2001年 4月 1日,南海的碧波被撕裂。
美军 Ep-3侦察机的金属翼尖撞上王伟驾驶的歼- 82战机,33岁的飞行员化作海天之间的永恒坐标。
这个消息像病毒般穿透互联网的光纤,在 48小时后点燃了另一场没有硝烟的战争。
4月 4日清晨,网益机房的警报声刺破了广州天河软件园的宁静。
网工小张盯着屏幕上跳动的红色攻击日志,手指在键盘上慌乱地敲击:“poizonbox的人来了!他们的数据包像潮水一样涌进来!”
我冲进机房时,技术总监 Jackson正把西装外套甩在椅子上,领带扯到一半:“dNS服务器负载率 98%,再这样下去撑不过半小时。”
中午十二点,客服中心的玻璃隔断上贴满了红色便签。
Sherry把第三杯冷掉的咖啡推到一边,耳机里传来用户愤怒的嘶吼:“我的邮件全没了!你们到底能不能搞定?”
新来的实习生安妮抱着厚厚的投诉记录。
手指被纸张边缘割出细小的伤口,血珠滴在“网益邮箱用户服务协议”的复印件上,晕开一小片暗红。
“系统日志显示有三千个来自美国的 Ip在发起 SYN泛洪攻击。”
我把打印出来的攻击路径图拍在会议桌上,咖啡渍顺着纸张褶皱蔓延,“他们用傀儡机伪装成正常访问,实际在耗尽我们的连接资源。”
老谭猛地扯开衬衫领口,指着白板上的网络拓扑图:“必须立刻启用备用 dNS,把解析请求分流到上海和北京的镜像节点。”
夜幕降临时,机房的地板上铺满了速食面包装袋。
Jackson蹲在服务器机柜前,额头上的汗珠滴进机箱风扇,发出滋滋的轻响。
他手里捏着 crossover防火墙的配置手册,声音沙哑得像砂纸摩擦:“把 tcp连接超时时间从默认的 60秒降到 15秒,启用半连接队列保护。”
小张的手指在 cisco路由器的控制台键盘上飞舞,输入 access-list命令时,指甲缝里还嵌着早上拆机时沾上的硅脂。
5月 1日凌晨
当中国黑客组织的反击指令通过 IRc频道传遍网络时,网益的服务器正在经历新一轮洗礼。
我盯着监控屏幕上的新闻弹窗---白宫官网被替换成五星红旗
耳边却传来数据库服务器的报警声——存储邮箱用户数据的 oracle数据库出现了索引损坏。
“用热备份恢复!”
老谭把备用磁带塞进 Ibm磁带机。
磁带转动的嗡鸣声中,他突然想起今天是女儿的三岁生日。
抢修进行到第 30小时,安妮突然尖叫起来。
她发现客服系统的后台日志里,有黑客留下的英文留言:“这只是开始。”
Sherry抢过鼠标点开原始数据包,里面混杂着南海撞机事件的新闻片段。
那一刻,机房里所有人的动作都停顿了半秒。
只有服务器的散热风扇还在不知疲倦地转动,像在为某个远去的生命默哀。
加固工程在 5月的梅雨季节里展开。
5月 4日
红客联盟让白宫官网飘起五星红旗时,我们正在给服务器更换新的 ScSI硬盘。
小张蹲在地上给机柜接地铜排刷防锈漆,嘴里哼着《我的中国心》;
安妮抱着 windows Nt网络操作系统的安装盘,在机房角落搭建测试环境;
Sherry把用户投诉记录整理成厚厚的分析报告,在“最常见问题”一栏里,“邮箱无法发送带附件的邮件”被红笔圈了三次。
加固工程进入第三周。
老谭在全员大会上拿出一份泛黄的业务清单:“光堵漏洞不够,得给所有系统穿上铠甲。“
清单上的红笔圈出了六个核心业务,墨迹透过纸背,在投影幕布上投下淡淡的影子。
“我们得重构所有系统。”我说道。
邮箱系统的重构从 oracle数据库开始。
Jackson带着我在机房搭建了双机热备集群,用 Veritas Volume manager将数据同步到杭州和北京的存储阵列。
“把用户邮件分成冷热数据,”
他指着新部署的 Emc cx200存储柜,“三个月前的邮件自动迁移到磁带库,在线数据用 RAId5+1做冗余。”
小张则在 cisco pIx防火墙后加了层 mailmarshal邮件网关,每封进出邮件都要经过病毒扫描和关键词过滤。
后台日志里,“敏感词拦截”的条目在第一周就突破了五千条。
游戏业务的防护方案引发了最激烈的争论。
当时网益刚代理《精灵》不久,老谭坚持要在游戏服务器前部署 ISS RealSecure入侵检测系统:“玩家的账号数据存在 SqL Server里,一旦被注入攻击,装备被盗的玩家能把客服电话打爆。”
我却更担心分布式拒绝服务攻击。
最终说服团队采购了 F5 bIG-Ip负载均衡器,能在 10秒内识别异常流量并切换到备用节点。
安妮被派去整理游戏日志。
在满屏的代码里挑出可疑登录记录,铅笔尖在“凌晨三点从美国 Ip登录的中国账号”上画了无数个圈。
新闻网站的防护带着鲜明的时代印记。
我们给 Apache服务器加装了 modSecurity模块,用正则表达式过滤掉包含恶意脚本的 URL请求。
老谭盯着实时访问量曲线:“得把静态页面缓存到 Squid服务器上,不然国庆阅兵时的流量能冲垮数据库。”
最棘手的是评论区。
Jackson写了段 perl脚本,能自动替换掉骂人的话,却总在“皿煮”这类谐音词前失效。
最后只好让编辑轮班人工审核,后台系统的刷新键被按得掉了漆。
bbS的安全加固堪称 2001年网络技术的集大成者。
小张在 FreebSd系统里编译了最新的 openSSh补丁,杜绝远程登录漏洞;
我则给用户密码加了 md5哈希加盐处理,即使用户数据库泄露,黑客也解不出原始密码。
最绝的是老谭想出的招:给频繁发广告的账号设置“发言冷却时间”,这个用 php写的小程序后来被国内多家论坛借鉴。
安妮把它记在笔记本上,标题栏写着“网安小发明”。
短信增值业务的防护要跨越多重网络。
当时网益和移动的网关对接用的是 Smpp协议。
我们在中间加了台 hp Alpha服务器做消息转发,所有短信内容先经过 Sybase数据库的关键词过滤。
Jackson拿着电信局给的安全规范:“这里写着必须用 VpN加密传输,华为的防火墙正好支持 IpSec隧道。”
调试那天,广州的短信网关突然断连。
我们对着 wireshark抓包工具看了整夜,才发现是 mtU值设置不当导致的分片丢失。
内部 oA系统的加固带着点“自己人防自己人”的意味。
Lotus domino服务器被限制只能在局域网访问,远程办公必须通过 RAdIUS认证的 VpN。
我给每个部门设置了权限矩阵,市场部看不到技术部的服务器密码,管理层的报销单需要双人审批。
最细枝末节的是打印机。
老谭坚持要给每台 hp激光打印机设置 Ip绑定,防止有人偷偷接入打印内部文件。
这个现在看来多余的举动,在当时却让审计部门大加赞赏。
6月初的某个傍晚。
我看着新部署的 check point防火墙日志,里面记录着被拦截的攻击尝试——平均每秒 17次。
Jackson把一杯冰镇可乐放在我面前,罐子上的水珠滴在刚打印出来的网络安全评估报告上,晕染了“防御体系升级完成”几个字。
远处的客服中心传来键盘敲击声。
安妮抱着整理好的技术文档进来。
在“2001年安全加固清单”最后一页,她用红笔写了行字:“没有绝对的安全,只有不断升级的防线。”
窗外的梧桐叶落在机房的空调外机上,发出沙沙的声响,像在为这场持续了半年的网络防御战轻轻鼓掌。
我想起王伟的歼- 82战机坠入南海时,黑匣子最后传回的信号。
此刻机房里服务器的蜂鸣声,或许是另一种形式的守护——在代码构筑的阵地上,我们同样在用生命扞卫着什么。
请大家记得我们的网站:品书中文(m.pinshuzw.com)人生何处是归途:花城网事三十年更新速度全网最快。