本文目录一览:
Udp洪水攻击和DDOS洪水攻击一样吗
UDP洪水攻击,或者叫UDP Flood,主要是利用大量UDP报文,冲击目标IP地址,有时候可能会把目标服务器打瘫,但是更多时候是把服务器的带宽堵死了。
UDP洪水攻击是DDoS洪水攻击的一种,DDoS洪水还包括用其他类型报文的攻击,例如TCP Flood(包括Syn flood/ACK Flood等)、ICMP Flood、IGMP Flood。
ARP欺骗一般不会用来做DDoS攻击,因为ARP主要是一个二层的协议,一旦出现跨路由器跳IP转发,ARP报文就不能转发了。因此如果有ARP Flood,业内一般也不会作为DDoS洪水攻击分类,最多算是在二层内网搞破坏罢了。
UDP洪水攻击时对自己的电脑有损害吗
对电脑没什么损害,但是它能导致带宽的服务攻击,对于海量的内网攻击,如果不从终端控制,等路由器收到进行拦截处理已经很晚了,大量的攻击数据充斥内网,路由器的性能也耗在忙于丢弃攻击数据的处理上,可以说解决不彻底,而且攻击量达到一定程度,还是会掉。
什么是UDP病毒
这是个将TCP、UDP flood攻击程序与一个广告下载器捆绑在一起的病毒。该病毒会接收木马种植者的命令来攻击指定的IP地址,从而造成被攻击者网络瘫痪,也会造成攻击者所在的局域网网络瘫痪。同时该病毒会疯狂的从网上下载广告软件到用户机器安装,使用户机器运行不稳定甚至蓝屏。
1、释放以下文件:
c:\wc1.exe
c:\wc2.exe
%systemdir%\mssock.dll
%systemdir%\AlxRes061201.exe
%systemdir%\scrsys061201.scr
%systemdir%\winsys32_061201.dll
%systemdir%\scrsys16_061201.scr
%systemdir%\winsys32_061201.dll
%WinDir%\winsys.ini
%systemdir%\wbem\Repository\FS\ 该目录中所有文件
2、wc2.exe 会释放一个名为mssock.dll,该DLL文件有伪装的微软版本信息,正常系统文件名应该为mswsock.dll。
3、wc2.exe 会修改注册表项来接管LSP进行启动:
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1001 "%SystemRoot%\system32\mswsock.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1002 "%SystemRoot%\system32\mswsock.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1003 "%SystemRoot%\system32\mswsock.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1004 "%SystemRoot%\system32\rsvpsp.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1005 "%SystemRoot%\system32\rsvpsp.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...
注:25 53 79 73 74 65 6D 52 ... 对应的ASCII码为:%SystemRoot%\system32\mssock.dll
4、mssock.dll 是个黑客程序,会连接 pqc888.3322.org 的 8004 端口等待接收指令。木马种植者可以命令肉机对指定IP和指定端口进行多线程TCP Foold或UDP Foold攻击,从而使被攻击者网络瘫痪,同时也会造成攻击者所在的局域网网络瘫痪。
5、wc1.exe 是个广告下载器,释放除wc2.exe 和 mssock.dll 的其它文件。
6、广告下载器 会修改如下注册表项来达到自启动的目的:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit "C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_061201.dll start"
7、广告下载器 会添加以下注册表项来防止弹出的网页:music.51zc.com 和 news.51zc.com被百度搜霸、雅虎助手、IE浏览器和Google工具条拦截:
HKCU\Software\Baidu\BaiduBar\WhiteList\*.music.51zc.com;news.51zc.com*
HKCU\Software\Yahoo\Assistant\Assist\adwurl\;news.51zc.com;* 0x2
HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow\music.51zc.com;news.51zc.com;
HKCU\Software\Google\NavClient\1.1\whitelist\allow2 "|music.51zc.com;news.51zc.com;|"
8、广告下载器 会通过发送窗口消息来躲避雅虎助手的广告拦截。
9、广告下载器 会尝试查找并关闭进程:KRegEx.exe、KVXP.kxp。
10、广告下载器 会尝试往瑞星、AVP的注册表监控等实时监控窗口发送允许消息并关闭实时监控窗口,从而躲避实时监控。
11、广告下载器 会启动IE然后对其进行注入,通过IE从网上下载相当数量的广告到用户机器并安装,从而避免被防火墙拦截。