第五十七章 沙盟无影脚（2 / 2）

由一个大型黑客组织发起的集团式快速攻击，其攻击速度已经超过了普通人的反应速度，其实，除了完备的网络安全监测系统，没有谁能反应过来。

世人藉此第一次认识到了现代黑客这种迅雷不及掩耳的神级攻击速度，rustleleague（沙盟）的此次攻击被称为“沙盟无影脚”。

后面的事情就只能根据网管发的通告以及合理的想象了——陈默还调阅了深圳网警的备案记录。沙盟跳跃到深圳的一台傀儡机上，使用nmap工具扫描了27.46.118.21，用的扫描方式是syn扫描【作者注：syn扫描，又称为半开放扫描】。这是nmap命令使用频率最高的扫描选项，syn扫描不打开一个完全的tcp连接，执行得很快，一般用于对整个网段的所有计算机进行批量扫描。沙盟想将这次扫描及随后的入侵伪装成偶然事件，并十分小心谨慎地留下这次nmap扫描的痕迹。

快播的网管其实非常专业，在组建这个企业局域网的时候，有过多次在外网对内网进行的扫描和探测测试，主流的扫描和嗅探工具都不能发现已知漏洞。

沙盟此次入侵使用了一个squid代理服务器的未知漏洞。快播使用的是双宿网关防火墙，使用这种防火墙策略的网关又称双宿主机网关（dual　homed　gateway），就是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件及squid代理服务，快播局域网都通过这个安全代理连接互联网。

这是一个复杂而精妙的安全网络系统，构建和架设都需要对网络及安全有足够深入的了解，但攻破它只需知道一个微不足道的服务中的一个微不足道的小漏洞。

沙盟拦截并分析了squid的数据包，并发回精心调制的反馈包，目的地址是一个能引起squid服务崩溃的特殊地址127.0.0.1，squid安全代理服务轻而易举地崩溃了，这个复杂而精妙的双宿主机网关（dual　homed　gateway）只剩下路由功能。

这时候，外网可以直接连接并访问快播局域网内的电脑，就跟在快播内网发起攻击一样，而快播的内网，从陈默的认知看来——几乎没有什么像样的防备！！

入侵者的攻击速度极快，同样具备了高自动及高智能特征，从日志记录看来，squid服务瘫痪的下一秒钟，入侵者就开始了对快播内网的全方位扫描。此次扫描使用的工具很多，有前面已经出现过的nmap，还有大名鼎鼎的superscan（国际通用标准）、sss（俄罗斯出品）、shed（共享扫描专用）、dsscan（远程缓冲区溢出漏洞专用），甚至还可以看到号称天朝黑客必备的x-scan（中国制造）……

在强大的综合扫描攻势面前，快播使用空密码的三十多台机器首先被攻破，入侵者在登录的一瞬间就开始了文件上传操作，上传范围优先office文档，其余才是rar压缩包及其他常见的文件格式。第二批被攻破的是大大小小一百多个共享，这些共享陈默昨天就已经在命令行里搜索出来过，在这些专业的扫描工具面前更加无所遁形。

在攻击的第三步，除了对剩下的机器进行密码猜解之外，入侵者直接在快播内网开启嗅探侦听工具，由nc.exe（号称横跨windows与linux平台的瑞士军刀）、xray（高手必备）、sniffer　pro（入门级高手必备）、抓包工具winsock　expert及代理猎手组成的强大嗅探攻势，从第一批被攻破的空密码机器发起，直接肆无忌惮地搜罗整个内部网络的信息！

至此，离网关防火墙上的squid安全代理服务瘫痪，还不到两分钟。