北京时间
2003年1月25日下午13:00-14:00之间
被称为
W32.SQLExp.Worm [symantec]
(SQL Slammer Worm [ISS]
DDOS.SQLP1434.A [Trend]
W32/SQLSlammer [McAfee] )的病毒开始大爆发
目前,世界最大的计算机安全公司 Symantec (就是出norton系列的)已将此病毒的危险级别 紧急调至第一(危险)
该病毒利用 MSSQL Server 在 UDP 1434 端口接收到 0x0A 会返回一个 0x0A UDP 数据报的特性,伪造假地址向 MSSQL Server 发送大量 0x0A UDP报,速度非常惊人,因此造成了全球网络严重的拥塞
(反馈目标地址中一旦也有同样的 MSSQL Server 就会使数据报量翻倍,)
(并且发现部分路由器如riverston路由器
不能直接解析此特殊协议,便调用系统去执行,造成路由器系统占用率过高,从而加重了影响程度
csico路由器好像没这个问题,不要说我在帮他们作广告呀,
不知道这是不是中国和韩国受灾更严重的原因)
微软相关文档
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms02-039.asp 描述了这一问题
请立即打补丁
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602解决 或将sql2000升至 SP3 版
实在不行,封住1434端口或者物理断开
此次攻击并非以色列或日本黑客攻击