陈默在电脑前坐正,两手放在键盘上,但迟迟没动。
他在等,等几分钟前收到的手机短信上的内容变成现实。短信上的内容其实很简单:uue(沙盟)即将攻击一个ip:27.46.118.21。但简单不意味着不重要,anonymous的情报机构不会把什么情报都随便往他手机上送的!
这个ip他认得——就是快播联通出口的ip。快播的中科院办公区和迈科龙办公区共用一个网络,拥有三个出口ip,一个电信、一个联通、一条4m的铁通专线。其中那条铁通专线是只针对铁通的服务器ip段进行路由跳转的,众所周知中国铁通网内是将122.72.0.留出来专门给各种服务器的,这条专线还可以随时申请网管加入移动的服务器ip段,以绕开跨网段访问移动服务器时那烦不胜烦的各种限制。
换言之,快播拥有多个出口的办公ip,是因为它拥有多个出口的各种服务器,自运营的和运营商缓存服务的。
沙盟即将攻击的只是其中一个出口ip,因为林雨发表那个价值五百万的帖子时,百度的服务器上记录下来的恰好是这个联通ip!
不过陈默知道,像沙盟这种老练的黑手,肯定不会只攻击这一个ip的,他们稍微踩点仔细看看,就能轻而易举地发现快播对外的其他出口,攻击将是全方位多角度的,不会有盲点。
核心运维组和快播缓存组的人大都睡了,依旧看着电脑的就几个执勤的运维工程师。远在地球另一端的攻击者选择了一个发动攻击的好时候,他们肯定能猜到地球这边虽然是白天,但中午都有午休。
快播办公区如同休眠的cpu,慢慢安静下来。
然而,同昨天中午一样,今天中午注定不能平静地过去。
陈默调出一个c参数一直ping着网关,五分钟过去了,十分钟过去了,二十分钟过去了,十二点三十八分,c开始丢包,延时瞬间增大十数倍,还在剧烈波动。陈默知道攻击开始了,就截图发给网管小韦,问他为啥到网管丢包那么严重。发完了就趴桌子上眯眼休息。
后面没他什么事了,被攻击的是快播,这是网管的事情。
至于说这件事的始作俑者是旁边的妖孽林雨,那有什么,反正不是他陈某人!
最主要的是,后面的情形陈默没兴趣看了。毫无悬念,沙盟也拥有对一个国家形成威胁的实力,只消伸出一根手指头就能将这里搞定。他实在对快播的网络安全没什么信心。
后面的事情就只能根据网管发的通告以及合理的想象了——陈默还调阅了深圳网警的备案记录。沙盟跳跃到深圳的一台傀儡机上,使用nmap工具扫描了27.46.118.21,用的扫描方式是syn扫描【作者注:ap命令使用频率最高的扫描选项,p连接,执行得很快,一般用于对整个网段的所有计算机进行批量扫描。沙盟想将这次扫描及随后的入侵伪装成偶然事件,并十分小心谨慎地留下这次nmap扫描的痕迹。
快播的网管其实非常专业,在组建这个企业局域网的时候,有过多次在外网对内网进行的扫描和探测测试,主流的扫描和嗅探工具都不能发现已知漏洞。
沙盟此次入侵使用了一个squid代理服务器的未知漏洞。快播使用的是双宿网关防火墙,使用这种防火墙策略的网关又称双宿主机网关(dual eway),就是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络,又称堡垒主机。堡垒主机上运行着防火墙软件及squid代理服务,快播局域网都通过这个安全代理连接互联网。
这是一个复杂而精妙的安全网络系统,构建和架设都需要对网络及安全有足够深入的了解,但攻破它只需知道一个微不足道的服务中的一个微不足道的小漏洞。
沙盟拦截并分析了squid的数据包,并发回精心调制的反馈包,目的地址是一个能引起squid服务崩溃的特殊地址127.0.0.1,squid安全代理服务轻而易举地崩溃了,这个复杂而精妙的双宿主机网关(dual eway)只剩下路由功能。
这时候,外网可以直接连接并访问快播局域网内的电脑,就跟在快播内网发起攻击一样,而快播的内网,从陈默的认知看来——几乎没有什么像样的防备!!
入侵者的攻击速度极快,同样具备了高自动及高智能特征,从日志记录看来,squid服务瘫痪的下一秒钟,入侵者就开始了对快播内网的全方位扫描。此次扫描使用的工具很多,有前面已经出现过的nan(国际通用标准)、sss(俄罗斯出品)、an(远程缓冲区溢出漏洞专用),甚至还可以看到号称天朝黑客必备的x-an(中国制造)……
在强大的综合扫描攻势面前,快播使用空密码的三十多台机器首先被攻破,入侵者在登录的一瞬间就开始了文件上传操作,上传范围优先office文档,其余才是a压缩包及其他常见的文件格式。第二批被攻破的是大大小小一百多个共享,这些共享陈默昨天就已经在命令行里搜索出来过,在这些专业的扫描工具面前更加无所遁形。
在攻击的第三步,除了对剩下的机器进行密码猜解之外,入侵者直接在快播内网开启嗅探侦听工具,由nc.exe(号称横跨windows与linux平台的瑞士军刀)、xay(高手必备)、sniffe po(入门级高手必备)、抓包工具及代理猎手组成的强大嗅探攻势,从第一批被攻破的空密码机器发起,直接