通過PHP代碼進(jìn)行DDOS已經(jīng)不是什么新鮮事了，其特征是用PHP代碼調(diào)用sockets，直接用服務(wù)器的網(wǎng)絡(luò)攻擊別的IP。在服務(wù)器上的表現(xiàn)為一打開IIS，服務(wù)器的流出帶寬就用光，不管你是10M還是100M，統(tǒng)統(tǒng)用光，也就是說服務(wù)器不斷向別人發(fā)包，這個(gè)情況和受到DDOS攻擊不同，受到DDOS是不斷收到大量數(shù)據(jù)包，造成帶寬占滿從而無法提供服務(wù)，PHP DDOS是不停的發(fā)包，占滿帶寬，從而無法提供服務(wù)。我說管理的服務(wù)器就受到了這樣的一次攻擊，下面來分享下解決辦法。
解決服務(wù)器上通過PHP代碼DDOS第一種方法：找到攻擊所屬網(wǎng)站并關(guān)閉。
找到這個(gè)網(wǎng)站
打開IIS錯(cuò)誤日志，位置是C:\Windows\System32\LogFiles\HTTPERR\，一般里面有一個(gè)httperr1.log的文件，里面有類似這樣的記錄：
2011-10-19 11:30:39 61.147.121.175 3108 96.139.56.156 80 HTTP/1.1 GET /Editor/sc.php?ip=119.112.90.217&port=80&time=6000 - 26200000 Timer_MinBytesPerSecond DefaultAppPool
主要是看最后三項(xiàng)，上面的范例是26200000 Timer_MinBytesPerSecond DefaultAppPool，26200000是這個(gè)利用PHP進(jìn)行DDOS進(jìn)行攻擊的網(wǎng)站在IIS中的ID，DefaultAppPool就是網(wǎng)站所在的應(yīng)用程序池，通過這兩個(gè)參數(shù)我們可以在IIS管理器里面快速查到這個(gè)網(wǎng)站。
關(guān)閉這個(gè)網(wǎng)站或者這個(gè)應(yīng)用程序池
通過IIS管理器停止上面日志里面找到的應(yīng)用程序池，或者就關(guān)閉上面的ID的網(wǎng)站。
現(xiàn)在這樣一來，利用PHP進(jìn)行DDOS攻擊的網(wǎng)站就被停止了，這樣就解決了這個(gè)問題。但通過這樣的方法解決比較的費(fèi)時(shí)費(fèi)力，而且如果出現(xiàn)在其他網(wǎng)站還得這樣來操作，不能一勞永逸，下面說一個(gè)一勞永逸的方法，就是解決服務(wù)器上通過PHP代碼DDOS第二種方法：禁止UDP訪問。
方法一：打開“管理工具”——“本地安全策略”——“IP安全策略”，在IP安全策略中禁止UDP訪問；
方法二：打開Windows防火墻，在防火墻中設(shè)置禁止UDP訪問。
上面2個(gè)方法建議使用方法一，因?yàn)閐ns服務(wù)需要用UDP，用方法一可以很靈活的設(shè)置為允許DNS服務(wù)的UDP訪問禁止其他所有UDP，規(guī)則中可以加入指定的DNS服務(wù)器地址，更安全。
為了方便使用，聚友做了一個(gè)批處理文件，直接將里面的DNS服務(wù)器地址修改成你服務(wù)器的DNS服務(wù)器地址，再直接執(zhí)行即可，下載地址：點(diǎn)擊此處下載
還有修改PHP配置的方法，但那種方法會(huì)造成好多PHP的網(wǎng)站程序不正常，在此就不說了。