通過PHP代碼進行DDOS已經(jīng)不是什么新鮮事了，其特征是用PHP代碼調(diào)用sockets，直接用服務(wù)器的網(wǎng)絡(luò)攻擊別的IP。在服務(wù)器上的表現(xiàn)為一打開IIS，服務(wù)器的流出帶寬就用光，不管你是10M還是100M，統(tǒng)統(tǒng)用光，也就是說服務(wù)器不斷向別人發(fā)包，這個情況和受到DDOS攻擊不同，受到DDOS是不斷收到大量數(shù)據(jù)包，造成帶寬占滿從而無法提供服務(wù)，PHP DDOS是不停的發(fā)包，占滿帶寬，從而無法提供服務(wù)。我說管理的服務(wù)器就受到了這樣的一次攻擊，下面來分享下解決辦法。

解決服務(wù)器上通過PHP代碼DDOS第一種方法：找到攻擊所屬網(wǎng)站并關(guān)閉。
找到這個網(wǎng)站
 打開IIS錯誤日志，位置是C:/Windows/System32/LogFiles/HTTPERR/，一般里面有一個httperr1.log的文件，里面有類似這樣的記錄：
2011-10-19 11:30:39 61.147.121.175 3108 96.139.56.156 80 HTTP/1.1 GET /Editor/sc.php?ip=119.112.90.217&port=80&time=6000 - 26200000 Timer_MinBytesPerSecond DefaultAppPool
主要是看最后三項，上面的范例是26200000 Timer_MinBytesPerSecond DefaultAppPool，26200000是這個利用PHP進行DDOS進行攻擊的網(wǎng)站在IIS中的ID，DefaultAppPool就是網(wǎng)站所在的應(yīng)用程序池，通過這兩個參數(shù)我們可以在IIS管理器里面快速查到這個網(wǎng)站。
關(guān)閉這個網(wǎng)站或者這個應(yīng)用程序池
 通過IIS管理器停止上面日志里面找到的應(yīng)用程序池，或者就關(guān)閉上面的ID的網(wǎng)站。

現(xiàn)在這樣一來，利用PHP進行DDOS攻擊的網(wǎng)站就被停止了，這樣就解決了這個問題。但通過這樣的方法解決比較的費時費力，而且如果出現(xiàn)在其他網(wǎng)站還得這樣來操作，不能一勞永逸，下面說一個一勞永逸的方法，就是解決服務(wù)器上通過PHP代碼DDOS第二種方法：禁止UDP訪問。
方法一：打開“管理工具”——“本地安全策略”——“IP安全策略”，在IP安全策略中禁止UDP訪問；
方法二：打開Windows防火墻，在防火墻中設(shè)置禁止UDP訪問。

上面2個方法建議使用方法一，因為dns服務(wù)需要用UDP，用方法一可以很靈活的設(shè)置為允許DNS服務(wù)的UDP訪問禁止其他所有UDP，規(guī)則中可以加入指定的DNS服務(wù)器地址，更安全。

為了方便使用，聚友做了一個批處理文件，直接將里面的DNS服務(wù)器地址修改成你服務(wù)器的DNS服務(wù)器地址，再直接執(zhí)行即可，下載地址：點擊此處下載

還有修改PHP配置的方法，但那種方法會造成好多PHP的網(wǎng)站程序不正常，在此就不說了。