?宋高遠(yuǎn)標(biāo)志性地嘿嘿一笑，轉(zhuǎn)身沖舒芷涵招招手：“鎂鋁，過來給警官蜀黍露一手?！?br/>
    舒芷涵捧著自己的dell筆記本走過來，半路還沖陳默笑了笑，笑完了站到一堆高手中間，已經(jīng)是面色沉靜如水。她將自己的筆記本電腦放在一張桌子上，漆黑的屏幕上空無一物，光標(biāo)在左上角一閃一閃，這是一個(gè)linux系統(tǒng)，沒準(zhǔn)就是昨天中午安裝的centos。

    陳默忍著頭痛，用自己的超級(jí)視角看了看，屏幕上方有一個(gè)自動(dòng)隱藏的菜單，鼠標(biāo)接近的時(shí)候才自動(dòng)下拉顯現(xiàn)的那種。菜單的顏色很熟悉，陳默認(rèn)出那是vmare，不知道是8.0還是8.1。

    “這是一臺(tái)虛擬機(jī)，系統(tǒng)，”舒芷涵熟練地敲擊鍵盤，屏幕上開始顯示內(nèi)容，“它運(yùn)行的是ftp服務(wù)，但這只是表象，”舒芷涵調(diào)出一個(gè)運(yùn)行在命令行下的監(jiān)控界面，密密麻麻的指標(biāo)在屏幕上擠成一團(tuán)，“實(shí)際上，這是……”

    “一個(gè)蜜罐系統(tǒng)！”徐冰冰和小關(guān)幾乎是異口同聲叫了出來。

    舒芷涵輸入長長的指令，監(jiān)控界面的數(shù)據(jù)隨著她敲擊的回車不斷地刷新和翻滾：“是的，一個(gè)空密碼蜜罐系統(tǒng)，雖然簡(jiǎn)單，但恰好足以記錄自動(dòng)腳本的絕大多數(shù)信息！”

    空密碼的蜜罐！這樣的蜜罐系統(tǒng)是太簡(jiǎn)單了，簡(jiǎn)單到稍有常識(shí)的黑客都不會(huì)闖進(jìn)來，但就是這么簡(jiǎn)單的蜜罐，拿來對(duì)付這種自動(dòng)化的攻擊腳本卻是再合適不過——這些腳本都包含了判斷空密碼并登陸的模塊。

    徐冰冰的眼睛亮了起來，但亮了一會(huì)又暗淡下去：“這個(gè)……蜜罐，能記錄多少信息？”

    聽口氣有點(diǎn)信心不足，想想也是，作為黑客組織排行榜上的?？停趁瞬恢挂淮蚊鎸?duì)過cia和fbi的系統(tǒng)里那更為隱蔽更為復(fù)雜的“蜜罐”，與之相比，舒芷涵的這一個(gè)可能連小孩過家家都算不上！

    很有可能，沙盟的自動(dòng)化腳本里已經(jīng)加了繞開此類系統(tǒng)的判斷。

    能留下最后一層跳板的ip就很不錯(cuò)了。

    舒芷涵抱歉地沖她笑了笑，但說的話不怎么抱歉：“記錄的信息很多，幾十g吧，需要分析很長時(shí)間，沒辦法，這是一個(gè)簡(jiǎn)單的系統(tǒng)，沒有加甄別和自動(dòng)分析模塊?！彼f著敲了一行查詢命令，真的刷出來滿屏的日志，行家可以很容易地看出來那都是從tcp/ip數(shù)據(jù)包的包頭強(qiáng)行摳下來的片段。

    在網(wǎng)絡(luò)層和傳輸層【作者注：網(wǎng)絡(luò)結(jié)構(gòu)里面的osi模型有7層，看官自行腦補(bǔ)】直接攔截?cái)?shù)據(jù)包并提取信息，是很初級(jí)的蜜罐手段，但確實(shí)有效，唯一而且致命的不足之處在于，數(shù)據(jù)包的數(shù)量很龐大，即使只記錄其中少部分信息，所得仍然是令人望而生畏的數(shù)據(jù)量。

    很笨的辦法，但確實(shí)能記下東西。

    網(wǎng)警小關(guān)掃了一眼屏幕，嘆口氣道：“確實(shí)需要分析很長時(shí)間。但我覺得，在面對(duì)沙盟這樣對(duì)常規(guī)手段幾乎全部免疫的對(duì)手時(shí)，以力破巧，最笨的辦法也許正是最聰明的辦法?！?br/>
    沙盟在快播內(nèi)網(wǎng)橫沖直撞，所向披靡，估計(jì)沒預(yù)料到還會(huì)誤入“蜜罐”里！

    劉濤看看屏幕，看著舒芷涵和徐冰冰，問：“這個(gè)蜜罐記錄了多少東西，以我們現(xiàn)有的條件，需要分析多久？”

    舒芷涵查看了下磁盤利用率：“這臺(tái)虛擬機(jī)分配的硬盤是默認(rèn)的40g，只記錄了三分鐘的數(shù)據(jù)，磁盤就寫滿了，畢竟只是個(gè)簡(jiǎn)單的系統(tǒng)?！?br/>
    40g的數(shù)據(jù)包片段??！

    “大隊(duì)那臺(tái)小型機(jī)的處理能力跟不上的，”徐冰冰斟酌著，“如果想在兩周內(nèi)得到結(jié)果，需要提交到上級(jí)處理。”

    南山網(wǎng)警大隊(duì)的上級(jí)就是深圳市網(wǎng)警分局，全稱是深圳市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察分局。陳默知道那里有一臺(tái)unix大型機(jī)，很闊綽，深圳錢不當(dāng)錢，網(wǎng)警也有錢得很。

    朱達(dá)欣畢竟不是技術(shù)帝出身的領(lǐng)導(dǎo)，這會(huì)問了個(gè)看起來很專業(yè)其實(shí)略有點(diǎn)外行的問題：“查找入侵者跟處理能力有什么關(guān)系呢？linux里面過濾下不就出來了么？”

    徐冰冰笑著解釋道：“朱總，數(shù)據(jù)包里的信息都雜亂無章，奇形怪狀的亂碼根本無法通過簡(jiǎn)單的過濾篩選出來，即使篩選出來也沒法使用。對(duì)于初級(jí)蜜罐系統(tǒng)的信息解讀，需要結(jié)合統(tǒng)計(jì)學(xué)和密碼學(xué)模型，將大量數(shù)據(jù)統(tǒng)計(jì)分析并解密后才能還原其本來面目，而數(shù)據(jù)包的本來面目，還不是我們能直接識(shí)別的自然語言……所以，在這過程中需要大量的運(yùn)算與分析?！?br/>
    一直冷眼旁觀的宋高遠(yuǎn)嗤笑一聲，道：“徐警官，恕我直言，在這里能找到的證據(jù)，最多也只能到入侵者的后面幾層跳板，這算不上沙盟證據(jù)的！即使你們真找到證據(jù)，像百度那樣，證明這是rustleleague（沙盟）組織所為，又能如何？”

    彪悍如百度，還不是得忍著？

    你南山區(qū)網(wǎng)警大隊(duì)，就能幫快播討回個(gè)公道不成？

    徐冰冰目視劉濤，劉濤道：“從昨天對(duì)百度的攻擊行動(dòng)看，攻擊者對(duì)我國網(wǎng)絡(luò)狀況了如指掌，在我境內(nèi)掌握大量的僵尸網(wǎng)絡(luò)節(jié)點(diǎn)，具備隨時(shí)大規(guī)模翻越我邊境防火墻的能力，這一情況引起了上級(jí)部門的高度關(guān)注。”

    瞬間都懂了，快播不重要，重要的是百度先被攻擊了！

    快播只不過是百度被攻擊事件發(fā)酵后釀成的一杯美酒，順著這杯酒喝下去可以深入攻擊者的心臟，更多地得到攻擊者的信息！

    怪不得這伙人剛來的時(shí)候都不考慮快播死活，直接想讓快播集體下班，他們接管這里好了??！

    “在接到報(bào)警的一個(gè)小時(shí)內(nèi)，我們也做了很多工作，拿到這里的數(shù)據(jù)后，整個(gè)鏈條接上是沒有太大問題的。”徐冰冰很興奮地接上劉老大的話，“至于說如果確定是沙盟所為，只要有確實(shí)證據(jù)，這個(gè)事情可以提交國際刑警，以反恐的名義偵辦下去！”

    以反恐的名義！

    好法子，好魄力！

    如果陳默什么都不懂，這會(huì)肯定已經(jīng)在心里暗暗鼓掌了。可惜他不但都懂，而且清醒冷靜地認(rèn)識(shí)到，沙盟牙尖齒利，非易與之輩，即使真有誰能將之摧毀，臨死必遭反噬！

    不過誰遭什么反噬，跟他關(guān)系不大，他玩味著的是徐冰冰這番話的前半段?？觳サ木W(wǎng)管是攻擊一開始就報(bào)警了，南山網(wǎng)警大隊(duì)的辦公地址是南山區(qū)深南大道388號(hào)南山公安分局網(wǎng)警大隊(duì)505室，離高新園撐死了不過十分鐘的車程——而算下來，撥打了這個(gè)網(wǎng)警110后，足足快兩個(gè)小時(shí)，才有人出現(xiàn)在快播！

    這段時(shí)間里，這些人在吃午飯么？！