MS-SQL Slammer: Ein Wurm und die Konsequenzen

Der Effekt

Alles in allem erwies sich MS-SQL Slammer als äußerst effektiver DDoS-Schädling - ein echtes One-Packet-Wonder. Da der 376 Byte große Slammer in ein IP-Paket passt, verbreitete er sich nach der Freisetzung blitzartig auf den anfälligen Maschinen. Nach ersten Einschätzungen infizierte der Wurm innerhalb der ersten 60 Minuten bis 6:30 Uhr UTC zwischen 100.000 und 130.000 Maschinen, ein Großteil des Internet-Verkehrs kam schlagartig zum Erliegen.

Zwischen 20 und 30 Prozent Paketverluste auf den Backbones waren die Regel, wie Statistiken des Web-Dienstleisters Matrix Net Systems zeigen. In einzelnen Fällen wurden jedoch erheblich höhere Ausfälle beobachtet. "Wir verzeichnen hier in Los Angeles massive Netzstörungen", postete etwa ein entsetzter Administrator am Mittag des 25. auf Bugtraq. "Im Moment liegt der Paketverlust bei etwa 95 Prozent. (Das ist kein Vertipper. Ich meine *fünfundneunzig Prozent* Verlust.)"

Nach den Statistiken des Internet Storm Center griffen bis zum 26. Januar in insgesamt knapp 20 Millionen gemeldeten Einzelvorfällen rund 193.000 infizierte Maschinen knapp 640.000 existierende Ziel-IPs an. Mit seiner gnadenlosen Effizienz stellte sich MS-SQL Slammer jedoch schließlich selbst ein Bein. Viele Switches und Router stellten unter der immensen Datenlast schließlich den Betrieb ein, und auch zahlreiche SQL-Server hängten sich mit wegbrechenden Services auf.

Aufgeschreckte Administratoren - nicht zuletzt diejenigen US-amerikanischer Provenienz, die oft einen terroristischen Überfall vermuteten - nahmen zudem sehr schnell ihre SQL-Maschinen offline und sperrten die fraglichen Ports. Noch einen Schritt weiter ging die VR China, die ihr Netz komplett von den internationalen Backbones abhängte. Nach mehr als vier Stunden begann sich das Netz wieder zu beruhigen, um etwa 16.30 UTC war das Gröbste überstanden.