凌晨三点十九分，监控屏幕上攻击波次的间隔从十五分钟缩短到九分钟。我盯着那条不断跳动的流量曲线，手指敲在桌面上，节奏没变。沈砚秋还在分析终端前，耳机已经戴上，屏幕上的IP簇群被重新分类，标记成三种颜色。

　　“刚才那条日志。”我说，“载荷里那个编码字符，你之前见过吗？”

　　她停下操作，转头看我一眼。“不是通用格式。像是调试接口留下的标记。”

　　我把记录调出来推过去。一串由字母和数字组成的短码，嵌在请求包尾部，位置隐蔽，如果不是专门筛查几乎不会被发现。

　　她把这组字符拖进数据库比对模块。三分钟后，结果弹出——匹配度97.6%，来源是三年前美军“哨兵-7”项目的一次内网测试日志。那份文件本不该公开，但当年有承包商员工泄露过部分数据包。

　　“军方背景。”她说，“但这不能说明这次攻击就是他们直接发起的。”

　　我知道她在想什么。证据链太薄。一个编码格式相似，只能证明工具同源，不能证明指挥归属。

　　“再查调度规律。”我说，“如果只是商业公司干的，没必要用这么复杂的跳转路径。七层代理，全球分布，每次刷新前都有0.8秒静默期。这不是为了隐藏IP，是为了同步指令。”

　　她点头，开始建模。时间戳、TLS指纹、路由层级三项数据被导入三维坐标系。攻击节点在图上形成动态网络，每一次波次发动前，所有分支都会短暂断连，然后在同一毫秒级窗口内重启连接。

　　“这个同步信号。”她指着延迟反推线，“源头不在民用通信卫星覆盖区。信号往返延迟显示，物理距离指向西太平洋某点。”

　　地图展开，定位落在东经132度、北纬34度附近——冲绳嘉手纳空军基地周边。

　　“美军设施。”我说，“但他们不会用自己的服务器发攻击。一定是通过外包公司中转。”

　　她切换到AS编号查询界面。三家提供主要流量入口的境外服务商浮现在列表中。我逐个点开股权结构图，发现它们都曾接受过一笔来自离岸基金的投资。那支基金的最终受益人，关联到一家名为“天穹网络”的公司。

　　“这家公司。”我说，“三年前在东欧搞过一次战术级压制行动。当时伪装成黑客组织，实际是美陆军网络战司令部的外包项目。”

　　她没说话，继续往下挖。攻击样本被拆解到协议层，我们开始检查每一次握手过程中的细微偏差。普通防火墙看不到这些，但我们有完整的流量镜像。

　　凌晨四点零七分，第一处异常出现。某个IP在第二次重连时，使用的会话ID与首次请求存在数学关联。这种设计不符合标准TCP协议，属于私有扩展字段。

　　“后门标记。”我说，“他们在测试控制通道的稳定性。”

　　她立刻设置规则，筛选所有包含该字段的数据包。数量不多，只有三百多个，但全部集中在最近两小时内。这些请求没有参与实际攻击，更像是系统自检。

　　“这是备用链路。”我说，“主通道一旦被封，他们会切到这里重新组织攻击。”

　　我们顺着这条链路逆向追踪，最终落到一台位于新加坡的托管服务器。机房登记信息是空壳公司，但运维日志显示，过去二十四小时有三次远程登录，IP来自德国、阿联酋和墨西哥，但经过深度分析，三地登录设备的硬件指纹高度一致——同一台笔记本电脑。

　　“人在移动。”她说，“故意绕路登录，避免被定位。”

　　线索到这里又断了。但我们知道，幕后操作者并没有完全隐身。他留下了节奏，留下了协议特征，留下了调度逻辑。

　　我站起身走到她身后，看着屏幕上仍在滚动的日志流。“你还记得第385章那次全息投影爆炸吗？也是‘天眼-7’卫星发的信号。当时我们就怀疑背后有军方技术支持。现在看来，不是巧合。”

　　她摘下耳机，声音很轻。“但现在的问题是，我们手里只有间接证据。编码格式、地理位置、协议特征、资金链条……每一条单独拿出来都能被解释成巧合。如果我们现在公布，对方只会说这是民间竞争行为，甚至反过来指责我们制造恐慌。”

　　“可我们已经在承受攻击。”我说，“系统随时可能崩溃。等不到完美证据。”

　　“那就先不对外。”她说，“我们现在要做的是织网。把每一个碎片钉死，让它们之间形成闭环。等到发布那天，没人能反驳。”

　　我看了她一眼。她桌上的三盆绿萝中，靠左的那一盆被移到了显示器边缘。那是代表“威胁”的那一盆。

　　我没有再说要公开的事。

　　回到主控台，我下令隔离所有捕获的攻击样本，转入封闭分析环境。系统开始自动提取行为特征，记录每一次指令刷新的时间偏移、响应延迟、加密套件切换模式。

　　沈砚秋重新戴上耳机，启动深层解包程序。她设定了过滤条件：优先筛查带有非标准椭圆曲线加密、特殊时间偏移组合、以及心跳协议残留的日志段。

　　时间一点一点过去。

　　五点十二分，警报再次响起。新一轮攻击强度提升，响应时间再次突破一千毫秒。我切换路由策略，将核心服务迁移到备用集群，暂时缓解压力。

　　六点十八分，攻击波次频率再度加快，间隔压缩到六分钟。系统警告内存占用达到临界值。

　　七点三十分，太阳升起，施工队的声音从走廊传来，有人在搬运设备。但我们没离开。

　　八点零九分，沈砚秋突然抬手，叫住我。

　　“这里有一段残片。”她指着屏幕，“没完全清除的日志内容。”

　　我走过去。那段文字藏在一个被丢弃的会话缓存里，格式错乱，但还能读出部分内容：

　　“Operation Silent Core， Phase 3– Maintain Pressure Until Collapse”

　　中文意思是：“静核行动，第三阶段——持续施压直至系统崩溃”。

　　这不是商业竞争用语。这是军事行动代号。

　　更关键的是，这条日志头部附带了一个数字证书序列号。她立即接入国际公网证书库进行比对。

　　十秒后，结果返回。

　　签发机构：Klein Defense Cybernetics。

　　克莱因工业旗下子公司，专营军用网络安全解决方案，持有美国国防部三级安全许可。

　　房间里安静下来。

　　我知道这个名字意味着什么。查尔斯·霍克的公司，表面上做民用技术，实际上长期承接美军网络战项目。他们有自己的渗透团队、有自己的攻击框架、有自己的指挥链。

　　而现在，他们的证书出现在对我们发动DDoS攻击的日志里。

　　这不是第三方滥用。这是直接参与。

　　我坐回位置，手指继续敲击桌面，节奏依旧稳定。脑子里已经开始盘算下一步该怎么走。

　　公开？还不行。这段日志可以被解释为“证书被盗用”或“系统遭入侵”。我们需要更多。

　　比如，资金流向。比如，操作员的真实身份。比如，指挥链路上的通讯记录。

　　“继续深挖。”我说，“尤其是这个证书的使用记录。查它在过去七十二小时内签发过哪些连接授权。如果有其他攻击行为关联，就能证明这不是孤立事件。”

　　她点头，开始部署多线程还原程序。后台任务启动，数据流缓缓加载。

　　我盯着主控台，屏幕上正在生成一张证据关联图谱。编码格式、地理位置、AS编号、协议特征、证书信息……各个节点之间开始出现连线。

　　第一块拼图已经落下。

　　外面天光大亮，主控室的灯依然亮着。

　　沈砚秋的手指在键盘上敲下最后一行指令。

　　程序开始运行。