第六十二章 網絡侵略[3]

楚寒很快找到一台向外發送大量攻擊包的肉雞，開始以此肉雞為跳板，順藤摸瓜反入侵，看看是誰在主導這場網絡攻擊。

一般來說，想從攻擊的數據包中追查到攻擊機的IP地址非常難，因為攻擊包的源IP是偽造的，很難追蹤到攻擊源。就算你技術高超，追蹤到攻擊源，發現那攻擊源隻不過是台肉雞而已，根本沒有多大意義。

不過，對楚寒來講，不存在這種障礙。楚寒的手段，厲害得很，也先進得很。

楚寒截獲了一個SYN數據包，SYN數據包攻擊是最常用的DDOS攻擊手段之一。Windows2003默認安裝的情況下，WEB－SERVER的80端口每秒鍾接收5000個SYN數據包後一分鍾後網站就會打不開。標準SYN數據包大小為64字節，5000個等於5000*64*8[換算成bit]/1024=2500K，也就是2.5M帶寬。如此小的帶寬就可以讓服務器的端口癱瘓，這也是它被廣泛應用的原因之一。

要是技術基礎不過關的黑客，截獲到這種偽裝IP的數據包，根本無法分析出攻擊源的真實IP地址。不過，楚寒不費多大功夫就分析出攻擊源的真實IP地址，並順利入侵這台肉雞。

這台肉雞是台個人電腦，放置地在香港，是一間公司內部的辦公電腦。這間公司內部電腦的IP地址與MAC地址綁定，MAC地址與端口綁定，隻要楚寒在此公司的三層交換機Cisco6509上查找，匹配輸出端口的日誌，再對比該公司的網管軟件，可以輕易得出該電腦的真實IP地址、用戶姓名、部門、端口號等信息。不過楚寒知道這肉雞隻是被人利用，找到這些信息也沒有用。

楚寒在這台肉雞上掃描，發現入侵者已經將日誌文件全部刪除。這是一種很徹底的清理入侵痕跡的方法，就算此刻被管理員發現，管理員最多隻是知道服務器被入侵，開始殺毒殺木馬打補丁維持服務器的正常運轉，卻不可能再追蹤到入侵者的信息。

因為作為DDOS攻擊的馬前卒，通常位於僵屍網絡的最前沿，也是入侵者控製的最後一層。這最後一層與入侵者控製的計算機之間，不知道隔了多少層跳板，隻要入侵者斷開其中一層跳板，想追蹤到入侵者，做夢吧。所以，就算是資深的黑客，遇到這種情況也隻能有歎息放棄的份。

不過，這次反追蹤的是楚寒。就算對方刪除日誌文件後，再格式化硬盤，楚寒也有能力恢複日誌文件，從而察看入侵者的入侵數據。何況現在入侵者隻是簡單刪除日誌文件，做日誌文件的數據恢複，對楚寒來說一點難度也沒有。

很快，楚寒找到日誌文件所在的磁盤扇區，用個軟件將日誌文件恢複。楚寒打開文件，從中清楚看到入侵者入侵的時間、方式、步驟等等，並順利找到入侵IP。順著找到的IP，楚寒又找到另外一台肉雞。在這台肉雞上，楚寒觀察到入侵者還在連接。楚寒立即逆流而上，再跳過兩層跳板之後，順利接近入侵者的電腦。

看著就在眼前的入侵者，楚寒反而冷靜下來。根據找到的IP地址，入侵者的地址在日本橫濱。

日本人搞的鬼？楚寒強壓住自己的怒火，開始入侵對方的計算機。楚寒十分清楚，一個黑客不可能搞出這麼大動靜，肯定是一個強大的黑客組織。想找出這個組織，這台入侵者的計算機是個很好的突破口。對入侵計算機，楚寒輕車熟路，沒有費多大功夫就入侵成功。

可是，當楚寒觀察入侵者計算機數據的時候，發現事情比自己想像的還要複雜。入侵成功後，楚寒發現這台計算機連接的局域網中，有一台大型的計算機服務器，運算速度極快，而連接著這台服務器的小型計算機一共有兩百一十台，其中大部分向外發送著攻擊指令。