SQLSlammer ist Bezeichnung für einen Wurm, der Ende Januar 2003 (angeblich von Asien ausgehend [FAZ v. 27.01.2003 S. 11]) Teile des Internet lahmgelegt hat. Laut Pressemeldungen der bis zu diesem Zeitpunkt größte Angriff auf das Internet.

SQLSlammer bedient sich dabei des UDP-Protokolls und nutzt einen Fehler im Microsoft-SQL-Server aus (der allerdings bekannt und behebbar war). Der Wurm schickt zu diesem Zweck ein UDP-Paket an Port 1434 - was bei dem MS-SQL-Server zu einem Buffer-Overflow führt. Im Rahmen dieses Overflows führt der Server, dann den Code des Wurms aus. Dieser sorgt dafür, daß er selbst unter dem Namen WS2_32.DLL (ein sehr unauffälliger Name) ausgeführt wird. Einmal am laufen wählt der Wurm dann unendlich zufällig IP-Adressen aus, und sendet an deren Port 1434 wiederum ein manipuliertes UDP-Paket, um den Prozeß von vorner zu beginnen. Durch das endlose Versenden von UDP-Paketen verbraucht der Wurm die gesamte Bandbreite der betroffenen Rechner und blockiert somit deren regulären Internet-Verkehr.

Durch diese Blockade fielen zeitweise ca. 300.000 Rechner im Internet aus. Dabei soll ein Schaden von mehreren Millionen entstanden sein. Besonders betroffen war Südkorea.

Werbung: