最近用C#写了个刷人气程序，用PHP服务端做任务交换。由于使用了ClickOnce，对客户端版本控制得比较好，升级比较快，发展也比较好。加上互访是分布式的，也不会因为IP问题封禁。然而最近我们网站最近遭受大量不明DDOS不明攻击，今我们技术人员证实，其与竞争对攻击有关。

竞争对手利用其软件用户量大的优势，在软件中植入攻击我们站点的行为，攻击量特别巨大，致使我站IP被机房封禁。具体可见Figure 1 软件截包和Figure 2 对我站进行访问攻击。这里可以看到攻击视频http://v.youku.com/v_show/id_XMjcxNjg0MDU2.html

Figure 1 CSUBOY软件的网络请求

                我们可以看到，在Figure 1 CSUBOY软件的网络请求 中，CSUBOY软件启动了两个进程csuboy.exe及csuboyunion.exe，csuboy.exe发送的都是与人人网有关的请求，而csuboyunion.exe则发送了大量关于攻击人气大师http://www.rqdashi.com/ 的请求。

Figure 2 对我站进行访问攻击

                在Figure 2 对我站进行访问攻击 我们可以看到，csuboyunion.exe进程对我网站进行了大量的攻击，在访问量极小的情况下，我们还可以通过iptables及使用Nginx过滤User-Agent实现简单抵御，然而在攻击量巨大的情况下，服务器难以支撑这样强流量的攻击。我们转移到其他服务器做过测试，大概10G/h。我们可以在服务器日志中看到相同的User-Agent，Figure 3 服务器记录。也可见附件

Figure 3 服务器记录

Figure 4 主程序退出后后台程序继续运行

                随后在进一步的分析中，我们得到了Figure 5。我们可以看到他对本站攻击的同时，也在对与本站有业务关联的人人资源社区http://www.zrenren.com进行了攻击，并且会默认访问他在百度博客上的一篇日志，根据页面访问情况来看，是利用HTML控件进行访问的。但是对我们站点的访问显然是只请求而不等待反馈的。

Figure 5

                Figure 6即其程序访问的百度博客的页面，点击量高达8062363，中国有8千万对Oracle感兴趣的程序员么？

          http://hi.baidu.com/csuboyserver/blog/item/cd026f318d90aaf21b4cff27.html

Figure 6

                其主程序还会将用户密码上传到服务器以及修改用户隐私

                他们也太猖狂了吧，这么公然攻击，我们却不知道怎么解决。我们已经向360、瑞星等提交了这是恶意软件的报告，但是不知道会有什么处理结果。

唉，我们现在才刚开始做，根本买不起带防火墙的服务器，现在我们把域名直接解析到他们www.csuboy.com服务器上去了，貌似也影响到了他们网站的正常访问，但是很显然他们网站的服务器是很不错的，好像是万网的。但是这毕竟不是个长久之计，我们认为他们软件已经在构造僵尸网络，希望各位大牛给我们指个比较明了的方法。不知道大家一般遇到这样的情况会怎么解决，已经持续将近2天了。