由于许多网络管理员取消了路由器上的控措施.docVIP

Pig_j: 近期，由于许多网络管理员取消了路由器上的控制措施，导致大量Slammer蠕虫死灰复燃，再次对网络造成一定的影响和破坏。从近期的检测结果来看，Slammer蠕虫感染的计算机仍然大量存在。 SQL蠕虫王是怎样炼成的 guojpeng/cvc.gb “7月23日晚，武汉市网监处接该市电子政务服务中心报案，称武汉政务网因遭到攻击而瘫痪。网警迅速展开调查，发现自22日下午4时起，该网站遭到MS-SQL蠕虫病毒入侵，由于防毒措施不健全，与其链接的有关委办局及区级政府安装的MS-SQL2000数据库服务器未安装SP3补丁程序，导致部分网络上的服务器感染病毒，并相互传播，产生大量无用信息包(垃圾访问包)访问政务网防火墙，半小时内就达2亿多个，阻塞了武汉政务网与互联网之间的通道，使用户无法正常访问。” “中新网7月27日电 武汉市公安局网监处26日证实：武汉政务网此前一度瘫痪系防毒措施不健全，被病毒侵入所致，与传闻的黑客入侵无关。目前，该网站已基本恢复正常。” 到底是什么蠕虫具有如此大的危害呢？虽然上面报道中没有提及具体是何种蠕虫入侵，但从其发作情况来看，这应该是Slammer所为。在武汉政务网遭攻击的前一个月以来，笔者所在的网络就两次深受该蠕虫折磨，虽然每次都只是同一台机器中招，但却每次都使整栋大楼的网络陷于瘫痪。下面我们就对该蠕虫进行一个比较详细的分析。 概述 北京时间2003年01月25日，SQL蠕虫王爆发，全球互联网络访问速度减慢甚至阻塞，国内网络大面积瘫痪。通过对捕获的数据样本分析和研究，发现这是一种新出现的针对Microsoft SQL Server 2000的蠕虫。该蠕虫本身非常小，仅仅是一段376个字节的数据。利用的安全漏洞是“Microsoft SQL Server 2000 Resolution服务远程栈缓冲区溢出漏洞”，蠕虫利用的端口是UDP/1434，该端口是SQL Server Resolution服务。 Microsoft SQL Server 2000支持在单个物理主机上提供多个SQL服务器的实例，在对每个实例操作时，都可以将其看作是一个单独的服务器。不过多个实例不能全部使用标准SQL服务会话会话端口(TCP 1433)，所以SQL Server Resolution服务操作监听在UDP 1434端口，提供一种使客户端查询适当的网络终端用于特殊的SQL服务实例的途径。 当SQL Server Resolution服务在UDP1434端口接收到第一个字节设置为0x04的UDP包时，SQL监视线程会获取UDP包中的数据并使用此用户提供的信息来尝试打开注册表中的某一键值。如发送\x04\x41\x41\x41\x41类似的UDP包，SQL服务程序就会打开如下注册表键：HKLM\Software\Microsoft\Microsoft SQL Server\AAAA\MSSQLServer\CurrentVersion。 攻击者可以通过在这个UDP包后追加大量字符串数据，当尝试打开这个字符串相对应的键值时，会发生基于栈的缓冲区溢出。通过包含“jmp esp”或者“call esp”指令的地址覆盖栈中保存的返回地址，可导致以SQL Server进程的权限在系统中执行任意指令。蠕虫溢出成功取得系统控制权后，就开始向随机IP地址发送自身，由于这是一个死循环的过程，发包密度仅和机器性能和网络带宽有关，所以发送的数据量非常大。 在实际的测试中发现，如果在同一网段中有一台机器中了SQL蠕虫王，该网段中的每一台机器每秒钟都可以收到近千个UDP数据包。该蠕虫对被感染机器本身并没有进行任何恶意破坏，它仅存在内存之中，不会向硬盘上写文件。因此对于感染的系统，重新启动后就可以清除该蠕虫，但是如果不及时打上补丁，仍然会重复感染。由于发送数据包占用了大量系统资源和网络带宽，形成UDP Flood，因此感染了该蠕虫的网络性能会极剧下降。一个百兆网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。 具体分析 1．SQL蠕虫王所发包的具体内容 通过抓包分析，我们得到SQL蠕虫王的攻击包如下：: 01 00 5E 31 7F D5 00 05 5D 61 48 6B 08 00 45 00 ; ..^1?.]aHk..E. : 01 94 8F 3A 00 00 01 11 91 14 CA 72 6A 11 E3 B1 ; .攺:....?蕆j.惚 : 7F D5 0D F9 05 9A 01 80 8F 47 04 01 01 01 01 01 ; ???€廏...... : 01 01 01 01 01 01 01 01 01 01 01 01