黑客.子时PK(六)僵尸网络
作者 烟儿(girlyanr@gmail.com)
声明:《黑客.子时PK》系本人习作,故事纯属虚构;雷同实属巧合。作者保留对作品的所有权利。如需联系转载、刊登、出版,请通过创意安天BBS站内消息或邮件与本人联系。
更新时间:每周一、五两天固定更新,其他时间不定时更新。
(转载请保持内容完整,并包含上述信息)
关于:僵尸网络。
僵尸网络是分布在大量节点上能够被统一控制的病毒程序。在分析过程中,把握其控制方式和行为目的往往是关键中的关键。——《计算机犯罪取证学》
如果只是把僵尸网络当称刷流量的肉鸡,僵尸网络就是一个僵死的体系;但如果你觉得他们有生命,他们是你旗下不死的军团。——《黑语录》
2005年9月1日上午8时10分,天眼世界。
48小时没睡,衣着脏兮兮的徐晓天在警车上终于睡着了,尽管只有短短一段车程,但他还是睡着了。在徐晓天身边,坐着的是警服干净笔挺的G省公安厅某处案件科科长李涛涛,他非常专心的在看手上的一摞报告,并不管旁边的徐晓天已经发出了打鼾的声音。而听见鼾声,做在副驾驶位置上同样警服笔挺的某处副处长罗方则扭头紧张的看了他一眼。
“003呼叫019” 对讲机响了。
“019收到”
“我是李东莱,小罗,袁厅问你们还有多久到”
“请报告袁厅,人我5分钟后就会带到”罗方又看了一眼徐晓天,他还在酣睡,丝毫不受对讲机声音的打扰。
公安厅指挥中心2室,座在角落里的G省公安厅某处行动科科长李东莱放下对讲机,看看座在正中的副厅长袁潮。
袁潮面无表情,专注的注目对面的墙壁。
在他面前的墙上,镶嵌有4个巨大的显示器,其中3个显示着不同风格的世界地图,但无论是哪一幅世界地图上,中国的位置都涂的深红深红,而右下角的显示器则显示着一张中国地图,在中国地图上,他治下的G省红的发紫。这代表着,一种严重的计算机病毒正在感染蔓延。而若干条黑线从G省发出,汇聚到美国加州的某个点,这代表着一场大规模的DDoS、即分布式拒绝服务攻击。
三天前,他刚从某处处长晋升为主管技术的副厅长,而他的特殊的晋级仪式就这样接踵而至了。
但他的难题不止于此,四个小时前,北京时间的凌晨,BBS、CNN都开始借这次攻击事件抹黑中国,炒作所谓中国官方黑客攻击了美国司法取证中心的网站,导致网站停止运转。而且报道都借助了某国外反病毒公司的疫情分布图和数据,说90%以上的攻击流量都来自中国的G省,中方动用了约100万台机器同时攻击云云。
美方已经通过外交手段抗议,并转发了函件过来,有关资料连同部里的督察通告,就摆在他面前的桌上。
他皱了皱眉,但瞬间又舒展开了,仿佛只是被蜻蜓偶尔点过的平静的水面。因为门打开了。
“报告袁厅,嫌犯带到”
“嫌犯”徐晓天没有带手铐,这只是爱将罗方想逗袁厅长开心的一个玩笑。
但无论袁潮还是徐晓天,都没有笑。
徐晓天带有那种鲜明的工科毕业生特点,灰头土脸,眼睛近视,不英俊、不潇洒、身材中档,衣衫不洁,面庞憔悴,看起来就像一个套着脏T恤的稻草人,把他放在大学从教学楼奔向食堂穿流的人潮中,就会悄然无迹,但在只要迈进T省公安厅大门,他就不再是一个可以悄然无迹的人。G省公安厅针对不是警察的关系单位人员只发放过13张可以24小时出入省厅办公楼的通行证,徐晓天的编号是007。那是2004年,T省公安厅为了增加技术力量,外聘了13名电子、机械、化工等各专业的专家学者作为社会专家组,当时12位中老年专家一齐看着这位只有20多岁,没有高级职称的年轻人,但没有任何人敢有任何质疑,7.19命案、3.11枪案两个部督案件的破获确定了这个年轻人在G省涉计算机犯罪取证勘查界的不可取代的地位。
“袁处,病毒样本我已经做了分析…..”徐晓天不待袁潮让座,也不管其他随行的警察,自己一边拉开一把椅子,在袁朝对面坐下来,一边开始描述自己的分析情况。
“叫袁厅….”罗方赶紧从背后捅了徐晓天一下,轻声说道。
袁潮严厉的看了罗方一眼,示意他不要打断。
“看起来这是一个botnet的样本”李涛涛赶紧走过去,把手里那摞纸铺开放在袁潮面前,那就是徐晓天已经打印出来的样本分析报告。袁潮没有看报告,继续询问徐晓天。
“botnet?机器人网?是自动化的病毒?”
“也可以这样说,我们一般称为僵尸网络,就是感染后接受统一控制的一些程序,组成的一个网络体系,目前可以确定的是,这个病毒攻击的目标只有一个就是位于加州的一个叫War Patch III的网络游戏的主服务器,而目前控制地址的IP解析,也是指向了美国。”
“徐博士,你怎么判断出攻击目标是这个网络游戏的?”
“简单的说,不仅被攻击的IP地址是这个网游服务器,而且这个病毒根据指令发出两种攻击包也很很有特点,分别是目标为TCP 2390和UDP 6977的密集的数据包,TCP包是模拟游戏登陆过程,而UDP包是模拟游戏人物与服务器的指令交互,但都能达到严重的干扰游戏服务运行的结果”。
袁潮觉得自己似乎没有完全听懂,他低头看了扫了一遍桌上的报告,想要找到更多的数据支撑,报告中充满了逻辑图和反汇编代码。尽管他是通信出身的老公安,但他的专业是无线电,知识的背景决定了他并不能直接对位到徐晓天描述的细节,但凭借一个技术公安的本能,脑海里他已经开始浮现出数万计算机,在统一操控下,用一个一个数据帧饱和远端一台服务器的场景。他指了指徐晓天的背后。
徐晓天这才注意到4个显示器上的图案。
“我们有了病毒疫情GIS么?”徐晓天有点惊喜地说。
“不是,都只是图片,从四家境外反病毒公司网站上截取的”
徐晓天眯缝了一下眼睛,才发现图片风格似曾相识,图片上还有浅浅的厂商水印。
袁潮继续问“这个病毒是不是境内有人做的呢?”
“关于病毒源于境内的说法,目前看确实有可能,从可执行程序内嵌的编译号来看,是一套广泛在境内流传的盗版VC,不过程序的字符集是英文的,也没有发现中文信息”
袁潮把目光转向了在一个角落里坐着的李东莱,李东莱用极快的语速介绍到
“境外几个小时前大量报道,说中国百万台机器攻击美国司法中心网站,目前我们分别收到了上级转来的美国官方和民间CERT的函件,以及美方的外交抗议。目前感觉外交上压力都很大”
“这纯属污蔑,有关消息今早罗处在电话里和我说了,我沿着路由分析了一下,实际的情况是,因为美国司法取证中心的网站与War Patch III的服务器托管在同一个ICP,从路由上看,ICP出口有一台CISCO PIX防火墙,我初步判断是TCP攻击饱和了PIX的连接数,我觉得防火墙处理停滞,可能是导致美方网络中断的原因”
“就是说,实际上美国司法取证中心的网站并不是本次攻击的目标,只是殃及池鱼,是么?”袁潮有些急切的问。
“是这样的,从trace到的路由节点的观测来看美方应该是在北京时间今早7点50分撤掉了这台防火墙,目前外界对美国司法取证中心的网站访问已经没有什么影响了。”
袁潮没有回答,他闭上眼睛,沉默了几秒钟,仿佛在闭目养神,然后环视了一下房间中的几个人,最后又把目光落回到徐晓天的脸上。
“查清问题、处置隐患、找到源头” 袁潮低沉的说“徐博士,能做到么”
袁潮敏锐地发现,在说到“找到源头”时,徐晓天的眉头收了一下,然后似乎吸了口气,才说,“我一定尽力”
“报告”
“进来”
一个魁梧的警察,快步推门进来,是袁潮的秘书兼司机韩平阳。
“报告袁厅,今早7:30分开始,我们根据徐博士提供的包的特点,要求我省各ISP据此协查,现在结果已经反馈过来,中国电信、中国移动、中国网通、中国联通等均反馈没有观测到,而福星宽带则反馈其网络流量70%都是符合相关特征的数据包,福星宽带派来报案的负责人和工程师也已经到了,我们同时也请了其它几家电信的工程师来协助支持”
“他们,人在哪里?”
“就在门外”
袁潮看了一眼韩平阳,表情有些不满“小韩,你先把人安排到4号会议室,我们先讨论一下。”韩平阳敬礼退出。
袁潮问罗方:“福星宽带有多少用户,罗方说, 7万注册用户,都是宽带拨号,平时最高同时不超过2万”
李东莱嘟囔着说,全省网络小区宽带和AD接入用户总数不过80万,平时同时上线,峰值不过55万,就算全省都感染了,哪来的100万。
袁潮没有理李东莱的话,直接对李东莱下达了指令:“不能根据几大电信的反馈就认为他们都没出问题,应该都进入现场去采集数据。东莱,你赶紧同时分头派人去四大电信。”
李东莱说“是”,起身就走。
袁潮突然又问:“听说上个月那个案子,你背了一台台式机去抓包?”
李东莱“我们科4个人,分头去四大电信,全科只有两台笔记本,我和小杜分别背着台式机去的”
袁潮皱了皱眉“赶紧找张秘书,去我办公室把桌上本子拿走,昨天刚配给我,里面没有任何涉密信息”
李东莱感觉有点为难,但看到袁潮眼睛一沉,立即说声是,快步走出去了。
袁潮继续问徐晓天“如果确实攻击包都是从福星宽带发出的,那又是什么结论呢”
“一种可能是这个病毒是确实是按照IP地址定向传播的,这个我觉得可能性比较小,福星的宽带拨号程序实际相当于构成了一个虚拟网关,从外部是不暴露端口的,这样扫描的病毒其实很难传播上去。而且如果昨天发给我的样本是孤立的,没有其它配套的组件,就说明这个病毒没有主动传播能力。那么就有几种情况,一个是普遍感染,但本次攻击者只调度了部分感染节点发起攻击,调度条件可能是感染节点所在的IP范围;第二个是确实就只感染了福星宽带的系统,那么就要找到福星宽带的用户共性,以确立感染原因。”
罗方突然插话:“如果是这样,有没有福星宽带网管人员或者内部作案的可能”
徐晓天说“仅仅就目前情况无法排除”
袁潮把报告都递还给了李涛涛,“小李,你先带徐博士去一下四号会议室,让他和几个电信的技术负责人先讨论处置和防护问题。然后把现在的资料整理一下,争取10点前做一次上报。”
徐晓天站起来,准备跟李涛涛离去,突然想想起什么,变得有些腼腆的说,袁厅,我博士没有毕业,您以后能叫我小徐么?
袁潮不置可否,摆了摆手,示意徐晓天赶紧跟李涛涛走,徐晓天点头而去。
罗方也要跟出去,被袁潮叫住了?
“小罗,你觉得这次有多大把握”
“应该没什么问题吧,博士没失手过呀”
袁潮轻轻的摇头说“这次他不够自信”
4号会议室距离2号会议室只有30米远,徐晓天感觉走的很沉重。他停下来,做了一次深呼吸,他依然感到隐隐的慌乱。
他拐进了卫生间,洗了把脸,让自己清醒一下,然后对着镜子看了一眼自己乱发下满是水珠的脸,他打了一个寒颤,因为他看到镜子里仿佛还有一个幽深的世界,而自己的对手就会从镜子里走出来。