黑客之都市英才- 第39节

　　　　不过陈默知道，像沙盟这种老练的黑手，肯定不会只攻击这一个ip的，他们稍微踩点仔细看看，就能轻而易举地发现快播对外的其他出口，攻击将是全方位多角度的，不会有盲点。

　　　　核心运维组和快播缓存组的人大都睡了，依旧看着电脑的就几个执勤的运维工程师。远在地球另一端的攻击者选择了一个发动攻击的好时候，他们肯定能猜到地球这边虽然是白天，但中午都有午休。

　　　　快播办公区如同休眠的cpu，慢慢安静下来。

　　　　然而，同昨天中午一样，今天中午注定不能平静地过去。

　　　　陈默调出一个cmd命令控制台，用ping命令加t参数一直ping着网关，五分钟过去了，十分钟过去了，二十分钟过去了，十二点三十八分，cmd控制台上到网关的ping开始丢包，延时瞬间增大十数倍，还在剧烈波动。陈默知道攻击开始了，就截图发给网管小韦，问他为啥到网管丢包那么严重。发完了就趴桌子上眯眼休息。

　　　　后面没他什么事了，被攻击的是快播，这是网管的事情。

　　　　至于说这件事的始作俑者是旁边的妖孽林雨，那有什么，反正不是他陈某人！

　　　　最主要的是，后面的情形陈默没兴趣看了。毫无悬念，沙盟也拥有对一个国家形成威胁的实力，只消伸出一根手指头就能将这里搞定。他实在对快播的网络安全没什么信心。

　　　　后面的事情就只能根据网管发的通告以及合理的想象了——陈默还调阅了深圳网警的备案记录。沙盟跳跃到深圳的一台傀儡机上，使用nmap工具扫描了27。46。118。21，用的扫描方式是syn扫描【作者注：syn扫描，又称为半开放扫描】。这是nmap命令使用频率最高的扫描选项，syn扫描不打开一个完全的tcp连接，执行得很快，一般用于对整个网段的所有计算机进行批量扫描。沙盟想将这次扫描及随后的入侵伪装成偶然事件，并十分小心谨慎地留下这次nmap扫描的痕迹。

　　　　快播的网管其实非常专业，在组建这个企业局域网的时候，有过多次在外网对内网进行的扫描和探测测试，主流的扫描和嗅探工具都不能发现已知漏洞。

　　　　沙盟此次入侵使用了一个squid代理服务器的未知漏洞。快播使用的是双宿网关防火墙，使用这种防火墙策略的网关又称双宿主机网关（dual　homed　gateway），就是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件及squid代理服务，快播局域网都通过这个安全代理连接互联网。

　　　　这是一个复杂而精妙的安全网络系统，构建和架设都需要对网络及安全有足够深入的了解，但攻破它只需知道一个微不足道的服务中的一个微不足道的小漏洞。

　　　　沙盟拦截并分析了squid的数据包，并发回精心调制的反馈包，目的地址是一个能引起squid服务崩溃的特殊地址127。0。0。1，squid安全代理服务轻而易举地崩溃了，这个复杂而精妙的双宿主机网关（dual　homed　gateway）只剩下路由功能。

　　　　这时候，外网可以直接连接并访问快播局域网内的电脑，就跟在快播内网发起攻击一样，而快播的内网，从陈默的认知看来——几乎没有什么像样的防备！！

　　　　入侵者的攻击速度极快，同样具备了高自动及高智能特征，从日志记录看来，squid服务瘫痪的下一秒钟，入侵者就开始了对快播内网的全方位扫描。此次扫描使用的工具很多，有前面已经出现过的nmap，还有大名鼎鼎的superscan（国际通用标准）、sss（俄罗斯出品）、shed（共享扫描专用）、dsscan（远程缓冲区溢出漏洞专用），甚至还可以看到号称天朝黑客必备的x…scan（中国制造）……

　　　　在强大的综合扫描攻势面前，快播使用空密码的三十多台机器首先被攻破，入侵者在登录的一瞬间就开始了文件上传操作，上传范围优先office文档，其余才是rar压缩包及其他常见的文件格式。第二批被攻破的是大大小小一百多个共享，这些共享陈默昨天就已经在命令行里搜索出来过，在这些专业的扫描工具面前更加无所遁形。

　　　　在攻击的第三步，除了对剩下的机器进行密码猜解之外，入侵者直接在快播内网开启嗅探侦听工具，由nc。exe（号称横跨windows与linux平台的瑞士军刀）、xray（高手必备）、sniffer　pro（入门级高手必备）、抓包工具winsock　expert及代理猎手组成的强大嗅探攻势，从第一批被攻破的空密码机器发起，直接肆无忌惮地搜罗整个内部网络的信息！

　　　　至此，离网关防火墙上的squid安全代理服务瘫痪，还不到两分钟。

　　　　由一个大型黑客组织发起的集团式快速攻击，其攻击速度已经超过了普通人的反应速度，其实，除了完备的网络安全监测系统，没有谁能反应过来。

　　　　世人藉此第一次认识到了现代黑客这种迅雷不及掩耳的神级攻击速度，rustleleague（沙盟）的此次攻击被称为“沙盟无影脚”。
第五十八章　深圳网警
　　　　陈默给网管小韦发那个截图时，正是第一批机器被沙盟控制并开始上传文件的时候，多台机器的高速上传请求给网关带来了巨大压力，其他人都明显可以感觉网速在下降。

　　　　等到小韦打开网关的监控，发现squid服务瘫痪的时候，四分钟已经过去了。这时已经有不少人察觉到不对，小韦的rtx消息请求闪成一片，桌上的电话也急促地响起来。他没去接电话，而是打开了另一个监控页面，在cacti的流量监控页面上，出口带宽的曲线由13m陡峭地上升到90m，如同一条昂起头来的眼镜王蛇，吐出的不是致命的毒液，三分钟多的时间里就向外网吐出了几个g的文件！

　　　　这会他还不知道那几个g都是office文档！！

　　　　这比眼镜王蛇的毒液还要致命！！！

　　　　小韦再点开两个监控，手就开始发抖了。第一个是专门的ftp服务器，这是一台linux服务器，开启的是vsftp服务，快播的公用共享和各个部门的专用共享都在上面。vsftp全称very　secure　ftp，意思是非常安全的ftp服务——不错，对于一个非法入侵者，它确实漏洞不多，但现在快播已经有不少机器被入侵者控制，而上面都保留了登录ftp的账号和密码！！

　　　　这台ftp服务器开启了上百个下载进程，网关的上传带宽超过了100m，很快就要逼近最高值了！

　　　　毫无疑问，资料在外泄，恶意的。

　　　　第二个监控是rtx服务器，它的流量还正常，但日志界面密密麻麻的都是猜解管理员权限的报警！！！

　　　　一刻也不能再等了，小韦几乎是冲进23楼的机房，将光纤与交换机断开。然后回到座位，拨了一个号码84466318，颤抖着说：“这里是快播科技，我们受到网络攻击，现在已经切断网络，好，我们的地址是中国科技开发院23楼，高新园地铁站出来就是。”

　　　　快播断网了。

　　　　这速度甚至让入侵者都有点始料不及。他们虽然不怕留下什么要命的痕迹，但原本是计划可以从这里拷贝出足够多的资料的。

　　　　断网让不少还醒着没午休的人混乱了一下，不过看到小韦那慌张一幕的人不多，加上最近网络经常调整，隔三差五升级一下，网管也往往不打招呼的，所以倒也没人说啥。很快两点多了，已经到了上班时间，网络还没恢复，小韦也不在座位上，陆续醒来的人才开始各种抱怨。

　　　　易小星：“小韦呢？搞毛啊？服务器还监控不了！？”

　　　　钟源：“联通也断了，铁通专线也断了，我们真的彻底离开网络了……”

　　　　王帅帅：“宋，能不能投诉的……”

　　　　宋高远：“投诉毛线，这断网不用干活是便宜你们了！”

　　　　杨冬青：“没便宜啊宋，今天升级服务端呢，弄不好得折腾到半夜的……”

　　　　沈学飞：“刚刚看小韦是冲进机房断的网，可别……”

　　　　这个“别”字拖得意味深长，一群搞运维的面面相觑，瞬间都知道了在“别”啥，不到迫不得已的时候，拔网线总是最后的选择。

　　　　现在已经到这个时候了么？

　　　　想想昨天中午发生的事，还有什么事情可能是不可能的？！

　　　　陈剑睡眼惺忪地爬起来，随便敲了敲键盘让电脑从休眠中醒来，看清楚屏幕右下角网络连接的图标上那个红色的叉叉之后，满意地嘟囔一句：“很好，又断网了。”就重新趴下了。

　　　　远一点的雅璐醒来后愁眉苦脸状：“完了，一刷新，微图图库没了……”

　　　　平川作同感状：“系啊系啊，这可肿么搞，我还有几十张图没p呢……”

　　　　孙静林走到核心运维那边看了看，没找到小韦，便冲宋高远来了一句：“宋总，小韦呢？啥时候能来网啊，这边还得干活呢。”

　　　　宋高远很无语，对孙静林他总不能说“断网不干活是便宜你们了”，只得推脱小韦会处理，就把她挡了回去。果然他话音未落，小韦便出现在门口拐角处，然而他不是一个人出现的，旁边是一个戴着黑框眼镜的女警。这个警察身上没戴着枪套，她跟快播的助理们一样手里拿着个蓝色文件夹，另一只手拿着笔，背后背着个大包，整个人年轻得会让人误会这只是一个穿着警服的学生，或者是一个穿着警服的标准白领。

　　　　愣神中的快播员工们还没反应过来，又有五六个警察从门口走进来，在办公大厅前排成一排。陈默注意到他们有男有女，男的一般背着包，女的一般拿着文件夹，跟小韦身边的女警察一