Helkern — не только опасный, но еще и самый быстрый

В опубликованном американской ассоциацией CAIDA докладе впервые называются примерные цифры скорости распространения червя Helkern (он же Slammer, он же Sapphire).

Менее 10 минут понадобилось Helkern, чтобы с момента своего появления в Интернете найти 90% потенциально подверженных заражению серверов. В течение первой минуты своей «жизни» Helkern удваивал свою «популяцию» каждые 8,5 секунд, и достиг максимальной частоты сканирования в 55 млн. запросов в секунду спустя всего лишь 3 минуты после своего «рождения».

Подобные темпы ранее рассматривались исключительно гипотетически. Для сравнения, вирус-червь Code Red, проявившийся летом 2001 года, распространялся на два порядка медленнее Helkern, а удваивал свой суммарный размер лишь за 37 минут, хоть и заразил существенно больше серверов.

Helkern же был ограничен в географии распространения собственным дизайном: ошибка в генераторе случайных чисел, не позволяющая сканировать все возможные интернет-адреса, а также чрезмерно агрессивный метод сканирования и размножения, быстро «забивший» мусорным трафиком сеть и в конечном итоге помешавший самому Helkern размножаться .

Главный вывод исследователей CAIDA: традиционные методы противостояния интернет-червям сделались бессмысленными после появления столь быстро размножающегося вируса, как Helkern. Защита от подобных угроз должна быть автоматической, поскольку системные администраторы ни за что не успеют предупредить угрозу, распространяющуюся с подобной скоростью.

Данил Гридасов