第25部分(第2/4 页)

最高的扫描选项，syn扫描不打开一个完全的tcp连接，执行得很快，一般用于对整个网段的所有计算机进行批量扫描。沙盟想将这次扫描及随后的入侵伪装成偶然事件，并十分小心谨慎地留下这次nmap扫描的痕迹。

快播的网管其实非常专业，在组建这个企业局域网的时候，有过多次在外网对内网进行的扫描和探测测试，主流的扫描和嗅探工具都不能发现已知漏洞。

沙盟此次入侵使用了一个squid代理服务器的未知漏洞。快播使用的是双宿网关防火墙，使用这种防火墙策略的网关又称双宿主机网关（dual　homed　gateway），就是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件及squid代理服务，快播局域网都通过这个安全代理连接互联网。

这是一个复杂而精妙的安全网络系统，构建和架设都需要对网络及安全有足够深入的了解，但攻破它只需知道一个微不足道的服务中的一个微不足道的小漏洞。

沙盟拦截并分析了squid的数据包，并发回精心调制的反馈包，目的地址是一个能引起squid服务崩溃的特殊地址127。0。0。1，squid安全代理服务轻而易举地崩溃了，这个复杂而精妙的双宿主机网关（dual　homed　gateway）只剩下路由功能。

这时候，外网可以直接连接并访问快播局域网内的电脑，就跟在快播内网发起攻击一样，而快播的内网，从陈默的认知看来——几乎没有什么像样的防备！！

入侵者的攻击速度极快，同样具备了高自动及高智能特征，从日志记录看来，squid服务瘫痪的下一秒钟，入侵者就开始了对快播内网的全方位扫描。此次扫描使用的工具很多，有前面已经出现过的nmap，还有大名鼎鼎的superscan（国际通用标准）、sss（俄罗斯出品）、shed（共享扫描专用）、dsscan（远程缓冲区溢出漏洞专用），甚至还可以看到号称天朝黑客必备的x…scan（中国制造）……

在强大的综合扫描攻势面前，快播使用空密码的三十多台机器首先被攻破，入侵者在登录的一瞬间就开始了文件上传操作，上传范围优先office文档，其余才是rar压缩包及其他常见的文件格式。第二批被攻破的是大大小小一百多个共享，这些共享陈默昨天就已经在命令行里搜索出来过，在这些专业的扫描工具面前更加无所遁形。

在攻击的第三步，除了对剩下的机器进行密码猜解之外，入侵者直接在快播内网开启嗅探侦听工具，由nc。exe（号称横跨windows与linux平台的瑞士军刀）、xray（高手必备）、sniffer　pro（入门级高手必备）、抓包工具winsock　expert及代理猎手组成的强大嗅探攻势，从第一批被攻破的空密码机器发起，直接肆无忌惮地搜罗整个内部网络的信息！

至此，离网关防火墙上的squid安全代理服务瘫痪，还不到两分钟。

由一个大型黑客组织发起的集团式快速攻击，其攻击速度已经超过了普通人的反应速度，其实，除了完备的网络安全监测系统，没有谁能反应过来。

世人藉此第一次认识到了现代黑客这种迅雷不及掩耳的神级攻击速度，rustleleague（沙盟）的此次攻击被称为“沙盟无影脚”。

第五十八章　深圳网警

陈默给网管小韦发那个截图时，正是第一批机器被沙盟控制并开始上传文件的时候，多台机器的高速上传请求给网关带来了巨大压力，其他人都明显可以感觉网速在下降。

等到小韦打开网关的监控，发现squid服务瘫痪的时候，四分钟已经过去了。这时已经有不少人察觉到不对，小韦的rtx消息请求闪成一片，桌上的电话也急促地响起来。他没去接电话，而是打开了另一个监控页面，在cacti的流量监控页面上，出口带宽的曲线由13m陡峭地上升到90m，如同一条昂起头来的眼镜王蛇，吐出的不是致命的毒液，三分钟多的时间里就向外网吐出了几个g的文件！

这会他还不知道那几个g都是office文档！！

这比眼镜王蛇的毒液还要致命！！！

小韦再点开两个监控，手就开始发抖了。第一个是专门的ftp服务器，这是一台linux服务器，开启的是vsftp服务，快播的公用共享和各个部门