :)) Dalga geçmiyorum gerçekten acayip para kazanırsın. :)) Cidden çok güzel basit ve anlaşılır şekilde anlatmışsın açıkçası hayran kaldım.

Sevgi, Saygı, Linux, MySQL
Yüksel ÖZCAN
0
anonim
Her ne kadar ilk basta yayinlanan yazilarda wormun ''karsilikli ping'' acigini kullandigindan bahsedilmis olsa da, Son analizlerde bu DoS etkisinin sadece wormun sonsuz bir dongu icerisinde rastgele IP adreslerine kendisini iceren UDP paketlerini gondermesinden kaynaklandigi ortaya cikti. Bu UDP paketini alan yamanmamis SQL server makineler de ayni sekilde saldiriya basliyorlardi ...
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Büyük SSL Göçü Başlıyor mu?

tongucyumruk

Google CA/Browser Forum gereksinimlerini yerine getirmemesi sebebiyle Symantec PKI altyapısını güvenilen sertifikalar listesinden çıkarmaya karar verdi. Bu durum SSL dünyasında bolca kullanılan Thawte, VeriSign, Equifax, GeoTrust, ve RapidSSL gibi Symantec'e bağlı SSL sağlayıcıları tarafından üretilen sertifikaların geçerliliğini yitirmesi anlamına geliyor.

Google Güvenlik blogunda yapilan...

Hacker`lar İşe Alınır mı?

FZ

Yukarıdaki sorunun cevabı nedir diye düşündünüz mü bilmiyorum ama benim cevabım "alınmalıdırlar, tabii haklarında gerekli araştırmalar ve testler yapıldıktan sonra" şeklindeydi.

Bugün okuduğum bir haberde ise yakın zamanda yapılmış bir araştırmaya göre şirket yöneticilerinin görüşlerinin bu konuda olumsuz olduğu anlatılıyor.

Hackerlar işe alınır mı? haberindeki sonuçların ilginç olan kısmı ise genel eğilimin hackerları tam zamanlı şirket elemanı olarak değil de daha çok aralıklarla başvurulacak bir tür danışman statüsünde yönünde olması.

15 Yaşındaki Hacker Kraliçesi

sundance

Uzakdoğu`da yerel bir ISP`nin öğrenciler arasında düzenlediği "Hacker Kraliçesi" yarışmasında Choi Hae-ran adındaki 15 yaşındaki öğrenci birinci oldu.

Diğer yarışmacıların bir kaç günde hack etmeyi başardıkları siteleri dört saat gibi kısa bir sürede ele geçiren genç kraliçenin (prenses daha uygun sanırım :) bütün hacking bilgilerini Internet`de dolaşarak edindiği ve bilgisayar dergilerini ve teknik kitapları ders kitaplarına tercih etmesine rağmen sınıfının önde gelen öğrencilerinden olduğu açıklandı.

İngilizler, Ruslar ve Şifreler

FZ

II. Dünya Savaşı sırasında Bletchley Park´ta çalışan başta Turing olmak üzere matematikçilerin, dilbilimcilerin ve diğerlerinin Almanların Enigma şifresini çözme maceraları konu ile ilgilenenlerin malumudur.

Ancak İngiliz şifre analizcilerinin Sovyetler Birliği şifreleri ilgili yaptıkları önemli çalışmalar yakın bir döneme dek bir sır perdesi ile örtülü idi.

Bellua Cyber Security Asya 2005 Belgeleri

anonim

21-24 Mart tarihleri arasında Endonezya'da yapılan "Bellua Cyber Security Asya 2005" konferansına ait sunum ve bildirilere buradan erişilebilir. Çok çeşitli bir yelpezade yer alan sunumlar güvenliğe ilgi duyan herkese hitap ediyor.