黑客.子时PK(十)包头过滤
作者 烟儿(girlyanr@gmail.com)
声明:《黑客.子时PK》系本人习作,故事纯属虚构;雷同实属巧合。作者保留对作品的所有权利。如需联系转载、刊登、出版,请通过创意安天BBS站内消息或邮件与本人联系。
更新时间:每周一、五两天固定更新,其他时间不定时更新。
(转载请保持内容完整,并包含上述信息)
关于包头过滤
仅有包头过滤的设备尽管显得原始而不智能,却能给我们提供一些有价值的信息,如果它开放了日志的话。——《计算机犯罪取证学》
防火墙是愚蠢的,他们只能从包头的IP和端口中感知我们是否存在,但我们躲在后面。——《黑语录》
2005年,9月1日10点,天眼世界。
罗方把互斥量抄录在一张纸上送到B处,然后赶奔四号会议室。
他推开门的时候,看到里面的人他都认识,他们是平时的案子中经常遇到的几个熟识的各大电信的工程师,而福星宽带看起来很重视这个时间,总工廖斯达亲自过来了,也带了工程师王亮。
罗方听出徐晓天的声音里有几分隐隐然的急躁:“廖工,我个人觉得网络虽然并没有彻底不能使用,也不能让攻击流量这么发着吧。现在用网高峰还没到,如果不处置,福星晚上的的压力就会很大”
廖斯达很无奈的对徐晓天说,“博士,我们也是没有办法,我们总不能一个一个下去给用户杀毒嘛……”
罗方感觉徐晓天今天语气非常燥,平时都是自己性格不好,而徐晓天总是不声不响,慢条斯理的。
“115呼叫003”罗方左兜里的对讲机忽然响了,这是袁潮的对讲机,这台对讲机再哪里,袁潮的指挥中枢就在哪里。所有人都停止谈话,抬头看罗方。
“003收到,目前袁厅正在开会,我代为指挥,115请汇报”
“115收到,根据路由器观测和目前抓包结果来看,电信、网通、移动确实没有有关攻击包,目前只有福宽才有。115在福宽机房报告”
罗方心里稍微安定了一下,他看了一眼徐晓天,意思是听听他的建议,徐晓天看看罗方,又看看廖斯达。
徐晓天说,应该把东莱的人都调到福宽去,一个继续守机房,三个下到感染的用户处观测取证。
“廖总,这个需要你们配合一下了”罗方接受了徐晓天的建议。
廖斯达点了点头,然后说,下用户的事情找郑工吧。
罗方举起对讲准备发布命令,但他犹豫了一下,还是从右袋里掏出自己的对讲。
“019呼叫115”
“115收到”
“你把你的兵都调过来,让他们下到感染机去取证,你们找郑工联系”
“115收到”
罗方又不放心的像想到了什么,“019呼叫115,东莱,你让小杜守机房,你亲自带队下去吧”…….
罗方把内容转回徐晓天刚才的话题说,感谢廖总配合我们工作,不过,还是需要你们进行快速的处置,现在美方的压力很大。
廖斯达哼了一声 “胳膊肘总不能向外拐吧,还能为了美国人消停,把福星宽带关了不成。”
徐晓天说话了:“廖工,我继续说说我的想法,目前首先需要先阻断攻击包,急需的是在福星宽出口设备上建立过滤规则,包括一个目标IP、两个目标端口、另外需要打开异常包检测。”
廖斯达和王亮齐声反对:“博士,你不知道我们小本经营,设备设备烂的狠,本来设备的自带的包头过滤性能就不好,如果这么配置,我们的主交换机会瘫掉的?”
罗方听到“异常包检测……瘫掉”心里一颤,不仅想起了4.26案件挂了的那台路由器——伴随着再次走神,罗方的右眼皮跳了一下——
罗方想起了2003年4月26日,G省T市的网络受到攻击,突然全部中断,当天正好在复查养老保险,本来窗口就排着长队,网络突然中断,业务停止办理,然后有人在人群中造谣,说保险的钱都被挪用,所以停办了,一群大爷大娘顿时不干了,堵住了大街。接到网络报案,罗方拉上徐晓天,以不逊色3.11枪案的车速,驱车79公里,赶到了T市。
这是一个县级小市,省厅专家的到达顿时惊动了T市领导,驱车来欢迎,领导同志长篇累牍的愤怒声讨敢于攻击政府网络的犯罪行为、自己如何重视网络安全、自己的机器从来没有感染病毒云云,罗徐二人心急火燎、处于礼貌耐着性子听了三分钟,说赶紧让我们干活。这才到达现场,只见机柜上,灯光狂闪,徐晓天找了台汇聚层一台交换机做了镜像,开始抓包。发现了大量、密集多种攻击包。
“是有攻击,不过目标不是这里,是外省一个地址,嗯,应该是一个游戏公司的服务器”
县里的信息主管略通技术,对省厅专家的说法也有点怀疑“攻击外省,怎么我们上不了网了呢”。
徐晓天没有时间解释,直接问,机房里设备的拓扑图给我一份,地区政府的信息主管说,没有拓扑图,拓扑图在搞集成公司手里。
徐晓天转了一圈,找到了核心路由器,然后要手册和密码,信息主管说,也都在搞集成公司手里。
罗方气得要骂娘。
徐晓天没有言语,在本子上运行了Cisco Works,用默认口令private,连了上去,观察了半天。对罗方说,你看,是因为开了这个异常包过滤的功能,导致攻击包都堆在这里,发不出去,但把这个设备拖死了。如果把这个开关打开,应该整个网络可以初步恢复可用。至于下面的攻击源,我估计至少有40几台,如果不能从上面处理,而下去处理,只能一个一个去杀或者拔线了。
罗方说,那就把这开关关上呗。
“但关上了,流量压力可就打到那边去了”
罗方从窗口看看政府门口聚集不散的老人们说,那不过是些流量压力,咱这边可是真正的人肉压力。
徐晓天一咬牙,关闭了异常包过滤功能,攻击包如同憋了很久的潮水,迅速的涌出,交换机的性能如同回光返照一样开始复苏,T市的网络依然缓慢,但已经可用了。
罗方打电话给袁潮汇报处理进度,一会儿又接到电话,他笑着对徐晓天说,“那个公司今早已经在“Y省报案了,说被全国人民给DDoS了,看来也不差咱这点流量。”
连锁反应候发生了,网络恢复了,等着复检养老保险的老人们不放心,就怕自己的体己养老钱没了,纷纷到柜面查余额。轮到一王姓老头时,办理业务的人突然傻了,老人帐户里有129万,这显然是不可能的,除非老头已经活了几百岁,于是报警了。
来到现场的,还是正在各个感染终端处寻找线索的罗方和徐晓天。
后来的故事大家都知道了,徐晓天指着那本《黑客今晚速成》说,就是它。
徐晓天没有放弃劝说,现在是上班时间,你们使用率不高,现在的终端数一定能抗住,随着我们实施其它处置策略,正好到高峰开始之时处置完成,这不是很好一个时间差么?
老廖继续拒绝,徐晓天继续劝说。
罗方右眼皮突然又跳了一下,从应急处置的角度,徐晓天的策略没有问题,但这将意味最宝贵的追踪嫌疑人的黄金时间将耗费在与染毒机器的斗争上,但这并不是公安的本质工作呀。公安的目标并不是肆虐在用户机器上那一个个疯狂的发送数据封包的僵尸程序,而是幕后那个控制者,那个把他们搞得手忙脚乱的、不知道是何方妖孽的嫌疑人。
罗方想起了自己上公安大学时的一次活动,主持的王淑贤教授问同学们一个问题,“如果深夜遇到罪犯杀伤了一名群众,是该先追击罪犯,还是先抢救群众”,学生们分成两派,一派认为必须先抢救群众,对罪犯来说,法网恢恢疏而不漏,不是不报,时机未到,但如果群不及时抢救就可能送命;另一派则认为,必须抓捕罪犯,因为如果不及时抓住他,他会伤害更多无辜群众。最后让王教授裁决,王教授说,“我也是个人观点,如过可能的话,电告120救人,自己抓捕罪犯。救人不是公安的的职能,也不是公安所长,抓捕罪犯才是公安的天职。”
罗方刚想打断徐晓天的预案,突然又发现毛病并不出现在徐晓天这里,他想起了袁潮那十二个字的要求“查清问题、处置隐患、找到源头”,但袁潮也只是转述者,这是部里的要求呀。罗方心里在想就这么几个人、几条枪,怎么可能同时做好三个事情呢?
罗方突然发现自己又找到问题的新的所在,这是因为当前案件并不是已经结束,可以说是犯罪行为进行中,这就面临一个降低罪案后果和抓捕嫌疑人的悖论了,如果现在是一场纵火案,自己到了现场,火还在烧,自己是该救火还是先找纵火犯呢?罗方越想越糊涂了。但无论如何,现在最宝贵的是时间。
罗方打断了徐晓天和老廖的争论,他把目光转向G省电信的工程师吴光涛,吴工,你们是不是能支援廖总他们一台高速防火墙或者骨干路由器?比如用你们的备机。
“这个需要请示总公司。恐怕一天之内都不会有结果。”
徐晓天突然说,吴工,我要一台设备,你一定做的了主。
“什么设备”
“3个月前,华为有一台最新型号的骨干网路由器,拿到你们那儿做测试,测试完成后,华为测试人员本来搬到驻地要运回去,后来接到总公司通知,要年底换一个更大背板再测一次。因此这台路由器就留下了。”
吴光涛心说,怨不得罗方说徐晓天是超级鬼才,真鬼
“目前这台设备,不在你机房,而是在电信宾馆前台寄存,这样连出门条都不用打,对吧”
吴光涛更惊诧的看了看徐晓天,这人怎么都知道
吴光涛不知道,华为测试小组的带队工程师是徐晓天的本科的同学,而且正好徐晓天他们教研室正在给华为做一个大流量测试的课题,所以,徐晓天才知根知底。
吴光涛想了想说,我这边没有问题,不过华为能同意么?
徐晓天没有说话,继续微笑着看着吴光涛,仿佛在等着什么事情发生。
突然吴光涛的手机响了。不知道那边说了什么,只听吴光涛说,你们的意思是希望正好拿到这种特殊环境下测试一下是吧,没问题。正在讨论这个事情。
罗方意识到,这是华为方面的电话。
吴光涛说,博士,你什么时候想到的主意,又怎么和华为联系的。
“就在你说要请示总部的时候”,徐晓天指指笔记本上突出来的一块PCMCIA卡说,“我今天忘带手机了,只好用GPRS卡发个短信给我同学”
吴光涛想起了什么,他提醒徐晓天,测试设备有的功能没有开放,还有的功能可能不完善,另外可能测试期过了,会有些功能自锁了。
徐晓天说,也只能死马当活马用了,吴工,你熟悉设备,只能麻烦你帮到现场配一下了。
吴光涛点点头,他还是愿意帮助徐晓天的,他曾经帮自己处置过几次网络攻击,欠他的情,正好还一下。
罗方偷偷看了一眼徐晓天,目光如炬,神采依然,并无“不自信”状,袁厅长是不是因为刚升职就出事,所以心理压力大了,担心过多了呢。
罗方对其他几个电信的工程师道声辛苦,希望加强监控,有问题尽快联系。然后调了车和一个人,跟着吴光涛去取路由器,并给电信的总工何进打了一个电话,说明要占用吴光涛大概一天的时间。廖斯达带着王亮也要走,罗方让老廖再留一下,老廖让王亮回去准备做核心交换机切换。
突然,徐晓天想起了什么事情,低声对罗方说,那个病毒的互斥量名字,我觉得有点怪,你看能不能让善于分析密文的同事帮我分析一下。
“哇”罗方叫了一声,然后低声应答“袁厅已经安排了”。
罗方想,神鬼之间还是心意相通啊。
一切仿佛井井有条,分秒必争,一群人正在向终点线奔跑,但他们越过终点时会不会发现,那里根本没有一条拉起的红线。