闷油瓶刚要回答,他眼前的屏幕突然跳出了提示,是串看不懂的字母,我刚想细看,就听他道:“开始了。”
我大略扫了一眼闷油瓶打开的界面,明白那应该是个信息包的返回解析。这么说来,闷油瓶用的是精简过的伪装,是最快速也最容易被防火墙发现的方式。
程序返回给他的目的地址,我刚刚才在自己的堡垒主机上看过——几分钟而已,闷油瓶的伪装包已经冲到我“家门口”了,下一步就是拆解。
我又一惊:这么快?他用的到底是什么工具?我对攻击类的源码都很熟悉,这种只求极限速度和不怕暴露自己的工具,却从来没见过。
他用的绝对不是主流代码,只讲求攻击不考虑后路的方式也太野蛮了,极容易被发现破绽。
看来这闷油瓶一味求强,根本不怕正面交锋,对自己的水平相当自信。
我当然也不是吃素的,赶紧回身调了界面补救,力图在他真的放伪装包进来之前堵住他的攻击。
原有的解析地址过滤方法太简陋,很多地方都是单纯在靠检查的“数量”在支撑,牺牲了硬件的资源利用率。其实有很多方式可以让软硬件的配合更加经济,只要略加调整,同一段代码就能焕发新生。
我自认为擅长大范围的统筹规划,马上改良了几个部分,滤过率果然提高了10。
我知道这滤掉的肯定大部分是闷油瓶的无效攻击,不免有些得意,忙分心偷看闷油瓶的屏幕。
第四章 延迟
一看我差点吓掉了下巴,闷油瓶没把精力全放在虚拟地址伪装包上,而是另开了个程序,正在解析整个机房所有主机的物理地址。
物理地址跟虚拟地址不一样,这东西每台机器只有一个,自出厂就是独一无二的,不可能因为解析方法不同而出现差别,因此一旦伪装物理地址成功,包含它的信息包就和真实内部通信的信息包一模一样,任何过滤器都不可能发现差别。
如果说伪装虚拟地址是造假通行证,替换物理地址就是易容成内部人员了。
够狠!我心里骂道,解析物理地址是很碰运气的事情,误差率时高时低,谁也不能说能十拿九稳。从杂乱无章的无意义数据中一眼看出关键点,再推导出本身就是随机数组合的物理地址,这已经不是人类大脑能“学会”的知识了,我几乎没有使用过这种技术。
但我也不是完全没有办法防御这种攻击,兵贵神速,只能靠“快”。
我偷窥到了闷油瓶的攻击方式,防守反应速度自然提升了一个数量级。当下也没有别的好办法,就开始疯狂敲代码,把本地网络中的通讯协议编码挨个变换成只有我能看懂的形式,尽可能地加大闷油瓶“猜测”的难度,在他得到确切地址之前把他“赶”出去。
这是个笨办法,但这种越基础越猥琐的办法,就越有效,跟街头流氓打架一个道理。
两厢对耗,时间飞逝,开始我还不时看一眼闷油瓶的屏幕,后来完全顾不上了,脑子里想到什么就补什么,完全凭意识在做,居然比考试还累。
一个半小时之后,我也受够了来回切换窗口,学闷油瓶开了四台电脑,用不同的方式针对性防守和监控。
不是我怂,四台真的已经是我精力的极限,那闷油瓶子狠起来不是人啊!
盯久了屏幕眼睛都酸疼了,我知道自己快要顶不住了,闷油瓶的攻击却还看不出一点要减弱的意思。我十分焦急,心说必须换个办法。
行内有个不成文的说法,防止“盗窃”思想有三:第一,找不到;第二,打不开;第三,拿不走。
目前这系统自身有弱点,我也没有那么变态的脑子和手速,第一和第二点恐怕修补不了,只能从最后一点上动动歪脑筋。
“拿不走”并不是真的带不走数据,而是无法逃避系统追踪。网络世界不存在物理距离,你拿走了东西却留下了可追踪的线索,抓你归案或者叫运营商封你ip就是分分钟的事情,跟没偷到手是一样的。
这种情况,最好用的是什么,我心中有数。
追踪嗅探器,这是十分下三滥的手段,说白了,是个黑客技术而不是网络安全技术。我被闷油瓶逼得紧了,也就不管三七二十一了。
这一类程序的英文名字叫sr,我喜欢管它叫狗鼻子。只要把狗鼻子放在闷油瓶要“盗取”的数据中隐藏起来,等到该段信息被提取的时候,就会自动触发返回程序——狗鼻子自己跑回来,自然能告诉我攻方的信息,类似用狼狗追小偷。
我用另一台非核心机造起了当前环境适用的狗鼻子,一分心就顾不上别的了,安全系统警报瞬间把我淹没。
我心里哀叹一声,索性放弃阻止闷油瓶,把重心都转移到构架后招和追踪上。
挖坑埋陷阱我十分擅长,不一会就有了狗鼻子的及时回报,我心中大喜。
那边闷油瓶突然“嗯?”了一声,似乎停止了操作。
我哪有空管他,继续补着后续代码。
按日志来推测,闷油瓶应该已经“偷”到一部分数据了,我尝试着用狗鼻子统计他的实际访问记录,以此来估计系统的整体“损失”。亡羊补牢,虽然你是非人类,我可还没放弃战斗。
“你写的?”闷油瓶突然拍了拍我,吓得我差点错按了键。
不知道什么时候这小子已经跑到我身边来了,我竟然一点都没有听到。
被人撞破用了“非常规