防止本地用户使用fsockopenDDoS攻击的对策
PHP脚本部分源代码:
复制代码代码如下所示:
$ FP = fsockopen(UDP: / / 美元的IP
如果($ FP){
fwrite(FP美元,美元);
Fclose($ FP);
在PHP脚本的fsockopen函数,到外部地址,发送大量的数据包通过UDP互相攻击。
回答
该功能可以通过fsockopen php.ini是残疾,和机器的UDP端口屏蔽与Windows 2003的安全策略。
禁用功能
找到disable_functions,添加您需要禁用的函数名称,如下:
Passthru,执行,制度,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,shell_exec,shell_exec,shell_exec,proc_open,proc_get_status,ini_alter,proc_open,proc_get_status,ini_alter,proc_open,proc_get_status,ini_alter,和scandir。
重启IIS后生效。
Shield UDP port
复制下面的彩色文本到记事本,并保存为banudp.bat或任何名称,双击运行。
添加安全策略、名称
Netsh IPSec静态添加策略名称=我的安全政策
添加一个IP筛选器列表
Netsh IPSec静态添加过滤器列表名称=允许列表
Netsh IPSec静态添加过滤器列表名称=拒绝列表
REM将过滤器添加到IP筛选器列表(允许Internet访问)
Netsh IPSec静态添加过滤器过滤器列表=允许名单的srcaddr =我dstaddr =任何描述= DNS访问协议为UDP镜像=是的dstport = 53
REM将过滤器添加到IP筛选器列表中(不允许其他人访问)
Netsh IPSec静态添加过滤器过滤器列表=拒绝列表srcaddr =任何dstaddr =我=别人对我的任何访问协议为UDP镜像=是的
添加筛选器操作
Netsh IPSec静态添加过滤名称=可行动=许可证
Netsh IPSec静态添加过滤名称=不能行动=块
REM创建一个链接,指定IPSec策略、筛选器列表和筛选器操作的规则(向安全策略添加规则)
Netsh IPSec静态添加规则名称= =我的安全策略允许的规则政策允许列表过滤过滤器列表= =能
Netsh IPSec静态添加规则名称=拒绝政策=我的安全策略过滤器列表=拒绝列表过滤=不
REM激活我的安全策略
Netsh IPSec组静态策略名称=我的安全策略分配= Y