?陳默在電腦前坐正，兩手放在鍵盤上，但遲遲沒動。

    他在等，等幾分鐘前收到的手機短信上的內(nèi)容變成現(xiàn)實。短信上的內(nèi)容其實很簡單：rustleleague（沙盟）即將攻擊一個ip：27.46.118.21。但簡單不意味著不重要，anonymous的情報機構(gòu)不會把什么情報都隨便往他手機上送的！

    這個ip他認得——就是快播聯(lián)通出口的ip?？觳サ闹锌圃恨k公區(qū)和邁科龍辦公區(qū)共用一個網(wǎng)絡(luò)，擁有三個出口ip，一個電信、一個聯(lián)通、一條4m的鐵通專線。其中那條鐵通專線是只針對鐵通的服務(wù)器ip段進行路由跳轉(zhuǎn)的，眾所周知中國鐵通網(wǎng)內(nèi)是將122.72.0.留出來專門給各種服務(wù)器的，這條專線還可以隨時申請網(wǎng)管加入移動的服務(wù)器ip段，以繞開跨網(wǎng)段訪問移動服務(wù)器時那煩不勝煩的各種限制。

    換言之，快播擁有多個出口的辦公ip，是因為它擁有多個出口的各種服務(wù)器，自運營的和運營商緩存服務(wù)的。

    沙盟即將攻擊的只是其中一個出口ip，因為林雨發(fā)表那個價值五百萬的帖子時，百度的服務(wù)器上記錄下來的恰好是這個聯(lián)通ip！

    不過陳默知道，像沙盟這種老練的黑手，肯定不會只攻擊這一個ip的，他們稍微踩點仔細看看，就能輕而易舉地發(fā)現(xiàn)快播對外的其他出口，攻擊將是全方位多角度的，不會有盲點。

    核心運維組和快播緩存組的人大都睡了，依舊看著電腦的就幾個執(zhí)勤的運維工程師。遠在地球另一端的攻擊者選擇了一個發(fā)動攻擊的好時候，他們肯定能猜到地球這邊雖然是白天，但中午都有午休。

    快播辦公區(qū)如同休眠的cpu，慢慢安靜下來。

    然而，同昨天中午一樣，今天中午注定不能平靜地過去。

    陳默調(diào)出一個cmd命令控制臺，用ping命令加t參數(shù)一直ping著網(wǎng)關(guān)，五分鐘過去了，十分鐘過去了，二十分鐘過去了，十二點三十八分，cmd控制臺上到網(wǎng)關(guān)的ping開始丟包，延時瞬間增大十數(shù)倍，還在劇烈波動。陳默知道攻擊開始了，就截圖發(fā)給網(wǎng)管小韋，問他為啥到網(wǎng)管丟包那么嚴重。發(fā)完了就趴桌子上瞇眼休息。

    后面沒他什么事了，被攻擊的是快播，這是網(wǎng)管的事情。

    至于說這件事的始作俑者是旁邊的妖孽林雨，那有什么，反正不是他陳某人！

    最主要的是，后面的情形陳默沒興趣看了。毫無懸念，沙盟也擁有對一個國家形成威脅的實力，只消伸出一根手指頭就能將這里搞定。他實在對快播的網(wǎng)絡(luò)安全沒什么信心。

    后面的事情就只能根據(jù)網(wǎng)管發(fā)的通告以及合理的想象了——陳默還調(diào)閱了深圳網(wǎng)警的備案記錄。沙盟跳躍到深圳的一臺傀儡機上，使用nmap工具掃描了27.46.118.21，用的掃描方式是syn掃描【作者注：syn掃描，又稱為半開放掃描】。這是nmap命令使用頻率最高的掃描選項，syn掃描不打開一個完全的tcp連接，執(zhí)行得很快，一般用于對整個網(wǎng)段的所有計算機進行批量掃描。沙盟想將這次掃描及隨后的入侵偽裝成偶然事件，并十分小心謹慎地留下這次nmap掃描的痕跡。

    快播的網(wǎng)管其實非常專業(yè)，在組建這個企業(yè)局域網(wǎng)的時候，有過多次在外網(wǎng)對內(nèi)網(wǎng)進行的掃描和探測測試，主流的掃描和嗅探工具都不能發(fā)現(xiàn)已知漏洞。

    沙盟此次入侵使用了一個squid代理服務(wù)器的未知漏洞?？觳ナ褂玫氖请p宿網(wǎng)關(guān)防火墻，使用這種防火墻策略的網(wǎng)關(guān)又稱雙宿主機網(wǎng)關(guān)（dualhomedgateay），就是用一臺裝有兩個網(wǎng)絡(luò)適配器的雙宿主機做防火墻。雙宿主機用兩個網(wǎng)絡(luò)適配器分別連接兩個網(wǎng)絡(luò)，又稱堡壘主機。堡壘主機上運行著防火墻軟件及squid代理服務(wù)，快播局域網(wǎng)都通過這個安全代理連接互聯(lián)網(wǎng)。

    這是一個復(fù)雜而精妙的安全網(wǎng)絡(luò)系統(tǒng)，構(gòu)建和架設(shè)都需要對網(wǎng)絡(luò)及安全有足夠深入的了解，但攻破它只需知道一個微不足道的服務(wù)中的一個微不足道的小漏洞。

    沙盟攔截并分析了squid的數(shù)據(jù)包，并發(fā)回精心調(diào)制的反饋包，目的地址是一個能引起squid服務(wù)崩潰的特殊地址127.0.0.1，squid安全代理服務(wù)輕而易舉地崩潰了，這個復(fù)雜而精妙的雙宿主機網(wǎng)關(guān)（dualhomedgateay）只剩下路由功能。

    這時候，外網(wǎng)可以直接連接并訪問快播局域網(wǎng)內(nèi)的電腦，就跟在快播內(nèi)網(wǎng)發(fā)起攻擊一樣，而快播的內(nèi)網(wǎng)，從陳默的認知看來——幾乎沒有什么像樣的防備??！

    入侵者的攻擊速度極快，同樣具備了高自動及高智能特征，從日志記錄看來，squid服務(wù)癱瘓的下一秒鐘，入侵者就開始了對快播內(nèi)網(wǎng)的全方位掃描。此次掃描使用的工具很多，有前面已經(jīng)出現(xiàn)過的nmap，還有大名鼎鼎的superscan（國際通用標準）、sss（俄羅斯出品）、shed（共享掃描專用）、dsscan（遠程緩沖區(qū)溢出漏洞專用），甚至還可以看到號稱天朝黑客必備的x-scan（中國制造）……

    在強大的綜合掃描攻勢面前，快播使用空密碼的三十多臺機器首先被攻破，入侵者在登錄的一瞬間就開始了文件上傳操作，上傳范圍優(yōu)先office文檔，其余才是rar壓縮包及其他常見的文件格式。第二批被攻破的是大大小小一百多個共享，這些共享陳默昨天就已經(jīng)在命令行里搜索出來過，在這些專業(yè)的掃描工具面前更加無所遁形。

    在攻擊的第三步，除了對剩下的機器進行密碼猜解之外，入侵者直接在快播內(nèi)網(wǎng)開啟嗅探偵聽工具，xe（號稱橫跨indos與linux平臺的瑞士軍刀）、xray（高手必備）、snifferpro（入門級高手必備）、抓包工具insockexpert及代理獵手組成的強大嗅探攻勢，從第一批被攻破的空密碼機器發(fā)起，直接肆無忌憚地搜羅整個內(nèi)部網(wǎng)絡(luò)的信息！

    至此，離網(wǎng)關(guān)防火墻上的squid安全代理服務(wù)癱瘓，還不到兩分鐘。

    由一個大型黑客組織發(fā)起的集團式快速攻擊，其攻擊速度已經(jīng)超過了普通人的反應(yīng)速度，其實，除了完備的網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，沒有誰能反應(yīng)過來。

    世人藉此第一次認識到了現(xiàn)代黑客這種迅雷不及掩耳的神級攻擊速度，rustleleague（沙盟）的此次攻擊被稱為“沙盟無影腳”。