圖片來源@視覺中國

鈦媒體注：本文來自微信公眾號淺黑科技（ID:qianheikeji），作者：史中，鈦媒體經(jīng)授權(quán)發(fā)布。

人生而自由，卻無往不在枷鎖之中。

盧梭如是說。

偷襲珍珠港 

2018年12月24日，平安夜。

北京工體北路被各色車流堵得水泄不通。一墻之隔，大大小小夜店里音樂震耳欲聾。

追光透過氤氳霧氣，沒頭沒腦地撞在瘋狂扭動(dòng)腰肢的男女的鼻尖和胸口，仿佛這一年的過錯(cuò)和心傷，都被關(guān)在門外寒冷的街道上。人們暫時(shí)告別思考，眼前只剩下沸騰的舞池和背后那塊噴薄的大屏幕。

102號桌紅衣小姐姐，我就在你斜對面，注意你很久了，想請你喝一杯！

大屏幕上突然彈出碩大的字幕和圖片，角落里300秒倒計(jì)時(shí)開始閃動(dòng)。這句讓人荷爾蒙躁動(dòng)的表白將在屏幕上“霸屏”整整五分鐘。全場的目光透過無數(shù)晶瑩的酒瓶，瞬間射向紅衣姐姐，尖叫口哨聲如排浪涌動(dòng)。

美女姐姐朱唇漸啟，靈眸微動(dòng)。就在她眼眉重新抬起，望向前方的一瞬間，碩大的屏幕轟然暗下，音樂也隨之停止。只剩下現(xiàn)場的燈光還在不解風(fēng)情地瘋狂閃動(dòng)，仿佛一出動(dòng)人的戲劇突然被暗下了靜音鍵。

“砰！嘩啦——”一支酒瓶被猛然站起來的男人在桌上敲碎，滿地殘?jiān)?ldquo;我X！老子花了錢霸屏，你TMD屏幕滅了，是什么意思？！”

角落里人影隨即一片混亂，妝容精致的男女爭搶著遠(yuǎn)離“戰(zhàn)場”，保安火速飛奔過來。

我們把鏡頭拉遠(yuǎn)。此刻，中國的版圖已經(jīng)入夜，海浪拍打著太平洋幾千公里的海岸線，城市的燈火直沖天外。

南京幾家酒吧里，所有人正在全神貫注地盯著大屏幕，跟隨現(xiàn)場主持和音樂鼓點(diǎn)瘋狂搖著手機(jī)抽大獎(jiǎng)；深圳的西餐廳里，人們也舉著手機(jī)，跟隨者屏幕上的指引參加砸金蛋游戲。和北京的夜店分秒不差，他們面前的屏幕也霎時(shí)熄滅，人們面面相覷，一陣騷動(dòng)。。。

究竟發(fā)生了什么？

我們把地圖再微微撥動(dòng)一點(diǎn)，廣州一家高檔餐廳頂樓，劉敬元正坐在酒桌前，剛大口干掉一杯酒，甩開架勢跟坐在主位的大咖說：“你們是廣州最大的夜店連鎖，當(dāng)然要和那些“妖艷賤貨”夜店拉開差距！我們的“每屏秀秀”，可以用手機(jī)實(shí)時(shí)送禮物霸屏、打賞藝人、互動(dòng)點(diǎn)歌，還可以玩全場大游戲。北京南京深圳的夜店，上了這套系統(tǒng)，氣氛比以前嗨十倍，店內(nèi)流水也翻幾倍！你看，我給你演示一下！”

劉敬元?jiǎng)偺统鍪謾C(jī)，一聲“臥槽”從他嘴里擠出來。他眼前的景象像火山噴發(fā)一般——幾千個(gè)微信群里的客戶同時(shí)飆出來各種抱怨，恨不得彈到他的眼珠上。

你沒猜錯(cuò)。之前提到的夜店酒吧，全都用了同一款互動(dòng)娛樂系統(tǒng)，每屏秀秀。

就在2018年12月24日晚上，每屏秀秀的 CEO 劉敬元遠(yuǎn)赴廣州準(zhǔn)備拿下一個(gè)重要客戶時(shí)，無數(shù)暗黑的能量，沿著地下光纖和海底光纜，從地球的各個(gè)角落猛然涌向中國，不由分說地沖進(jìn)了這個(gè)爆款軟件的核心服務(wù)器。

如同和主腦失去了聯(lián)系的機(jī)甲戰(zhàn)士，幾千家酒吧夜店的屏幕，一瞬間同時(shí)熄火。

天上掉下來的一把鋼刀整落在劉敬元眼前，尖利的警報(bào)在他腦海里響起：“這不是演習(xí)，這是攻擊?。?！再說一遍，這不是演習(xí)，我們正在遭遇攻擊?。?！”

對面的老板攤開雙手，皺著眉頭看著定在原地雙目失神的劉敬元。劉敬元的汗順著額頭滴下來，他的腦海里只浮現(xiàn)出一個(gè)字：“戰(zhàn)！”

鬼魅初現(xiàn)

出生于1981年的劉敬元思路縝密，荷爾蒙爆棚。從懂事開始，他幾乎就是全北京夜店最靚的仔。

21世紀(jì)初，“給服務(wù)生50塊錢，讓他們把紙條上對隔壁妹子的表白打在酒吧大屏幕上”，就已經(jīng)是劉敬元的日常操作了。

憑著對夜店的熱愛，2016年，他拍胸脯忽悠幾個(gè)最好的哥們從各自的創(chuàng)業(yè)公司退股，加入他的隊(duì)伍。他的理由是：“夜店看起來是最潮的地方，但其實(shí)99.99%都是土嗨，沒有數(shù)字化的含量。我們用互聯(lián)網(wǎng)的玩法改造夜店，絕逼是殺入了一個(gè)藍(lán)海！”

劉敬元

這話基本沒錯(cuò)，海是挺藍(lán)，只是海水比他原本的想象深一萬倍。。。。

劉敬元第一次感知到黑暗中的對手，是在2017年8月。

那時(shí)，他的娛樂系統(tǒng)已經(jīng)在北京后海酒吧街流行開來，信心滿滿準(zhǔn)備沖出北京，走向全國。第一站，就是好朋友在廣西南寧開的酒吧。

需要說明一點(diǎn)，當(dāng)時(shí)全中國，大概有30多個(gè)公司都進(jìn)入了“酒吧娛樂系統(tǒng)”這片藍(lán)海，劉敬元也并不是最早的一個(gè)。最初這些公司就像古代歐亞大陸上的文明那樣獨(dú)立發(fā)展，井水不犯河水。然而從2017年起，這個(gè)小眾行業(yè)里的公司們開始了“大航海時(shí)代”，伴隨對地圖上各個(gè)城市的占領(lǐng)，公司之間在商業(yè)上的纏斗也隨之展開。

在酒吧里，每屏秀秀大概就是這樣

事實(shí)上，每屏秀秀進(jìn)入南寧這家酒吧，就是替代了競爭對手C公司的產(chǎn)品。

所有人滿心歡喜期待試運(yùn)行的那天，結(jié)果，怪事發(fā)生了。

當(dāng)晚九點(diǎn)，酒吧營業(yè)，現(xiàn)場觀眾開始饒有興趣地參與大屏幕上的互動(dòng)游戲。但是無論顧客怎么掃碼，就是進(jìn)不去每屏秀秀的 H5 頁面，氣氛突然尷尬。

當(dāng)時(shí)有人拍下了自己的手機(jī)

酒吧老板當(dāng)時(shí)就給劉敬元打電話吐槽：“你這東西太不靠譜啦！關(guān)鍵時(shí)刻掉鏈子，好哥們難道是用來坑的嗎。。。”劉敬元也一腦門官司——怪事！以前沒出現(xiàn)過服務(wù)器不穩(wěn)定的情況呀。。。

他趕緊讓公司技術(shù)負(fù)責(zé)人昆倫檢查，這下發(fā)現(xiàn)了不得的事情：每屏秀秀在云上的主服務(wù)器遭遇了 DDoS 攻擊。而服務(wù)器是服務(wù)所有客戶的。也就是說，別說是南寧，包括北京后海在內(nèi)所有用戶的酒吧互動(dòng)系統(tǒng)都同時(shí)掛了。。。

“啥叫 DDoS？”做市場出身的劉敬元第一次聽說這個(gè)“生詞”，一臉懵逼。

這里中哥插入一下，給小白淺友做個(gè)科普：DDoS 是一種非常常見的黑客攻擊手法，意思是用大量的流量請求堵死服務(wù)器，讓你沒辦法正常提供服務(wù)。

舉個(gè)栗子：如果你把每屏秀秀比作一家銅鑼燒店，DDoS 攻擊就像是壞人雇了成千上萬人堵在商店門口。真正想吃銅鑼燒的人連商店的們都擠不進(jìn)去。。。

大概就是醬紫

情況危急，昆倫趕緊想應(yīng)對方法。

每屏秀秀租用的是中國一家知名云計(jì)算廠商的云服務(wù)器。昆倫想起來，這家云計(jì)算廠商有一個(gè)300G以下 DDoS 防御的優(yōu)惠套餐。他評估了一下，目前自己被打的帶寬大概是兩百多G，估計(jì)能抗住。于是趕緊購買套餐，打開防御開關(guān)。

然鵝，黑暗中的那個(gè)人，仿佛《電鋸驚魂》里的“面具男”一樣注視著昆倫的一舉一動(dòng)，就在他開啟防御的兩分鐘后，攻擊能量瞬間提高到了350G。。。

根據(jù)云計(jì)算廠商的規(guī)定，超過300G的攻擊，如果不追加購買昂貴的額外抗DDoS服務(wù)，就要被拉入“黑洞”——斷開服務(wù)對外所有連接，任何人都無法訪問。

每屏秀秀就這樣進(jìn)了“小黑屋”，徹底宕機(jī)，躺尸了一晚上。

這一場“飛來橫禍”，讓劉敬元不僅脆生生地告別了南寧市場，還得挨個(gè)給北京的酒吧老板道歉。公司當(dāng)天的防護(hù)費(fèi)用加上給酒吧們的賠款，總共損失了二十多萬。這對一家創(chuàng)業(yè)公司來說，已經(jīng)不是小數(shù)目了。

這是劉敬元手機(jī)里的客戶群

劉敬元是個(gè)快意恩仇的北京爺們，“吃啞巴虧”從來都不是他的生活選項(xiàng)。他就想弄明白，究竟是誰在用這么騷的陰招搞自己。

他第一個(gè)想到的是求助于云廠商的安全隊(duì)伍來手動(dòng)溯源，對方說，溯源可以，不過費(fèi)用在50-100w之間，不保證找得到。

他看看公司的錢袋子，瞬間冷靜了下來。。。

跟圈內(nèi)朋友打聽了一遍，他拼湊起來一個(gè)駭人聽聞的傳言：

正是他替代的那家對手C公司，慣用這種非法手段攻擊異己。更驚悚的是，已經(jīng)有幾家同類小公司死于網(wǎng)絡(luò)攻擊的亂棍之下了。。。

劉敬元嘴張得老大，難道商業(yè)競爭還能這么玩？

如果是真的，這可是犯罪?。∥疫M(jìn)軍南寧一個(gè)酒吧，就值得對手用這么高的成本攻擊我，那說明這里面得有多大的商業(yè)機(jī)會??！當(dāng)時(shí)我就鐵了心，就算賣房賣車，也要把每屏秀秀搞下去！

劉敬元挑挑眉毛，對我說。

有趣又奇怪的是，那次攻擊后一天、一星期、一個(gè)月，每屏秀秀并沒有遭遇到新的攻擊。一切平靜得像冬天的海岸。仿佛那晚的暴擊是一場噩夢，醒來之后就消散得無影無蹤。

時(shí)間就這么過去了大半年。到了2018年秋天，每屏秀秀已經(jīng)火速拿了兩輪融資，業(yè)務(wù)拓展到全國一百多個(gè)城市幾千家酒吧夜店，基本占到了整個(gè)中國市場的半壁江山，服務(wù)都一切正常。同事們也漸漸淡忘了那晚的攻擊。

但是劉敬元心里隱隱覺得，有些東西還沒畫上句號。

去年那場攻擊到底是不是競爭對手干的？

為什么從那以后，對方就像鬼魅一樣神秘地消失在黑暗里了？

它，還會回來嗎？

眼看冬天就要來了，圣誕節(jié)、元旦、春節(jié)像槍膛里一排子彈那么密，酒吧夜店行業(yè)將進(jìn)入一年一度的黃金季節(jié)。

劉敬元心里比誰都清楚，如果那個(gè)鬼魅再回來，自己仍然沒有招架之力。而這次一旦出問題，受牽連的可不是一年前那一百多家夜店，而是全國幾千家。本來在夜店喝酒的人多少都帶著情緒，會造成怎樣的社會問題，都是個(gè)未知數(shù)。。。

直覺告訴劉敬元，自己得主動(dòng)做點(diǎn)什么。

那天一次閑聊中，他把自己曾經(jīng)遭遇攻擊的事兒透露給要好的朋友，朋友想了想說，“你聽說過知道創(chuàng)宇嗎？”

兩條防線

劉敬元第一次見到劉月皓，就在北京。

他皺著眉頭，把去年被攻擊的遭遇，一五一十地講給對面這個(gè)小伙子。雖然他也不敢肯定，知道創(chuàng)宇這家號稱“黑客特種兵”的安全公司到底是不是像坊間傳聞一樣那么牛。

?？粗懈缥恼碌臏\友，一定對知道創(chuàng)宇這家公司有很深的印象。這里再給不熟悉的淺友介紹兩句：

知道創(chuàng)宇是中國一家調(diào)性奇特的網(wǎng)絡(luò)安全公司。如果把網(wǎng)絡(luò)安全的江湖比作一個(gè)青樓，那么知道創(chuàng)宇有點(diǎn)像賽金花——技術(shù)沒的說，但是有性格。對良人寬衣解帶，對惡人火力全開。兩條毛腿肩上扛，民族大義記心上。

知道創(chuàng)宇的創(chuàng)建者是中國第一代黑客趙偉，江湖人稱 ICBM，從年少時(shí)代開始，他的夢想就是“用技術(shù)保衛(wèi)世界”，如今他已經(jīng)是個(gè)中年老黑客，卻還在靠這個(gè)夢想帶領(lǐng)一千多兄弟姐妹們在網(wǎng)絡(luò)安全戰(zhàn)場殺進(jìn)殺出，氣氛非常熱血。

知道創(chuàng)宇的絕活之一，就是幫助用戶抵抗黑客攻擊。

而劉月皓作為項(xiàng)目經(jīng)理，正是負(fù)責(zé)對客戶的重大保衛(wèi)工作。

劉月皓

聽了劉敬元的描述，月皓心里大概有數(shù)了，這看上去是典型的帶有商業(yè)目的的網(wǎng)絡(luò)攻擊，自己曾經(jīng)帶隊(duì)打過很多次這樣的保衛(wèi)戰(zhàn)，已經(jīng)駕輕就熟。但這種攻擊通常在游戲行業(yè)常見，沒想到這世界變化快，戰(zhàn)火已經(jīng)燒到了夜店。。。

就在劉敬元和知道創(chuàng)宇接觸的那幾天，技術(shù)負(fù)責(zé)人昆倫才告訴他，自己已經(jīng)花錢在云計(jì)算廠商買了更貴的抗 DDoS 服務(wù)，似乎已經(jīng)沒必要再另外花一份錢做保衛(wèi)了。

劉敬元仔細(xì)想了一下，覺得心里還是打鼓，最好能把防線做成兩條，一個(gè)“PlanA”，一個(gè)“PlanB”。

“你看，我們已經(jīng)買了云廠商的安全服務(wù)，錢都花了，能不能把知道創(chuàng)宇的防護(hù)方案做成 PlanB，真能用到的話，到時(shí)候我們再談合作？”劉敬元試探性地商量。

“沒問題，我們的專家組隨時(shí)待命，如果有問題，你隨時(shí)切換到我們的防護(hù)系統(tǒng)。”說到底這畢竟是個(gè)商業(yè)合作，月皓沒有步步緊逼，倒是有點(diǎn)出乎意料。

一天后，月皓坐在自己的工位上，認(rèn)真思考著這個(gè)“案子”。他冥冥中感覺這件事不是那么簡單。

按照劉敬元的描述，對方的攻擊手段非常陰險(xiǎn)毒辣。

第一，攻擊者能根據(jù)對方的防護(hù)策略實(shí)時(shí)改變進(jìn)攻方式和強(qiáng)度，這么專業(yè)的操作，意味著他是個(gè)“黑客老手”。

第二，攻擊者能卡在每屏秀秀晚上最關(guān)鍵的時(shí)間點(diǎn)發(fā)起攻擊，說明他還同時(shí)是了解酒吧夜店行業(yè)規(guī)律的“行內(nèi)人”。

面對這樣狡猾專業(yè)的對手，云廠商的防御工事未必能百分百奏效。

月皓自言自語。

他點(diǎn)了點(diǎn)頭，打開同事小組的群聊對話框說：“兄弟們，圣誕節(jié)那幾天我們可能會有‘重大保衛(wèi)任務(wù)’，大家提前做好準(zhǔn)備。”

2018年12月22日。劉敬元坐在辦公室，盯著屏幕上的一條微信公眾號消息，皺起了眉頭。

因?yàn)橛蓙硪丫玫纳虡I(yè)摩擦，對手C公司的官方微信突然推送了一條消息，懷疑每屏秀秀在背后搞不正當(dāng)競爭，并且配了一張圖，上書一個(gè)大字：”戰(zhàn)“。

這篇推文后來被主動(dòng)刪除，這是截圖存證的打印件

”當(dāng)時(shí)我就有一種不祥的預(yù)感。。。“劉敬元對我說。

但畢竟人不能被自己嚇?biāo)馈Ｊ裁炊紱]發(fā)生，他還得按照既定日程，奔赴廣州去談客戶。

于是，便有了開頭一幕，2018年12月24日，劉敬元在酒桌上聊天正酣，背后的服務(wù)器猛然遭遇了史無前例的“偷襲珍珠港”。

PlanB

“偷襲珍珠港”發(fā)生時(shí)，每屏秀秀技術(shù)負(fù)責(zé)人昆倫在北京。

看到后臺服務(wù)掛了，他趕快召集同事們實(shí)施 PlanA——接入云計(jì)算廠商的防護(hù)系統(tǒng)。瞬間，DDoS 攻擊的流量被閘門大開的大壩像泄洪一樣放走了。但是怪事發(fā)生了：DDoS 的流量被清洗，但仍然沒有恢復(fù)服務(wù)。

那天晚上，酒吧老板們看到的界面一直是這樣

“一定還有什么原因，你趕快給我找出來！”電話這頭的劉敬元已經(jīng)很難淡定了。

為了拿到用戶第一手的體驗(yàn)，劉敬元作為 CEO，加入了幾千個(gè)客戶的微信群。那晚服務(wù)突然掛掉，幾千家客戶在群里的吐槽一瞬間涌出，讓劉敬元的手機(jī)瞬間死機(jī)；他甚至不敢想，如果這次攻擊持續(xù)下去，他將要付出多大的損失，他覺得自己的大腦也快死機(jī)了。

猛然間，他想起了月皓。

當(dāng)時(shí)，月皓正在參加知道創(chuàng)宇的年會。他一看是劉敬元打來的電話，心里猛地一沉，猜到了十有八九。

作戰(zhàn)小組馬上成立，小組成員分別地處北京和成都，遠(yuǎn)程溝通作戰(zhàn)，劉敬元、昆倫還有幾位技術(shù)同事都被拉進(jìn)了微信群，上一秒大家還在吃喝玩樂，這一秒“PlanB”就在沒有任何預(yù)熱的情況下，直接點(diǎn)火啟動(dòng)。

被攻擊的服務(wù)器第一時(shí)間連接知道創(chuàng)宇的防護(hù)系統(tǒng)。很快月皓團(tuán)隊(duì)就發(fā)現(xiàn)：除了 標(biāo)準(zhǔn)的 DDoS 攻擊，黑客還同時(shí)發(fā)動(dòng)了 CC 攻擊。

這里中哥還要插入一下，給你解釋一下神馬是 CC 攻擊。

CC 攻擊是 DDoS 攻擊的一個(gè)分支。還拿銅鑼燒店作比喻。DDoS 攻擊像是雇一堆人堵在門口，CC 攻擊就是雇一堆人站在柜臺面前，拉著售貨員要這要那，但就是不買，也不走。這導(dǎo)致售貨員的注意力被牽制，根本沒辦法服務(wù)正常用戶。

CC 攻擊大概就是這樣

由于 CC 攻擊涉及到對具體業(yè)務(wù)的進(jìn)攻，所以攻擊成本要比 DDoS 大?？磥韺κ诌@次是鐵了心要置劉敬元于死地。。。

這時(shí)，有趣的事情發(fā)生了。

CC 攻擊雖然厲害，但也有個(gè)弱點(diǎn)：攻擊者需要提前指定目標(biāo) IP，就像離弦的箭一樣，沒辦法中途改變方向。

所以在每屏秀秀跳到 PlanB 的防御工事背后，大量的 CC 攻擊流量仍然涌向 PlanA 防御工事的 IP 地址，撲了一個(gè)空。

顯然，對方在攻擊前做了充分的偵查，但并沒有料到劉敬元居然還藏了個(gè)后手。

經(jīng)過分析，CC攻擊占比超過86%。截圖來自知道創(chuàng)宇的報(bào)告

憑借著比對方多想了一步棋，此刻每屏秀秀的服務(wù)緩慢地拉起，全國幾千家夜店的互動(dòng)屏幕在黯淡了幾個(gè)小時(shí)以后，終于恢復(fù)了服務(wù)。

然而，服務(wù)在最高峰時(shí)期中斷幾個(gè)小時(shí)，已經(jīng)是“罪不可恕”了。客戶可沒有義務(wù)理解劉敬元，什么被攻擊，什么競爭對手從中作梗，我們才不信，也和我們沒關(guān)系。你的服務(wù)中斷了，你就要賠償我們的損失！我們就不想和你繼續(xù)合作了！

這是當(dāng)時(shí)各個(gè)客戶群里的吐槽

劉敬元看著昆倫發(fā)來的后臺數(shù)據(jù)——攻擊流量一浪接著一浪，根本沒有要停下來的架勢。知道創(chuàng)宇雖然今天扛住了，但明天還能不能扛得住，還是個(gè)未知數(shù)。他一夜沒睡，連夜安排兄弟們兵分三路：

一路由銷售負(fù)責(zé)人帶隊(duì)，給客戶一個(gè)個(gè)道歉，商量賠款事宜。

一路由技術(shù)負(fù)責(zé)人帶隊(duì)，和知道創(chuàng)宇一起商量接下來的應(yīng)對計(jì)劃。

一路由高管帶隊(duì)，負(fù)責(zé)收集證據(jù)，第二天趕快報(bào)告給警察叔叔。

而劉敬元自己，推掉余下行程，緊急買了25號的飛機(jī)回北京。

凌晨五點(diǎn)，最喧鬧的夜店也安靜了下來。暮光中，這一波攻擊能量終于緩緩下降。然而，所有人都知道，這暫時(shí)的喘息，只是因?yàn)楹诳陀X得沒必要在酒吧下班的時(shí)候還持續(xù)攻擊，到了今天晚上更猛烈的攻擊一定會卷土重來。。。

月皓最擔(dān)心的是：對手極其強(qiáng)大，肯定探測到了每屏秀秀已經(jīng)切換到了知道創(chuàng)宇的防御工事。這意味著昨天撲空的CC攻擊，今天一定會調(diào)整槍口，直接沖向知道創(chuàng)宇。

真正的考驗(yàn)才剛剛開始。

生死時(shí)速

25日晚上九點(diǎn)左右。

果然，第一發(fā)子彈“如約”撞向了知道創(chuàng)宇的護(hù)盾。

知道創(chuàng)宇十多位同事和每屏秀秀的三位同事馬上進(jìn)入戰(zhàn)爭狀態(tài)。意料之中，今天的對手果然比昨天強(qiáng)大了無數(shù)倍。

這里中哥還要科普一句。CC攻擊其實(shí)很難纏，就像大自然中的病毒，存在無數(shù)種“變種”。只有針對每個(gè)變種配置專門的“疫苗”（防護(hù)策略），才能保證殺滅這波攻擊。

你大概玩過塔防游戲。防御CC攻擊和塔防有點(diǎn)像。針對這一波怪物的特性，你所布置的防御陣型也需要調(diào)整。

但問題的關(guān)鍵在于：每調(diào)整一次配置防護(hù)策略，都需要1-2分鐘時(shí)間，所以理論上如果對手每兩分鐘都把CC攻擊做一次“變種”，防御策略剛調(diào)好，對手的攻擊方法就變了。。。那么防護(hù)策略就會一直處于跟不上節(jié)奏的無效狀態(tài)。

事實(shí)上，這件事情真的發(fā)生了。

對手準(zhǔn)備了無數(shù)種 CC 攻擊的變種，每兩分鐘切換一次。由于知道創(chuàng)宇不能直接進(jìn)入每屏秀秀的服務(wù)器查看攻擊的特征，需要昆倫他們手動(dòng)把特征提取出來，然后發(fā)給知道創(chuàng)宇，月皓這邊的工程師再配置策略。這個(gè)繁瑣的過程，會把策略配置所需的時(shí)間拉得更長。

這是當(dāng)時(shí)某個(gè)CC攻擊變種的態(tài)勢圖，來自知道創(chuàng)宇

每屏秀秀是一家創(chuàng)業(yè)公司，哪有配合特種兵打仗的經(jīng)驗(yàn)啊。。。他們動(dòng)作并不熟練。昆倫和兩個(gè)兄弟滿頭大汗，卻只能咬著牙堅(jiān)持，手指把鍵盤敲得砰砰響，卻不敢遲疑半秒鐘。雖然他們用盡了全力發(fā)送攻擊特征，仍然跟不上變種的速度。

當(dāng)時(shí)群里的對話，能感受到危急的氣氛：

然而， 正邪雙方就像兩輛正面剛的坦克，比的就是誰裝填彈藥的速度更快——手指慢半秒，就可能讓對方先于自己把炮彈發(fā)射出來。

這天晚上，酒吧的老板們感受到的就是：每屏秀秀在“抽風(fēng)”，好兩分鐘，掛兩分鐘，又好兩分鐘，又掛兩分鐘。。。脾氣暴的老板直接給劉敬元打電話，恨不得肉身過來找他打架。

“今天TMD 是圣誕節(jié)！你知道我們損失多少錢嗎？你們每屏秀秀一分不少地賠給我！”

“算我看錯(cuò)你們了，我明天就切換到你們對手的服務(wù)上去！”

劉敬元就這么一個(gè)電話一個(gè)電話地接，一個(gè)客戶一個(gè)客戶地賠笑臉。他不敢崩潰，他是 CEO，兄弟們都看著自己呢。

那時(shí)候真的覺得好孤獨(dú)。沒有人能體諒我有多難。

劉敬元苦笑著回憶。

這邊劉敬元苦苦支撐，那邊月皓能看到，自己填充彈藥的速度，已經(jīng)在緩慢而堅(jiān)定地追趕對手。

此時(shí)，已經(jīng)是25日深夜。酒吧最熱鬧的時(shí)間馬上就要過去。

就在知道創(chuàng)宇的裝彈速度正在一點(diǎn)點(diǎn)追趕對手的裝彈速度時(shí)，月皓突然發(fā)現(xiàn)，每屏秀秀突然從自己的防護(hù)中撤走了，又回到了 PlanA 的防護(hù)體系中。

原來，壓力巨大的劉敬元實(shí)在是頂不住了，他病急亂投醫(yī)，讓昆倫試著把防護(hù)又切回了云計(jì)算廠商之下。

一種難以名狀的情緒瞬間堵在月皓心口，他一把抓起電話打給劉敬元。

你知不知道這樣做很危險(xiǎn)！對方這么猛烈地攻擊，你卻從一個(gè)掩體跳到另一個(gè)掩體，在這個(gè)過程中，你們的真實(shí)IP有可能暴露，一旦暴露真實(shí)IP，防護(hù)的難度又會成倍增加！對手現(xiàn)在最希望看到的就是你崩潰，就是你失去信心。我們的防護(hù)策略調(diào)整速度已經(jīng)馬上要趕上對方變化的速度了！你的難處我能體會，但勝利在望的關(guān)鍵時(shí)刻，我們現(xiàn)在絕對不能互相猜疑。你要相信兄弟們??！

月皓顧不上什么客套，他的話像連珠炮一樣劈頭蓋臉沖擊著劉敬元的耳朵。

電話那頭的劉敬元沉默了好幾秒。他咬咬牙，跟昆倫說：“切回知道創(chuàng)宇。”

諾曼底

26日凌晨，東方漸白。

戰(zhàn)場上的局面進(jìn)入了非常微妙的階段：知道創(chuàng)宇策略調(diào)整的速度已經(jīng)和黑客攻擊方法調(diào)整的速度非常接近。

然而時(shí)間不等人，此刻夜店已經(jīng)又到了打烊的時(shí)候，黑客再一次鳴金收兵。

月皓給劉敬元打氣，告訴他戰(zhàn)爭即將勝利。另外，他給每屏秀秀提出了一個(gè)要求：追加十臺服務(wù)器。

為什么要追加十臺服務(wù)器呢？背后的邏輯是這樣的：

1、對方不斷變換CC攻擊的特征，知道創(chuàng)宇必須要一定的時(shí)間緩沖才能完成策略調(diào)整。

2、經(jīng)過一夜的磨合，知道創(chuàng)宇和每屏秀秀的溝通已經(jīng)逐漸順暢，每次策略調(diào)整的延遲已經(jīng)能壓縮在60秒左右。

3、每屏秀秀的服務(wù)器，只要能抗住對手變化攻擊策略的這60秒，就能給知道創(chuàng)宇的防護(hù)系統(tǒng)以足夠的戰(zhàn)略緩沖，在服務(wù)器快要滿負(fù)荷的時(shí)候，接入防護(hù)策略，保障服務(wù)不掛。就像一個(gè)人面對細(xì)菌入侵，只要自身的免疫系統(tǒng)能扛住最初一天病菌的攻擊，藥物就能利用這段寶貴的時(shí)間進(jìn)入體內(nèi)，直接殺滅病菌。

用月皓的話說，每屏秀秀當(dāng)時(shí)的服務(wù)器太少，資源很緊張。簡直就像“碰瓷的”，稍微一碰立刻撲街，特種兵搶救再快，也趕不上它撲街的速度。。。

劉敬元聽明白其中的道理，絲毫沒有猶豫，火速讓同事加上十臺服務(wù)器。

話分兩頭，一邊是知道創(chuàng)宇在死扛對手，另一邊報(bào)案的同事已經(jīng)把前因后果詳實(shí)的記錄和證據(jù)都交給了警察叔叔。北京昌平區(qū)的網(wǎng)安警察正式立案。

26日夜里，攻擊者毫不爽約，果然又回來了。

再厲害的編劇都難以想象，此處劇情發(fā)生了180度轉(zhuǎn)向。

由于增加了服務(wù)器，“戰(zhàn)略緩沖地帶”大大增加；而有了之前的磨合，知道創(chuàng)宇和每屏秀秀的團(tuán)隊(duì)在后方打出了神配合，任憑對手如何變換攻擊方式，防護(hù)系統(tǒng)都巋然不動(dòng)。每屏秀秀的服務(wù)一切如常。

暗夜無聲，全國用戶在各地的酒吧里霸屏嗨爆，恐怕沒人關(guān)心遠(yuǎn)在天邊的服務(wù)器里，正邪兩方在用繩命激戰(zhàn)。。。

如同一場酣暢淋漓的諾曼底登陸，戰(zhàn)爭終于進(jìn)入了反攻階段。騰出手來的知道創(chuàng)宇，一刻不停地開始實(shí)施“反攻大計(jì)”。

27日早晨，他們把每屏秀秀這幾天被攻擊的日志導(dǎo)入人工智能分析系統(tǒng)，一個(gè)驚人的結(jié)論馬上呈現(xiàn)出來：

總計(jì)幾十億次攻擊，來源并不是沒有規(guī)律，它們在固定的位置都包含一些特定的字符串，這些字符串總共只有十三種。

這說明，攻擊者是有跡可循的。

但是這些字符串是用戶在和每屏秀秀互動(dòng)的過程中加密過的，它們代表什么意思，只有每屏秀秀才能解密。

昆倫第一時(shí)間拿到了知道創(chuàng)宇給過來的這些字符串，用自家秘鑰解密之后，他驚呆了。。。

由于黑客攻擊了每屏秀秀的 H5 頁面，這種攻擊要求首先用某個(gè)微信授權(quán)登陸進(jìn)去才能拿到H5頁面的網(wǎng)址，而這些字符串恰好代表的就是攻擊者登錄每屏秀秀服務(wù)所使用的微信ID和頭像。

對手也許是太著急，也許是技術(shù)不精，黑客在這一步并沒隱蔽自己，露出了重大破綻。昆倫趕快從數(shù)據(jù)庫中調(diào)取出這十三個(gè)用戶的頭像和ID。

這是頭像和ID的部分截圖，避免不必要的信息泄露，這里我把圖片模糊了

劉敬元看著這些頭像，一拳差點(diǎn)把桌子錘碎。

其中一個(gè)頭像他太熟悉了，就是C公司的一位高管。

再根據(jù)這些頭像登錄時(shí)的 IP 記錄進(jìn)行查詢，地址瞬間被定位到成都某大廈，這個(gè)位置劉敬元也太熟悉了，正是C公司辦公室所在地。

劉敬元把牙咬得嘎嘎響，立刻把這些頭像和地址信息的“新發(fā)現(xiàn)”同步給網(wǎng)安部門，警察叔叔看到這些證據(jù)，露出了欣慰的笑容。。。

收網(wǎng)

2018年12月29日，黑客仍在瘋狂地攻擊，只是每屏秀秀的服務(wù)一切如常，用戶感知不到了。

此時(shí)，劉敬元已經(jīng)被警察叔叔叫去配合固定證據(jù)。在證據(jù)保全機(jī)構(gòu)，一條條日志被下載存儲起來作為將來的呈堂證供。

警察叔叔告訴他，由于對嫌疑人的證據(jù)固定需要非常嚴(yán)謹(jǐn)，所以收網(wǎng)的時(shí)間并不會像他想象得那么快。所以為了不打草驚蛇，劉敬元還要裝作什么都沒發(fā)生，跟之前一樣，和黑客在線上死磕。

正是在這一天，有客戶突然打來電話，氣勢洶洶地投訴：“你們給我結(jié)算的流水，和我當(dāng)天看到的不一樣啊！你們是不是在后臺偷偷改了數(shù)據(jù)庫？”

納尼？劉敬元又一臉懵逼。昆倫仔細(xì)查看了數(shù)據(jù)庫，發(fā)現(xiàn)居然有黑客摸進(jìn)了每屏秀秀的后臺系統(tǒng)，一條條地刪改記錄。。。

在知道創(chuàng)宇的幫助下，很快情況就摸清了。黑客久攻不下，居然換了一條路，用修改數(shù)據(jù)庫的方法，企圖挑撥用戶矛盾。

劉敬元大喝一聲：給我把漏洞封堵?。?/p>

沒想到警察叔叔卻按住他的肩膀：“冷靜，讓子彈飛一會兒，這些證據(jù)我們也要固定。”

“好！”劉敬元含淚答應(yīng)。他們就這么死扛著。當(dāng)天，有一家酒吧正好使用每屏秀秀做抽獎(jiǎng)活動(dòng)，剛開出特等獎(jiǎng)，后臺的數(shù)據(jù)庫就被黑客破壞了，導(dǎo)致1400塊的獎(jiǎng)品中獎(jiǎng)記錄消失了。之前中獎(jiǎng)的客人喝了酒，本來很高興，突然一下說獎(jiǎng)品不是他的，情緒很激動(dòng)。酒吧老板只好自己補(bǔ)貼，又加抽了兩輪。

劉敬元知道了，趕緊拿自己的錢賠償給老板。

如此幾天，黑客入侵的證據(jù)終于被固定下來。

1月4日晚，本該如期“打卡”的攻擊并沒有來。

劉敬元知道，持續(xù)了整整十天的攻擊，可算是停了。他攤在辦公室的椅子上。這十天時(shí)間，原本開朗的他幾乎沒和家人說一句話，沒有連續(xù)睡超過三個(gè)小時(shí)，人瘦了二十斤。

他估算了一下，每屏秀秀因?yàn)檫@次攻擊，承受的直接間接損失高達(dá)千萬。

警方讓每屏秀秀的和知道創(chuàng)宇的同事配合完所有的證據(jù)采集，就去火速辦案了。那之后，劉敬元都憋著一口氣，就在等待正義降臨。

一個(gè)月后，好消息終于來了。

根據(jù)警方的案情通報(bào)，2019年2月，江蘇某地，實(shí)施網(wǎng)絡(luò)攻擊的黑客落網(wǎng)；2019年4月，經(jīng)過縝密偵查和完整的證據(jù)鏈固定，北京警方從成都某地帶走了三名幕后主使。2019年5月，北京昌平警方對嫌疑人正式批捕。

這個(gè)案件，也成為了“凈網(wǎng)2019”專項(xiàng)行動(dòng)的一個(gè)標(biāo)桿項(xiàng)目。

這是公眾號“平安昌平”發(fā)送的照片，警方抓捕和審訊嫌疑人

尾聲

驚天大案落下帷幕。

最灰暗的日子過去了， 劉敬元終于能把這些故事一點(diǎn)點(diǎn)講出來。

我不是技術(shù)男，我對于技術(shù)的知識真的有限。也許有人能濫用技術(shù)欺負(fù)我們一時(shí)，但是我終究相信邪不壓正。用違法手段來進(jìn)行商業(yè)競爭，一定會玩火自焚。

在最絕望的時(shí)候，有伙伴能一直站在我旁邊，我很感謝月皓。

劉敬元對我說。

這是最終統(tǒng)計(jì)，攻擊者攻擊總數(shù)。數(shù)據(jù)來自知道創(chuàng)宇

夜店里的俊男靚女們又過上了嗨嗨皮皮的蹦迪生活，他們當(dāng)然不知道，有一個(gè)名叫劉月皓的同學(xué)和他知道創(chuàng)宇的同事們怎樣影響了他們的生活。

不過俠客從來如此，事了拂衣去，深藏功與名。

有一個(gè)小秘密，劉敬元在臨別之前才告訴我。

在2018年12月25日，最絕望的那一刻，他曾經(jīng)問月皓：“你能不能幫我用同樣的黑客方法打回去？我和他們拼了！”

月皓一秒都沒有遲疑，嚴(yán)肅地說：“一旦你做了這件事，一旦我?guī)湍阕隽诉@件事，我們兩個(gè)就都跌入萬劫不復(fù)的深淵。”

現(xiàn)世安穩(wěn)，給我們幻覺。每個(gè)人看似都有無限的自由，但每個(gè)人距離深淵又都只有咫尺之遙。

我們周圍，有一條條看不見的紅線。

月皓面前有一道紅線，紅線這邊，是用技術(shù)防御進(jìn)攻；紅線那邊，是用技術(shù)入侵對手。他知道，作為網(wǎng)絡(luò)安全人，決不能邁出紅線一絲一毫。

攻擊者面前有一道紅線，紅線這邊，是用商業(yè)手段競爭；紅線那邊，是用非法手段打擊對手。他們最終一點(diǎn)點(diǎn)越過紅線，被前方的黑暗深淵吞沒。

劉敬元面前也有一道紅線，紅線這邊，是相信技術(shù)和法律；紅線那邊，是用自己的“正義”裁決對方。在最后一刻他被說服，沒有以暴制暴，以黑吃黑，他用清白之身等到了正義降臨。

正義有時(shí)遲到，但從不缺席。

網(wǎng)絡(luò)世界永遠(yuǎn)存在黑暗的力量，它映射著人們心中永恒的黑暗角落。當(dāng)深淵在凝視你，召喚你，別忘了腳下那根看不見的紅線。

本文資料來自于劉敬元和劉月皓的口述，參考知道創(chuàng)宇攻擊防護(hù)報(bào)告，參考微信公眾號“平安昌平”所發(fā)布的官方內(nèi)容。感謝警察叔叔讓我們的生活更平安。

763人已贊賞 >

敬原創(chuàng)，有鈦度，得贊賞

贊賞支持

0

2

0

掃描下載App