陈默在电脑前坐正,两手放在键盘上,但迟迟没动。
他在等,等几分钟前收到的手机短信上的内容变成现实。短信上的内容其实很简单:rustleleague(沙盟)即将攻击一个ip:27.46.118.21。但简单不意味着不重要,anonymous的情报机构不会把什么情报都随便往他手机上送的!
这个ip他认得——就是快播联通出口的ip。快播的中科院办公区和迈科龙办公区共用一个网络,拥有三个出口ip,一个电信、一个联通、一条4m的铁通专线。其中那条铁通专线是只针对铁通的服务器ip段进行路由跳转的,众所周知中国铁通网内是将122.72.0.留出来专门给各种服务器的,这条专线还可以随时申请网管加入移动的服务器ip段,以绕开跨网段访问移动服务器时那烦不胜烦的各种限制。
换言之,快播拥有多个出口的办公ip,是因为它拥有多个出口的各种服务器,自运营的和运营商缓存服务的。
沙盟即将攻击的只是其中一个出口ip,因为林雨发表那个价值五百万的帖子时,百度的服务器上记录下来的恰好是这个联通ip!
不过陈默知道,像沙盟这种老练的黑手,肯定不会只攻击这一个ip的,他们稍微踩点仔细看看,就能轻而易举地发现快播对外的其他出口,攻击将是全方位多角度的,不会有盲点。
核心运维组和快播缓存组的人大都睡了,依旧看着电脑的就几个执勤的运维工程师。远在地球另一端的攻击者选择了一个发动攻击的好时候,他们肯定能猜到地球这边虽然是白天,但中午都有午休。
快播办公区如同休眠的cpu,慢慢安静下来。
然而,同昨天中午一样,今天中午注定不能平静地过去。
陈默调出一个cmd命令控制台,用ping命令加t参数一直ping着网关,五分钟过去了,十分钟过去了,二十分钟过去了,十二点三十八分,cmd控制台上到网关的ping开始丢包,延时瞬间增大十数倍,还在剧烈波动。陈默知道攻击开始了,就截图发给网管小韦,问他为啥到网管丢包那么严重。发完了就趴桌子上眯眼休息。
后面没他什么事了,被攻击的是快播,这是网管的事情。
至于说这件事的始作俑者是旁边的妖孽林雨,那有什么,反正不是他陈某人!
最主要的是,后面的情形陈默没兴趣看了。毫无悬念,沙盟也拥有对一个国家形成威胁的实力,只消伸出一根手指头就能将这里搞定。他实在对快播的网络安全没什么信心。
后面的事情就只能根据网管发的通告以及合理的想象了——陈默还调阅了深圳网警的备案记录。沙盟跳跃到深圳的一台傀儡机上,使用nmap工具扫描了27.46.118.21,用的扫描方式是syn扫描【作者注:syn扫描,又称为半开放扫描】。这是nmap命令使用频率最高的扫描选项,syn扫描不打开一个完全的tcp连接,执行得很快,一般用于对整个网段的所有计算机进行批量扫描。沙盟想将这次扫描及随后的入侵伪装成偶然事件,并十分小心谨慎地留下这次nmap扫描的痕迹。
快播的网管其实非常专业,在组建这个企业局域网的时候,有过多次在外网对内网进行的扫描和探测测试,主流的扫描和嗅探工具都不能发现已知漏洞。
沙盟此次入侵使用了一个squid代理服务器的未知漏洞。快播使用的是双宿网关防火墙,使用这种防火墙策略的网关又称双宿主机网关(dual homed gateway),就是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络,又称堡垒主机。堡垒主机上运行着防火墙软件及squid代理服务,快播局域网都通过这个安全代理连接互联网。
这是一个复杂而精妙的安全网络系统,构建和架设都需要对网络及安全有足够深入的了解,但攻破它只需知道一个微不足道的服务中的一个微不足道的小漏洞。
沙盟拦截并分析了squid的数据包,并发回精心调制的反馈包,目的地址是一个能引起squid服务崩溃的特殊地址127.0.0.1,squid安全代理服务轻而易举地崩溃了,这个复杂而精妙的双宿主机网关(dual homed gateway)只剩下路由功能。
这时候,外网可以直接连接并访问快播局域网内的电脑,就跟在快播内网发起攻击一样,而快播的内网,从陈默的认知看来——几乎没有什么像样的防备!!
入侵者的攻击速度极快,同样具备了高自动及高智能特征,从日志记录看来,squid服务瘫痪的下一秒钟,入侵者就开始了对快播内网的全方位扫描。此次扫描使用的工具很多,有前面已经出现过的nmap,还有大名鼎鼎的superscan(国际通用标准)、sss(俄罗斯出品)、shed(共享扫描专用)、dsscan(远程缓冲区溢出漏洞专用),甚至还可以看到号称天朝黑客必备的x-scan(中国制造)……
在强大的综合扫描攻势面前,快播使用空密码的三十多台机器首先被攻破,入侵者在登录的一瞬间就开始了文件上传操作,上传范围优先office文档,其余才是rar压缩包及其他常见的文件格式。第二批被攻破的是大大小小一百多个共享,这些共享陈默昨天就已经在命令行里搜索出来过,在这些专业的扫描工具面前更加无所遁形。
在攻击的第三步,除了对剩下的机器进行密码猜解之外,入侵者直接在快播内网开启嗅探侦听工具,由nc.exe(号称横跨windows与linux平台的瑞士军刀)、xray(高手必备)、sniffer pro(入门级高手必备)、抓包工具winsock expert及代理猎手组成的强大嗅探攻势,从第一批被攻破的空密码机器发起,直接肆无忌惮地搜罗整个内部网络的信息!
至此,离网关防火墙上的squid安全代理服务瘫痪,还不到两分钟。
由一个大型黑客组织发起的集团式快速攻击,其攻击速度已经超过了普通人的反应速度,其实,除了完备的网络安全监测系统,没有谁能反应过来。
世人藉此第一次认识到了现代黑客这种迅雷不及掩耳的神级攻击速度,rustleleague(沙盟)的此次攻击被称为“沙盟无影脚”。