闷油瓶刚要回答,他眼前的屏幕突然跳出了提示,是串看不懂的字母,我刚想细看,就听他道:“开始了。”
我大略扫了一眼闷油瓶打开的界面,明白那应该是个信息包的返回解析。这么说来,闷油瓶用的是精简过的伪装,是最快速也最容易被防火墙发现的方式。
程序返回给他的目的地址,我刚刚才在自己的堡垒主机上看过——几分钟而已,闷油瓶的伪装包已经冲到我“家门口”了,下一步就是拆解。
我又一惊:这么快?他用的到底是什么工具?我对攻击类的源码都很熟悉,这种只求极限速度和不怕暴露自己的工具,却从来没见过。
他用的绝对不是主流代码,只讲求攻击不考虑后路的方式也太野蛮了,极容易被发现破绽。
看来这闷油瓶一味求强,根本不怕正面交锋,对自己的水平相当自信。
我当然也不是吃素的,赶紧回身调了界面补救,力图在他真的放伪装包进来之前堵住他的攻击。
原有的解析地址过滤方法太简陋,很多地方都是单纯在靠检查的“数量”在支撑,牺牲了硬件的资源利用率。其实有很多方式可以让软硬件的配合更加经济,只要略加调整,同一段代码就能焕发新生。
我自认为擅长大范围的统筹规划,马上改良了几个部分,滤过率果然提高了10%。
我知道这滤掉的肯定大部分是闷油瓶的无效攻击,不免有些得意,忙分心偷看闷油瓶的屏幕。
第四章 延迟
一看我差点吓掉了下巴,闷油瓶没把精力全放在虚拟地址伪装包上,而是另开了个程序,正在解析整个机房所有主机的物理地址。
物理地址跟虚拟地址不一样,这东西每台机器只有一个,自出厂就是独一无二的,不可能因为解析方法不同而出现差别,因此一旦伪装物理地址成功,包含它的信息包就和真实内部通信的信息包一模一样,任何过滤器都不可能发现差别。
如果说伪装虚拟地址是造假通行证,替换物理地址就是易容成内部人员了。
够狠!我心里骂道,解析物理地址是很碰运气的事情,误差率时高时低,谁也不能说能十拿九稳。从杂乱无章的无意义数据中一眼看出关键点,再推导出本身就是随机数组合的物理地址,这已经不是人类大脑能“学会”的知识了,我几乎没有使用过这种技术。
但我也不是完全没有办法防御这种攻击,兵贵神速,只能靠“快”。
我偷窥到了闷油瓶的攻击方式,防守反应速度自然提升了一个数量级。当下也没有别的好办法,就开始疯狂敲代码,把本地网络中的通讯协议编码挨个变换成只有我能看懂的形式,尽可能地加大闷油瓶“猜测”的难度,在他得到确切地址之前把他“赶”出去。
这是个笨办法,但这种越基础越猥琐的办法,就越有效,跟街头流氓打架一个道理。
两厢对耗,时间飞逝,开始我还不时看一眼闷油瓶的屏幕,后来完全顾不上了,脑子里想到什么就补什么,完全凭意识在做,居然比考试还累。
一个半小时之后,我也受够了来回切换窗口,学闷油瓶开了四台电脑,用不同的方式针对性防守和监控。
不是我怂,四台真的已经是我精力的极限,那闷油瓶子狠起来不是人啊!
盯久了屏幕眼睛都酸疼了,我知道自己快要顶不住了,闷油瓶的攻击却还看不出一点要减弱的意思。我十分焦急,心说必须换个办法。
行内有个不成文的说法,防止“盗窃”思想有三:第一,找不到;第二,打不开;第三,拿不走。
目前这系统自身有弱点,我也没有那么变态的脑子和手速,第一和第二点恐怕修补不了,只能从最后一点上动动歪脑筋。
“拿不走”并不是真的带不走数据,而是无法逃避系统追踪。网络世界不存在物理距离,你拿走了东西却留下了可追踪的线索,抓你归案或者叫运营商封你ip就是分分钟的事情,跟没偷到手是一样的。
这种情况,最好用的是什么,我心中有数。
追踪嗅探器,这是十分下三滥的手段,说白了,是个黑客技术而不是网络安全技术。我被闷油瓶逼得紧了,也就不管三七二十一了。
这一类程序的英文名字叫sniffer,我喜欢管它叫狗鼻子。只要把狗鼻子放在闷油瓶要“盗取”的数据中隐藏起来,等到该段信息被提取的时候,就会自动触发返回程序——狗鼻子自己跑回来,自然能告诉我攻方的信息,类似用狼狗追小偷。
我用另一台非核心机造起了当前环境适用的狗鼻子,一分心就顾不上别的了,安全系统警报瞬间把我淹没。
我心里哀叹一声,索性放弃阻止闷油瓶,把重心都转移到构架后招和追踪上。
挖坑埋陷阱我十分擅长,不一会就有了狗鼻子的及时回报,我心中大喜。
那边闷油瓶突然“嗯?”了一声,似乎停止了操作。
我哪有空管他,继续补着后续代码。
按日志来推测,闷油瓶应该已经“偷”到一部分数据了,我尝试着用狗鼻子统计他的实际访问记录,以此来估计系统的整体“损失”。亡羊补牢,虽然你是非人类,我可还没放弃战斗。
“你写的?”闷油瓶突然拍了拍我,吓得我差点错按了键。
不知道什么时候这小子已经跑到我身边来了,我竟然一点都没有听到。
被人撞破用了“非常规”手段相当丢脸,可我也不好直接承认我的“业余爱好”,糊弄他道:“瞎写的。”
闷油瓶竟然就不走了,看着我的动作,似乎是在解读我写的东西。
这有种被人剥光了衣服看的感觉,我立马十分不爽,可也不好说什么,毕竟他是安全专家,我只是个半桶水的。
“让我看看结果。”闷油瓶读了一会,想来也不可能从几行代码上就理解我在做什么。
我虽然不太乐意,还是生成了个报表出来,里面详细列了我收集到的“攻方”的所有数据。这种看似无章法的结果,如果用统计软件分析一下,其实能得到很多有用的信息。
我所做的已经不能算是防守的范畴,但明眼人还是能看出它的价值性,狗鼻子可是我的得意之作。
闷油瓶若有所思,他不说话,我也懒得问,自顾自继续分析那些机器推测的结果。
报表绝不会出错,我对自己的技术很自信,但这结果却大大出了我的意料:刚刚三个小时内,网络通信的延迟率高过了平均值,这说明攻击来源点至少有两个。
一个当然是闷油瓶,那另外这些攻击是怎么回事?
“这台也是你?”我问道。
虽然这很不可能,但闷油瓶似乎来头不小,说不定有我不知道的技术。
闷油瓶却摇头,马上抢了我的鼠标调详细结果来看。我演示给他看如何统计,两人一起读了读那些记录。
通篇报告看完,我心里一紧:确确实实,多了一个人。
“小哥,你怎么看?”我就是混这行的,发生了什么大概是有数,却还得问问专家的意思。
闷油瓶就道:“延迟太高,有别人在。”说完他就坐回了自己的位置,“分析结果给我一份。”
我心道果然如此,想都没想就用狗鼻子连带着信息给他送了过去,没用正统的通讯方式。这完全是下意识的举动。
后来我才反应过来,这个做法根本相当于承认了自己是黑客。
闷油瓶却没跟我矫情,拆了包就挑拣出对方地址开始了反追踪。
我心想这就不是我能干的事情了,这台也没连外网,我不妨从内部观察这位不速之客的行动。
不知道是聪明过人还是神经太大条,这人行事非常矛盾:能不动声色的潜入进来,却迟迟没有意识到自己被盯上。在数据库上磨了半天,东翻西看,就是不见有进一步深入核心的操作。
这下我倒好奇了,哪有贼都摸到宝库里不动手光看的?这又不是国家博物馆。
贼只翻外围记录,却是又中了几个狗鼻子的陷阱,我随手就把更多的信息发给了闷油瓶。
闷油瓶一顿,对我说了声谢谢。
“怎样,追到了吗?”我很好奇闷油瓶这种正派人士是怎么追踪的,索性坐到他旁边去。
闷油瓶已经调出了最有可能的地址,挑了最短路线去追,我读了两行,发现他用的方法,竟然和我自学的套路非常相似。
再傻我也不会看错看家本领,这妥妥儿的是黑客技术。
怎么会这样?
我愣着神,闷油瓶已经找到了那人,正在连接,看架势是要远程显示对方的桌面。
我终于看不下去:懂得攻击防火墙可以解释为触类旁通知己知彼,那这直接黑到对方私人电脑去的架势是怎么回事?用我家的服务器黑一个个人账户,是想连累five坐牢吗?
“哈哈,小哥你这是……要不咱们记下他的位置,报警?”我打着哈哈,做到这程度实在出格了,被人反咬一口,谁都吃不了兜着走。
闷油瓶却做了一个噤声的动作,准备获取对方操作系统的管理员权限。我一看现在拦也拦不住了,心里直叫苦,他却又是一套我没见过的强攻方法丢上去,十分强硬地把对方的电脑屏幕显示了出来。
果不其然,那贼是在看数据库,可一直停在外围的页面上,死活不继续往下走。
我的好奇心此刻也是被勾了起来。心道,死就死了,犯了事有法人顶着呢,这贼到底在干什么?
闷油瓶看了我一眼,从抽屉里掏出耳机插在了主机上,还递了一个给我。
我明白他想干什么,阻止他的手问:“你到底是什么人?”
闷油瓶却不回答,另只手操作不停,调了对方驱动的信息出来,准备无声无息开启对方的麦克风,偷听。
音量调高,却一直没有声音传过来,控制麦克风失败了?我心急,忙抢过键盘检查闷油瓶的方法,可他的思路没有任何问题。
闷油瓶也是十分疑惑,皱起了眉头。我干脆死马当活马医,慢慢调节,把音效开到了最大。
“听。”闷油瓶突然道。
渐渐增大的背景声里,竟然出现了一个非常奇怪的声音。
《宅书屋》om
