一場夜店裏的風雪罪案_風聞

​文 | 史中

人生而自由，卻無往不在枷鎖之中。

盧梭如是説。

（一）偷襲珍珠港

2018年12月24日，平安夜。

北京工體北路被各色車流堵得水泄不通。一牆之隔，大大小小夜店裏音樂震耳欲聾。

追光透過氤氲霧氣，沒頭沒腦地撞在瘋狂扭動腰肢的男女的鼻尖和胸口，彷彿這一年的過錯和心傷，都被關在門外寒冷的街道上。人們暫時告別思考，眼前只剩下沸騰的舞池和背後那塊噴薄的大屏幕。

102號桌紅衣小姐姐，我就在你斜對面，注意你很久了，想請你喝一杯！

大屏幕上突然彈出碩大的字幕和圖片，角落裏300秒倒計時開始閃動。這句讓人荷爾蒙躁動的表白將在屏幕上“霸屏”整整五分鐘。全場的目光透過無數晶瑩的酒瓶，瞬間射向紅衣姐姐，尖叫口哨聲如排浪湧動。

美女姐姐朱唇漸啓，靈眸微動。就在她眼眉重新抬起，望向前方的一瞬間，碩大的屏幕轟然暗下，音樂也隨之停止。只剩下現場的燈光還在不解風情地瘋狂閃動，彷彿一出動人的戲劇突然被暗下了靜音鍵。

“砰！嘩啦——”一支酒瓶被猛然站起來的男人在桌上敲碎，滿地殘渣。“我X！老子花了錢霸屏，你TMD屏幕滅了，是什麼意思？！”

角落裏人影隨即一片混亂，妝容精緻的男女爭搶着遠離“戰場”，保安火速飛奔過來。

我們把鏡頭拉遠。此刻，中國的版圖已經入夜，海浪拍打着太平洋幾千公里的海岸線，城市的燈火直衝天外。

南京幾家酒吧裏，所有人正在全神貫注地盯着大屏幕，跟隨現場主持和音樂鼓點瘋狂搖着手機抽大獎；深圳的西餐廳裏，人們也舉着手機，跟隨者屏幕上的指引參加砸金蛋遊戲。和北京的夜店分秒不差，他們面前的屏幕也霎時熄滅，人們面面相覷，一陣騷動。。。

究竟發生了什麼？

我們把地圖再微微撥動一點，廣州一家高檔餐廳頂樓，劉敬元正坐在酒桌前，剛大口乾掉一杯酒，甩開架勢跟坐在主位的大咖説：“你們是廣州最大的夜店連鎖，當然要和那些“妖豔賤貨”夜店拉開差距！我們的“每屏秀秀”，可以用手機實時送禮物霸屏、打賞藝人、互動點歌，還可以玩全場大遊戲。北京南京深圳的夜店，上了這套系統，氣氛比以前嗨十倍，店內流水也翻幾倍！你看，我給你演示一下！”

劉敬元剛掏出手機，一聲“卧槽”從他嘴裏擠出來。他眼前的景象像火山噴發一般——幾千個微信羣裏的客户同時飆出來各種抱怨，恨不得彈到他的眼珠上。

你沒猜錯。之前提到的夜店酒吧，全都用了同一款互動娛樂系統，每屏秀秀。

就在2018年12月24日晚上，每屏秀秀的 CEO 劉敬元遠赴廣州準備拿下一個重要客户時，無數暗黑的能量，沿着地下光纖和海底光纜，從地球的各個角落猛然湧向中國，不由分説地衝進了這個爆款軟件的核心服務器。

如同和主腦失去了聯繫的機甲戰士，幾千家酒吧夜店的屏幕，一瞬間同時熄火。

天上掉下來的一把鋼刀整落在劉敬元眼前，尖利的警報在他腦海裏響起：“這不是演習，這是攻擊！！！再説一遍，這不是演習，我們正在遭遇攻擊！！！”

對面的老闆攤開雙手，皺着眉頭看着定在原地雙目失神的劉敬元。劉敬元的汗順着額頭滴下來，他的腦海裏只浮現出一個字：“戰！”

（二）鬼魅初現

出生於1981年的劉敬元思路縝密，荷爾蒙爆棚。從懂事開始，他幾乎就是全北京夜店最靚的仔。

21世紀初，“給服務生50塊錢，讓他們把紙條上對隔壁妹子的表白打在酒吧大屏幕上”，就已經是劉敬元的日常操作了。

憑着對夜店的熱愛，2016年，他拍胸脯忽悠幾個最好的哥們從各自的創業公司退股，加入他的隊伍。他的理由是：“夜店看起來是最潮的地方，但其實99.99%都是土嗨，沒有數字化的含量。我們用互聯網的玩法改造夜店，絕逼是殺入了一個藍海！”

劉敬元

這話基本沒錯，海是挺藍，只是海水比他原本的想象深一萬倍。。。。

劉敬元第一次感知到黑暗中的對手，是在2017年8月。

那時，他的娛樂系統已經在北京後海酒吧街流行開來，信心滿滿準備衝出北京，走向全國。第一站，就是好朋友在廣西南寧開的酒吧。

需要説明一點，當時全中國，大概有30多個公司都進入了“酒吧娛樂系統”這片藍海，劉敬元也並不是最早的一個。最初這些公司就像古代歐亞大陸上的文明那樣獨立發展，井水不犯河水。然而從2017年起，這個小眾行業裏的公司們開始了“大航海時代”，伴隨對地圖上各個城市的佔領，公司之間在商業上的纏鬥也隨之展開。

在酒吧裏，每屏秀秀大概就是這樣。

事實上，每屏秀秀進入南寧這家酒吧，就是替代了競爭對手C公司的產品。

所有人滿心歡喜期待試運行的那天，結果，怪事發生了。

當晚九點，酒吧營業，現場觀眾開始饒有興趣地參與大屏幕上的互動遊戲。但是無論顧客怎麼掃碼，就是進不去每屏秀秀的 H5 頁面，氣氛突然尷尬。

當時有人拍下了自己的手機。

酒吧老闆當時就給劉敬元打電話吐槽：“你這東西太不靠譜啦！關鍵時刻掉鏈子，好哥們難道是用來坑的嗎。。。”劉敬元也一腦門官司——怪事！以前沒出現過服務器不穩定的情況呀。。。

他趕緊讓公司技術負責人昆倫檢查，這下發現了不得的事情：每屏秀秀在雲上的主服務器遭遇了 DDoS 攻擊。而服務器是服務所有客户的。也就是説，別説是南寧，包括北京後海在內所有用户的酒吧互動系統都同時掛了。。。

“啥叫 DDoS？”做市場出身的劉敬元第一次聽説這個“生詞”，一臉懵逼。

這裏中哥插入一下，給小白淺友做個科普：DDoS 是一種非常常見的黑客攻擊手法，意思是用大量的流量請求堵死服務器，讓你沒辦法正常提供服務。

舉個栗子：如果你把每屏秀秀比作一家銅鑼燒店，DDoS 攻擊就像是壞人僱了成千上萬人堵在商店門口。真正想吃銅鑼燒的人連商店的們都擠不進去。。。

大概就是醬紫。

情況危急，昆倫趕緊想應對方法。

每屏秀秀租用的是中國一家知名雲計算廠商的雲服務器。昆倫想起來，這家雲計算廠商有一個300G以下 DDoS 防禦的優惠套餐。他評估了一下，目前自己被打的帶寬大概是兩百多G，估計能抗住。於是趕緊購買套餐，打開防禦開關。

然鵝，黑暗中的那個人，彷彿《電鋸驚魂》裏的“面具男”一樣注視着昆倫的一舉一動，就在他開啓防禦的兩分鐘後，攻擊能量瞬間提高到了350G。。。

根據雲計算廠商的規定，超過300G的攻擊，如果不追加購買昂貴的額外抗DDoS服務，就要被拉入“黑洞”——斷開服務對外所有連接，任何人都無法訪問。

每屏秀秀就這樣進了**“小黑屋”**，徹底宕機，躺屍了一晚上。

這一場“飛來橫禍”，讓劉敬元不僅脆生生地告別了南寧市場，還得挨個給北京的酒吧老闆道歉。公司當天的防護費用加上給酒吧們的賠款，總共損失了二十多萬。這對一家創業公司來説，已經不是小數目了。

這是劉敬元手機裏的客户羣。

劉敬元是個快意恩仇的北京爺們，“吃啞巴虧”從來都不是他的生活選項。他就想弄明白，究竟是誰在用這麼騷的陰招搞自己。

他第一個想到的是求助於雲廠商的安全隊伍來手動溯源，對方説，溯源可以，不過費用在50-100w之間，不保證找得到。

他看看公司的錢袋子，瞬間冷靜了下來。。。

跟圈內朋友打聽了一遍，他拼湊起來一個駭人聽聞的傳言：

正是他替代的那家對手C公司，慣用這種非法手段攻擊異己。更驚悚的是，已經有幾家同類小公司死於網絡攻擊的亂棍之下了。。。

劉敬元嘴張得老大，難道商業競爭還能這麼玩？

如果是真的，這可是犯罪啊！我進軍南寧一個酒吧，就值得對手用這麼高的成本攻擊我，那説明這裏面得有多大的商業機會啊！當時我就鐵了心，就算賣房賣車，也要把每屏秀秀搞下去！

劉敬元挑挑眉毛，對我説。

有趣又奇怪的是，那次攻擊後一天、一星期、一個月，每屏秀秀並沒有遭遇到新的攻擊。一切平靜得像冬天的海岸。彷彿那晚的暴擊是一場噩夢，醒來之後就消散得無影無蹤。

時間就這麼過去了大半年。到了2018年秋天，每屏秀秀已經火速拿了兩輪融資，業務拓展到全國一百多個城市幾千家酒吧夜店，基本佔到了整個中國市場的半壁江山，服務都一切正常。同事們也漸漸淡忘了那晚的攻擊。

但是劉敬元心裏隱隱覺得，有些東西還沒畫上句號。

去年那場攻擊到底是不是競爭對手乾的？

為什麼從那以後，對方就像鬼魅一樣神秘地消失在黑暗裏了？

它，還會回來嗎？

眼看冬天就要來了，聖誕節、元旦、春節像槍膛裏一排子彈那麼密，酒吧夜店行業將進入一年一度的黃金季節。

劉敬元心裏比誰都清楚，如果那個鬼魅再回來，自己仍然沒有招架之力。而這次一旦出問題，受牽連的可不是一年前那一百多家夜店，而是全國幾千家。本來在夜店喝酒的人多少都帶着情緒，會造成怎樣的社會問題，都是個未知數。。。

直覺告訴劉敬元，自己得主動做點什麼。

那天一次閒聊中，他把自己曾經遭遇攻擊的事兒透露給要好的朋友，朋友想了想説，“你聽説過知道創宇嗎？”

（三）兩條防線

劉敬元第一次見到劉月皓，就在北京。

他皺着眉頭，把去年被攻擊的遭遇，一五一十地講給對面這個小夥子。雖然他也不敢肯定，知道創宇這家號稱“黑客特種兵”的安全公司到底是不是像坊間傳聞一樣那麼牛。

常看中哥文章的淺友，一定對知道創宇這家公司有很深的印象。這裏再給不熟悉的淺友介紹兩句：

知道創宇是中國一家調性奇特的網絡安全公司。如果把網絡安全的江湖比作一個青樓，那麼知道創宇有點像賽金花——技術沒的説，但是有性格。對良人寬衣解帶，對惡人火力全開。兩條毛腿肩上扛，民族大義記心上。

知道創宇的創建者是中國第一代黑客趙偉，江湖人稱 ICBM，從年少時代開始，他的夢想就是“用技術保衞世界”，如今他已經是個中年老黑客，卻還在靠這個夢想帶領一千多兄弟姐妹們在網絡安全戰場殺進殺出，氣氛非常熱血。

知道創宇的絕活之一，就是幫助用户抵抗黑客攻擊。

而劉月皓作為項目經理，正是負責對客户的重大保衞工作。

劉月皓

聽了劉敬元的描述，月皓心裏大概有數了，這看上去是典型的帶有商業目的的網絡攻擊，自己曾經帶隊打過很多次這樣的保衞戰，已經駕輕就熟。但這種攻擊通常在遊戲行業常見，沒想到這世界變化快，戰火已經燒到了夜店。。。

就在劉敬元和知道創宇接觸的那幾天，技術負責人昆倫才告訴他，自己已經花錢在雲計算廠商買了更貴的抗 DDoS 服務，似乎已經沒必要再另外花一份錢做保衞了。

劉敬元仔細想了一下，覺得心裏還是打鼓，最好能把防線做成兩條，一個**“PlanA”，一個“PlanB”**。

“你看，我們已經買了雲廠商的安全服務，錢都花了，能不能把知道創宇的防護方案做成 PlanB，真能用到的話，到時候我們再談合作？”劉敬元試探性地商量。

“沒問題，我們的專家組隨時待命，如果有問題，你隨時切換到我們的防護系統。”説到底這畢竟是個商業合作，月皓沒有步步緊逼，倒是有點出乎意料。

一天後，月皓坐在自己的工位上，認真思考着這個“案子”。他冥冥中感覺這件事不是那麼簡單。

按照劉敬元的描述，對方的攻擊手段非常陰險毒辣。

第一，攻擊者能根據對方的防護策略實時改變進攻方式和強度，這麼專業的操作，意味着他是個“黑客老手”。

第二，攻擊者能卡在每屏秀秀晚上最關鍵的時間點發起攻擊，説明他還同時是瞭解酒吧夜店行業規律的“行內人”。

面對這樣狡猾專業的對手，雲廠商的防禦工事未必能百分百奏效。

月皓自言自語。

他點了點頭，打開同事小組的羣聊對話框説：“兄弟們，聖誕節那幾天我們可能會有‘重大保衞任務’，大家提前做好準備。”

2018年12月22日。劉敬元坐在辦公室，盯着屏幕上的一條微信公眾號消息，皺起了眉頭。

因為由來已久的商業摩擦，對手C公司的官方微信突然推送了一條消息，懷疑每屏秀秀在背後搞不正當競爭，並且配了一張圖，上書一個大字：”戰“。

這篇推文後來被主動刪除，這是截圖存證的打印件。

”當時我就有一種不祥的預感。。。“劉敬元對我説。

但畢竟人不能被自己嚇死。什麼都沒發生，他還得按照既定日程，奔赴廣州去談客户。

於是，便有了開頭一幕，2018年12月24日，劉敬元在酒桌上聊天正酣，背後的服務器猛然遭遇了史無前例的“偷襲珍珠港”。

（四）PlanB

“偷襲珍珠港”發生時，每屏秀秀技術負責人昆倫在北京。

看到後台服務掛了，他趕快召集同事們實施 PlanA——接入雲計算廠商的防護系統。瞬間，DDoS 攻擊的流量被閘門大開的大壩像泄洪一樣放走了。但是怪事發生了：DDoS 的流量被清洗，但仍然沒有恢復服務。

那天晚上，酒吧老闆們看到的界面一直是這樣。

“一定還有什麼原因，你趕快給我找出來！”電話這頭的劉敬元已經很難淡定了。

為了拿到用户第一手的體驗，劉敬元作為 CEO，加入了幾千個客户的微信羣。那晚服務突然掛掉，幾千家客户在羣裏的吐槽一瞬間湧出，讓劉敬元的手機瞬間死機；他甚至不敢想，如果這次攻擊持續下去，他將要付出多大的損失，他覺得自己的大腦也快死機了。

猛然間，他想起了月皓。

當時，月皓正在參加知道創宇的年會。他一看是劉敬元打來的電話，心裏猛地一沉，猜到了十有八九。

作戰小組馬上成立，小組成員分別地處北京和成都，遠程溝通作戰，劉敬元、昆倫還有幾位技術同事都被拉進了微信羣，上一秒大家還在吃喝玩樂，這一秒“PlanB”就在沒有任何預熱的情況下，直接點火啓動。

被攻擊的服務器第一時間連接知道創宇的防護系統。很快月皓團隊就發現：除了 標準的 DDoS 攻擊，黑客還同時發動了 CC 攻擊。

這裏中哥還要插入一下，給你解釋一下神馬是 CC 攻擊。

CC 攻擊是 DDoS 攻擊的一個分支。還拿銅鑼燒店作比喻。DDoS 攻擊像是僱一堆人堵在門口，CC 攻擊就是僱一堆人站在櫃枱面前，拉着售貨員要這要那，但就是不買，也不走。這導致售貨員的注意力被牽制，根本沒辦法服務正常用户。

CC 攻擊大概就是這樣

由於 CC 攻擊涉及到對具體業務的進攻，所以攻擊成本要比 DDoS 大。看來對手這次是鐵了心要置劉敬元於死地。。。

這時，有趣的事情發生了。

CC 攻擊雖然厲害，但也有個弱點：攻擊者需要提前指定目標 IP，就像離弦的箭一樣，沒辦法中途改變方向。

所以在每屏秀秀跳到 PlanB 的防禦工事背後，大量的 CC 攻擊流量仍然湧向 PlanA 防禦工事的 IP 地址，撲了一個空。

顯然，對方在攻擊前做了充分的偵查，但並沒有料到劉敬元居然還藏了個後手。

經過分析，CC攻擊佔比超過86%。截圖來自知道創宇的報告。

憑藉着比對方多想了一步棋，此刻每屏秀秀的服務緩慢地拉起，全國幾千家夜店的互動屏幕在黯淡了幾個小時以後，終於恢復了服務。

然而，服務在最高峯時期中斷幾個小時，已經是“罪不可恕”了。客户可沒有義務理解劉敬元，什麼被攻擊，什麼競爭對手從中作梗，我們才不信，也和我們沒關係。你的服務中斷了，你就要賠償我們的損失！我們就不想和你繼續合作了！

這是當時各個客户羣裏的吐槽。

劉敬元看着昆倫發來的後台數據——攻擊流量一浪接着一浪，根本沒有要停下來的架勢。知道創宇雖然今天扛住了，但明天還能不能扛得住，還是個未知數。他一夜沒睡，連夜安排兄弟們兵分三路：

一路由銷售負責人帶隊，給客户一個個道歉，商量賠款事宜。

一路由技術負責人帶隊，和知道創宇一起商量接下來的應對計劃。

一路由高管帶隊，負責收集證據，第二天趕快報告給警察叔叔。

而劉敬元自己，推掉餘下行程，緊急買了25號的飛機回北京。

凌晨五點，最喧鬧的夜店也安靜了下來。暮光中，這一波攻擊能量終於緩緩下降。然而，所有人都知道，這暫時的喘息，只是因為黑客覺得沒必要在酒吧下班的時候還持續攻擊，到了今天晚上更猛烈的攻擊一定會捲土重來。。。

月皓最擔心的是：對手極其強大，肯定探測到了每屏秀秀已經切換到了知道創宇的防禦工事。這意味着昨天撲空的CC攻擊，今天一定會調整槍口，直接衝向知道創宇。

真正的考驗才剛剛開始。

（五）生死時速

25日晚上九點左右。

果然，第一發子彈“如約”撞向了知道創宇的護盾。

知道創宇十多位同事和每屏秀秀的三位同事馬上進入戰爭狀態。意料之中，今天的對手果然比昨天強大了無數倍。

這裏中哥還要科普一句。CC攻擊其實很難纏，就像大自然中的病毒，存在無數種**“變種”。只有針對每個變種配置專門的“疫苗”****（防護策略），才能保證殺滅這波攻擊。**

你大概玩過塔防遊戲。防禦CC攻擊和塔防有點像。針對這一波怪物的特性，你所佈置的防禦陣型也需要調整。

但問題的關鍵在於：每調整一次配置防護策略，都需要1-2分鐘時間，所以理論上如果對手每兩分鐘都把CC攻擊做一次“變種”，防禦策略剛調好，對手的攻擊方法就變了。。。那麼防護策略就會一直處於跟不上節奏的無效狀態。

事實上，這件事情真的發生了。

對手準備了無數種 CC 攻擊的變種，每兩分鐘切換一次。由於知道創宇不能直接進入每屏秀秀的服務器查看攻擊的特徵，需要昆倫他們手動把特徵提取出來，然後發給知道創宇，月皓這邊的工程師再配置策略。這個繁瑣的過程，會把策略配置所需的時間拉得更長。

這是當時某個CC攻擊變種的態勢圖，來自知道創宇

每屏秀秀是一家創業公司，哪有配合特種兵打仗的經驗啊。。。他們動作並不熟練。昆倫和兩個兄弟滿頭大汗，卻只能咬着牙堅持，手指把鍵盤敲得砰砰響，卻不敢遲疑半秒鐘。雖然他們用盡了全力發送攻擊特徵，仍然跟不上變種的速度。

當時羣裏的對話，能感受到危急的氣氛：

然而， 正邪雙方就像兩輛正面剛的坦克，比的就是誰裝填彈藥的速度更快——手指慢半秒，就可能讓對方先於自己把炮彈發射出來。

這天晚上，酒吧的老闆們感受到的就是：每屏秀秀在“抽風”，好兩分鐘，掛兩分鐘，又好兩分鐘，又掛兩分鐘。。。脾氣暴的老闆直接給劉敬元打電話，恨不得肉身過來找他打架。

“今天TMD 是聖誕節！你知道我們損失多少錢嗎？你們每屏秀秀一分不少地賠給我！”

“算我看錯你們了，我明天就切換到你們對手的服務上去！”

劉敬元就這麼一個電話一個電話地接，一個客户一個客户地賠笑臉。他不敢崩潰，他是 CEO，兄弟們都看着自己呢。

那時候真的覺得好孤獨。沒有人能體諒我有多難。

劉敬元苦笑着回憶。

這邊劉敬元苦苦支撐，那邊月皓能看到，自己填充彈藥的速度，已經在緩慢而堅定地追趕對手。

此時，已經是25日深夜。酒吧最熱鬧的時間馬上就要過去。

就在知道創宇的裝彈速度正在一點點追趕對手的裝彈速度時，月皓突然發現，每屏秀秀突然從自己的防護中撤走了，又回到了 PlanA 的防護體系中。

原來，壓力巨大的劉敬元實在是頂不住了，他病急亂投醫，讓昆倫試着把防護又切回了雲計算廠商之下。

一種難以名狀的情緒瞬間堵在月皓心口，他一把抓起電話打給劉敬元。

你知不知道這樣做很危險！對方這麼猛烈地攻擊，你卻從一個掩體跳到另一個掩體，在這個過程中，你們的真實IP有可能暴露，一旦暴露真實IP，防護的難度又會成倍增加！對手現在最希望看到的就是你崩潰，就是你失去信心。我們的防護策略調整速度已經馬上要趕上對方變化的速度了！你的難處我能體會，但勝利在望的關鍵時刻，我們現在絕對不能互相猜疑。你要相信兄弟們啊！

月皓顧不上什麼客套，他的話像連珠炮一樣劈頭蓋臉衝擊着劉敬元的耳朵。

電話那頭的劉敬元沉默了好幾秒。他咬咬牙，跟昆倫説：“切回知道創宇。”

（六）諾曼底

26日凌晨，東方漸白。

戰場上的局面進入了非常微妙的階段：知道創宇策略調整的速度已經和黑客攻擊方法調整的速度非常接近。

然而時間不等人，此刻夜店已經又到了打烊的時候，黑客再一次鳴金收兵。

月皓給劉敬元打氣，告訴他戰爭即將勝利。另外，他給每屏秀秀提出了一個要求：追加十台服務器。

為什麼要追加十台服務器呢？背後的邏輯是這樣的：

1、對方不斷變換CC攻擊的特徵，知道創宇必須要一定的時間緩衝才能完成策略調整。

2、經過一夜的磨合，知道創宇和每屏秀秀的溝通已經逐漸順暢，每次策略調整的延遲已經能壓縮在60秒左右。

3、每屏秀秀的服務器，只要能抗住對手變化攻擊策略的這60秒，就能給知道創宇的防護系統以足夠的戰略緩衝，在服務器快要滿負荷的時候，接入防護策略，保障服務不掛。就像一個人面對細菌入侵，只要自身的免疫系統能扛住最初一天病菌的攻擊，藥物就能利用這段寶貴的時間進入體內，直接殺滅病菌。

用月皓的話説，每屏秀秀當時的服務器太少，資源很緊張。簡直就像“碰瓷的”，稍微一碰立刻撲街，特種兵搶救再快，也趕不上它撲街的速度。。。

劉敬元聽明白其中的道理，絲毫沒有猶豫，火速讓同事加上十台服務器。

話分兩頭，一邊是知道創宇在死扛對手，另一邊報案的同事已經把前因後果詳實的記錄和證據都交給了警察叔叔。北京昌平區的網安警察正式立案。

26日夜裏，攻擊者毫不爽約，果然又回來了。

再厲害的編劇都難以想象，此處劇情發生了180度轉向。

由於增加了服務器，“戰略緩衝地帶”大大增加；而有了之前的磨合，知道創宇和每屏秀秀的團隊在後方打出了神配合，任憑對手如何變換攻擊方式，防護系統都巋然不動。每屏秀秀的服務一切如常。

暗夜無聲，全國用户在各地的酒吧裏霸屏嗨爆，恐怕沒人關心遠在天邊的服務器裏，正邪兩方在用繩命激戰。。。

如同一場酣暢淋漓的諾曼底登陸，戰爭終於進入了反攻階段。騰出手來的知道創宇，一刻不停地開始實施“反攻大計”。

27日早晨，他們把每屏秀秀這幾天被攻擊的日誌導入人工智能分析系統，一個驚人的結論馬上呈現出來：

總計幾十億次攻擊，來源並不是沒有規律，它們在固定的位置都包含一些特定的字符串，這些字符串總共只有十三種。

這説明，攻擊者是有跡可循的。

但是這些字符串是用户在和每屏秀秀互動的過程中加密過的，它們代表什麼意思，只有每屏秀秀才能解密。

昆倫第一時間拿到了知道創宇給過來的這些字符串，用自家秘鑰解密之後，他驚呆了。。。

由於黑客攻擊了每屏秀秀的 H5 頁面，這種攻擊要求首先用某個微信授權登陸進去才能拿到H5頁面的網址，而這些字符串恰好代表的就是攻擊者登錄每屏秀秀服務所使用的微信ID和頭像。

對手也許是太着急，也許是技術不精，黑客在這一步並沒隱蔽自己，露出了重大破綻。昆倫趕快從數據庫中調取出這十三個用户的頭像和ID。

這是頭像和ID的部分截圖，避免不必要的信息泄露，這裏我把圖片模糊了。

劉敬元看着這些頭像，一拳差點把桌子錘碎。

其中一個頭像他太熟悉了，就是C公司的一位高管。

再根據這些頭像登錄時的 IP 記錄進行查詢，地址瞬間被定位到成都某大廈，這個位置劉敬元也太熟悉了，正是C公司辦公室所在地。

劉敬元把牙咬得嘎嘎響，立刻把這些頭像和地址信息的“新發現”同步給網安部門，警察叔叔看到這些證據，露出了欣慰的笑容。。。

（七）收網

2018年12月29日，黑客仍在瘋狂地攻擊，只是每屏秀秀的服務一切如常，用户感知不到了。

此時，劉敬元已經被警察叔叔叫去配合固定證據。在證據保全機構，一條條日誌被下載存儲起來作為將來的呈堂證供。

警察叔叔告訴他，由於對嫌疑人的證據固定需要非常嚴謹，所以收網的時間並不會像他想象得那麼快。所以為了不打草驚蛇，劉敬元還要裝作什麼都沒發生，跟之前一樣，和黑客在線上死磕。

正是在這一天，有客户突然打來電話，氣勢洶洶地投訴：“你們給我結算的流水，和我當天看到的不一樣啊！你們是不是在後台偷偷改了數據庫？”

納尼？劉敬元又一臉懵逼。昆倫仔細查看了數據庫，發現居然有黑客摸進了每屏秀秀的後台系統，一條條地刪改記錄。。。

在知道創宇的幫助下，很快情況就摸清了。黑客久攻不下，居然換了一條路，用修改數據庫的方法，企圖挑撥用户矛盾。

劉敬元大喝一聲：給我把漏洞封堵住！

沒想到警察叔叔卻按住他的肩膀：“冷靜，讓子彈飛一會兒，這些證據我們也要固定。”

“好！”劉敬元含淚答應。他們就這麼死扛着。當天，有一家酒吧正好使用每屏秀秀做抽獎活動，剛開出特等獎，後台的數據庫就被黑客破壞了，導致1400塊的獎品中獎記錄消失了。之前中獎的客人喝了酒，本來很高興，突然一下説獎品不是他的，情緒很激動。酒吧老闆只好自己補貼，又加抽了兩輪。

劉敬元知道了，趕緊拿自己的錢賠償給老闆。

如此幾天，黑客入侵的證據終於被固定下來。

1月4日晚，本該如期“打卡”的攻擊並沒有來。

劉敬元知道，持續了整整十天的攻擊，可算是停了。他攤在辦公室的椅子上。這十天時間，原本開朗的他幾乎沒和家人説一句話，沒有連續睡超過三個小時，人瘦了二十斤。

他估算了一下，每屏秀秀因為這次攻擊，承受的直接間接損失高達千萬。

警方讓每屏秀秀的和知道創宇的同事配合完所有的證據採集，就去火速辦案了。那之後，劉敬元都憋着一口氣，就在等待正義降臨。

一個月後，好消息終於來了。

根據警方的案情通報，2019年2月，江蘇某地，實施網絡攻擊的黑客落網；2019年4月，經過縝密偵查和完整的證據鏈固定，北京警方從成都某地帶走了三名幕後主使。2019年5月，北京昌平警方對嫌疑人正式批捕。

這個案件，也成為了“淨網2019”專項行動的一個標杆項目。

這是公眾號“平安昌平”發送的照片，警方抓捕和審訊嫌疑人。

（八）尾聲

驚天大案落下帷幕。

最灰暗的日子過去了， 劉敬元終於能把這些故事一點點講出來。

我不是技術男，我對於技術的知識真的有限。也許有人能濫用技術欺負我們一時，但是我終究相信邪不壓正。用違法手段來進行商業競爭，一定會玩火自焚。在最絕望的時候，有夥伴能一直站在我旁邊，我很感謝月皓。

劉敬元對我説。

這是最終統計，攻擊者攻擊總數。數據來自知道創宇。

夜店裏的俊男靚女們又過上了嗨嗨皮皮的蹦迪生活，他們當然不知道，有一個名叫劉月皓的同學和他知道創宇的同事們怎樣影響了他們的生活。

不過俠客從來如此，事了拂衣去，深藏功與名。

有一個小秘密，劉敬元在臨別之前才告訴我。

在2018年12月25日，最絕望的那一刻，他曾經問月皓：“你能不能幫我用同樣的黑客方法打回去？我和他們拼了！”

月皓一秒都沒有遲疑，嚴肅地説：“一旦你做了這件事，一旦我幫你做了這件事，我們兩個就都跌入萬劫不復的深淵。”

現世安穩，給我們幻覺。每個人看似都有無限的自由，但每個人距離深淵又都只有咫尺之遙。

我們周圍，有一條條看不見的紅線。

月皓面前有一道紅線，紅線這邊，是用技術防禦進攻；紅線那邊，是用技術入侵對手。他知道，作為網絡安全人，決不能邁出紅線一絲一毫。

攻擊者面前有一道紅線，紅線這邊，是用商業手段競爭；紅線那邊，是用非法手段打擊對手。他們最終一點點越過紅線，被前方的黑暗深淵吞沒。

劉敬元面前也有一道紅線，紅線這邊，是相信技術和法律；紅線那邊，是用自己的“正義”裁決對方。在最後一刻他被説服，沒有以暴制暴，以黑吃黑，他用清白之身等到了正義降臨。

正義有時遲到，但從不缺席。

網絡世界永遠存在黑暗的力量，它映射着人們心中永恆的黑暗角落。當深淵在凝視你，召喚你，別忘了腳下那根看不見的紅線。

----------

本文資料來自於劉敬元和劉月皓的口述，參考知道創宇攻擊防護報告，參考微信公眾號“平安昌平”所發佈的官方內容。感謝警察叔叔讓我們的生活更平安。