Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 3/2/2003
En analyse af Slammer-ormen viser, at den på ti minutter inficerede 90 procent af de servere, der ville være sårbare over for den. Den var dermed den orm, der indtil nu har spredt sig hurtigst på internettet.Analysen viser, at Slammer (også kendt som Sapphire) i løbet af det første minut fordoblede antallet af inficerede maskiner hver 8,5 sekunder. Efter tre minutter scannede ormen over 55 millioner adresser i sekundet. Til sammenligning tog det Code Red-ormen 37 minutter at fordoble antallet af inficerede maskiner, da den var på sit højeste.
Organisationen CAIDA (Cooperative Association for Internet Data Analysis) står bag analysen, der også afslører programmeringsfejl i ormen. En fejl gør således, at bestemte IP-adresser aldrig vil blive scannet af ormen.
Når ormen var så hurtig, skyldes det blandt andet, at dens kode var så lille, at den kunne rummes i en enkelt netværkspakke. Derfor kunne den sendes som en enkelt UDP-pakke (User Datagram Protocol). Større programmer ville kræve, at man brugte TCP-protokollen (Transmission Control Protocol), hvorved der ville gå tid med at afvente svar fra de scannede computere.
Analysen konkluderer, at højhastighedsorme ikke længere kun er teoretisk trussel, men at de nu har vist sig at virke i praksis. Angrebets skadevirkninger blev mindsket af, at ormen ikke ændrer eller sletter data, og at den angriber en port, som det er nemt at spærre for. Havde den angrebet en sårbarhed i en applikation, der anvender en udbredt port som for eksempel 80 (HTTP), ville det have været sværere at filtrere dens scanninger væk.