陳帆的指尖還懸在主控台上方,目光死死鎖住那條異常的時間戳。06:43:17——這個毫秒級的記錄像根刺紮進他的神經。他正準備調取賬戶行為軌跡,右側麵板突然爆發出一片猩紅。
警報聲沒響,但所有監控圖譜同時劇烈震顫。CPU使用率瞬間躍升至99.7%,內存占用曲線垂直拉滿,入站流量從二十兆猛躥到八百兆。主服務器響應延遲飆升,數據包丟失率突破七成。
“不是誤報。”他猛地拍下回車鍵,聲音壓得極低,“是攻擊。”
李陽幾乎是撞開椅子撲到終端前的。手指在鍵盤上飛快敲擊,調出底層流量分析界麵。張遠已經衝向備用控製台,一邊喊:“切換鏡像係統!”一邊按下預設的容災啟動序列。
周婷盯著防火牆日誌流,眉頭緊皺。“請求源分散在全國六個省份,IP段跨度大,但訪問模式高度一致——每秒三萬次SYN連接,全是加密偽裝的反射型攻擊。”
“CDN分流能扛多久?”陳帆問。
“十分鐘。”張遠盯著倒計時窗口,“高防節點剛激活,DNS調度還沒完全生效。”
主屏上的服務狀態一個個變灰。行情推送中斷,實時計算模塊離線,風控校驗層開始丟包。整個係統像是被一張巨網裹住,呼吸越來越困難。
“把非核心服務全關了。”陳帆下令,“隻留數據庫寫入和交易指令通道。所有外部接口切到二級驗證隊列。”
李陽迅速執行命令。幾十個微服務陸續停擺,屏幕上的紅色告警稍微減緩。但他臉色沒鬆,“他們在試探應用層入口,已經有偽造的行情查詢包穿透到API網關了。”
“用黑名單過濾。”周婷調出任子行防火牆的深度檢測模塊,“我抓了幾組特征頭,UserAgent字段全是空值,AcceptLanguage統一設為zhCN;q=0.9,這不是正常客戶端行為。”
她將提取出的惡意指紋生成初步規則集,推送到前置過濾器。幾秒鐘後,入站流量下降了百分之十五。
“不夠。”陳帆盯著仍在攀升的連接數,“他們有輪換機製,新IP不斷加入。”
“那就讓規則動起來。”李陽打開腳本編輯器,“我寫個自動學習程序,每三十秒更新一次黑名單,結合地理位置、請求頻率和行為相似度做動態評分。”
代碼快速編譯部署。新的防禦策略上線後,係統壓力明顯緩解。CDN成功攔截大部分無效請求,剩餘流量被引導至高防IP集群。主服務器負載緩慢回落,綠色的生命信號重新在麵板上閃爍。
“暫時穩住了。”張遠抹了把額頭的汗,聲音有些發啞,“但源頭還在持續輸出,這不像普通黑產的手法。”
陳帆沒答話。他調出攻擊時段的日誌全量歸檔,讓係統按時間軸關聯所有進出流量。周婷同步開啟溯源追蹤,重點篩查那些曾與內部接口發生交互的可疑IP。
“發現了。”她忽然開口,“這十七個攻擊源,在過去兩小時內都訪問過同一個財經論壇的API接口,路徑是/getquotebatch,參數格式和我們係統的行情拉取方式幾乎一樣。”
“借道第三方漏洞?”張遠皺眉。
“不止。”李陽放大一組C2通信的響應頭信息,“看這裡,Server字段返回的是‘Tengine/2.1.2’,但我們查過,那個論壇用的是Nginx。這是偽裝。”
他繼續深挖,最終在一個跳板機的返回包裡捕捉到一段獨特標識:XCacheTag:BFIN2018ALPHA。
“BFIN……”李陽瞳孔一縮,“這不是去年被端掉的那個金融黑產團夥代號嗎?他們專門做量化策略竊取和定向打擊。”
“能把證據鏈串起來嗎?”陳帆問。
“可以。”周婷立即整理數據包樣本、時間戳匹配記錄和行為比對報告,“隻要公安技術部門願意介入,能定位到中間代理背後的實控人。”
“我現在就提交。”陳帆點開市公安局網監支隊的備案通道,上傳加密壓縮包。提交完成後,他在備注欄寫下一句話:攻擊目標明確,手法專業,建議列為刑事案件偵查。
實驗室安靜下來。主係統已恢複平穩運行,各項指標逐步回歸正常區間。張遠檢查了本地落盤的日誌,確認沒有交易指令丟失;李陽加固了API網關的認證邏輯,新增三層身份校驗;周婷則把本次攻擊特征碼永久錄入威脅情報庫。
“以後這種規模的衝擊,不能再靠人工響應。”陳帆靠在椅背上,語氣沉穩,“從今天起,雙通道冗餘必須常態化。任何服務異常超過三十秒無法自愈,自動切換至異地容災節點。”
“我已經在設計自動熔斷邏輯。”李陽說,“當檢測到流量突增超過閾值,係統會主動降級非關鍵功能,優先保障核心鏈路。”
張遠點頭,“還可以加個反製反饋機製。一旦確認惡意行為,反向注入虛假路由信息,打亂他們的攻擊節奏。”
周婷正在做最後的證據備份。她將全部原始日誌打包成三個副本,一份本地存儲,一份上傳雲端,第三份刻錄進物理光盤。插入公安平台的U盾指示燈穩定閃爍,顯示文件接收成功。
“總算結束了。”張遠鬆開領口,拿起桌上的礦泉水猛灌一口。
李陽剛要說話,忽然眼神一凝。
“等等。”他指著屏幕一角,“有個IP剛剛嘗試重新連接,來源是境外中轉站,請求內容是/cfg/systeminfo……”
陳帆立刻坐直身體。
“它讀的是係統配置文件路徑。”李陽手指飛快,“而且……這不是隨機試探。它知道我們用的是哪個版本的調度引擎。”
周婷迅速調出最新訪問列表。那個IP隻停留了不到兩秒,便悄然退出。
“不是殘餘攻擊。”她的聲音冷了下來,“是在確認我們有沒有留下後門。”
陳帆盯著那條轉瞬即逝的記錄,指節輕輕叩擊桌麵。
“他們以為我們撐不住。”他說,“現在知道我們不但撐住了,還報了警。”
李陽冷笑一聲,“所以派人來看看現場是不是真的清理乾淨了?”
“不。”陳帆搖頭,“是來補刀的。”