我盯着屏幕上那个12字节的附加帧，手指在桌面上敲出稳定节奏。这不对劲。无线中断后恢复的数据包不该带这种字段。我把文件拖进解析器，结果返回“协议未识别”。

　　立刻调出R-07过去24小时的所有出入站日志。冷却泵还在嗡嗡响，声音和我的敲击频率叠在一起。我把数据导入程卫国建的流量基线模型，开始比对异常点。

　　三分钟后，我发现三次非周期性心跳包。间隔完全一致，每次相隔4分17秒。这不是系统自检，也不是设备故障。这是扫描。有人在试探边缘节点的响应逻辑。

　　我手动锁定这个IP段，标记为高危入口，把它导入“影子网关”隔离区。这是之前搭好的虚拟网络，专门用来隔离可疑连接。只要对方继续动作，就会被引入一个假服务器环境。

　　防火墙自动弹出提示：【检测到持续性探测行为，是否启动蜂巢诱捕协议？】

　　我点了确认。

　　系统开始生成虚拟主机。虚假数据库、模拟漏洞接口、伪造的权限路径全部上线。整个过程不到二十秒。真正的核心系统已经被剥离出去，现在留在网上的只是一个壳。

　　刚完成部署，攻击流量突然加大。新的IP地址不断冒出来，像雨点一样砸在防火墙上。这些地址分布在七个国家，全是公共代理节点。常规追踪没法用。

　　我打开协议分析面板，发现请求包结构很奇怪。表面看是标准HTTP协议，但内部封装了一层冷门通信格式。普通解码工具打不开。

　　我喊了沈砚秋过来。

　　她走进指挥中心时手里拿着笔记本电脑，坐在我旁边没说话，直接插上调试线接入系统。屏幕分成两块，左边是攻击数据流，右边是行为时间轴。

　　她看了一会儿，说：“操作节奏有问题。”

　　“怎么说？”

　　“你看第三次攻击尝试的时间戳。他们在等反馈，但等待时长刚好超过自动重试阈值。正常自动化工具不会这样。这是人为控制，而且操作者习惯用西海岸时区的工作节奏。”

　　我没吭声。西海岸，军事承包商常用的手法。

　　她继续翻日志，“还有，指令之间的停顿有规律。前两次间隔3.2秒，第三次变成4.1秒，然后回落到2.8秒。像在调整策略。这不是脚本，是人在现场指挥。”

　　我调出协议逆推模块。这是系统里一个没公开的功能，能模拟多层加密跳转路径。我把攻击包丢进去，设定还原层级为七。

　　进度条走到第六层时，解码成功。原始目标地址浮出来——一台注册在东南亚的中继服务器。域名归属是一家叫“东方艺廊”的空壳公司。

　　我查了一下。这家公司法人代表是艾琳娜·沃森。

　　沈砚秋看到这个名字，笔尖在桌面上轻轻一点。她没说话，但我知道她明白了。

　　对方还在往诱饵系统里钻。他们找到了那个伪造的“核心密钥文件”，开始下载。

　　我设置了一个动态诱饵机制。每次有人读取这个文件，系统都会生成唯一的追踪标记，并悄悄写进返回包头。只要他们的终端回传数据，这个标记就会跟着回去。

　　五分钟后，追踪生效。

　　标记顺着反向连接爬了七层代理，最终落在一个临时接入点上。位置定位显示在东海某岛屿附近海域。设备指纹被捕获，是一台改装过的卫星通信终端，IMEI编号有刮擦痕迹。

　　虽然只维持了11秒，但我们拿到了足够信息。

　　沈砚秋合上电脑，蓝黑色钢笔在指间转了一圈。她说：“艾琳娜亲自下的手。”

　　“她不该这么急。”我说。

　　“她是想试试我们有没有察觉上次的干扰。”

　　“现在她知道了。”

　　屏幕上，蜂巢防火墙的状态灯由红转绿。攻击流量已经停止。最后一条日志记录显示，对方切断了所有连接。

　　我保存了完整的攻击链路图谱。从最初的DNS探测，到中间七层跳转，再到最终指挥终端的暴露位置，全部闭环。

　　沈砚秋看着我：“要不要追？”

　　“不。”我说，“我们现在动，反而会打草惊蛇。让他们以为这次行动没留下痕迹。”

　　“那你打算怎么办？”

　　“记下这个IP跳变规律。”我指着屏幕上的时间序列，“下次他们再连，我们提前布网。等他们进来一半的时候，切断出口，把数据反灌回去。”

　　她点头。

　　我重新检查了一遍主控系统的安全状态。所有真实节点都处于离线监控模式，只有诱捕系统还挂着。我把它维持在运行状态，不关闭也不重启。让这个假目标继续亮着，像一盏灯。

　　沈砚秋起身准备离开。走到门口时她停下，“艾琳娜不会善罢甘休。”

　　“我知道。”

　　“她背后还有人。”

　　“那就让他们都来。”

　　她没再说什么，走了。

　　我坐着没动。手指继续敲着桌面，节奏没变。

　　系统提示音响起。建筑值增加了20点。诱捕协议成功运行满一小时，触发奖励。

　　我打开下一步计划。

　　量子边缘协同协议需要1200建筑值，现在是946。差254。建两座专用中继站应该够了。

　　但我没急着提交申请。

　　刚才那波攻击太精准了。他们知道R-07刚经历过雷暴干扰，系统稳定性还没完全恢复。这不是随机选的目标。

　　说明内部有信息泄露。

　　我调出所有参与六代机测试的技术人员名单，开始标记权限等级和接触范围。

　　然后我把那份12字节的附加帧重新加载。

　　这一次，我用最底层的十六进制编辑器打开它。

　　第一行代码是：45 56 45 4E 54 5F 4C 4F

　　我逐个转换成字符。

　　EVENT_LO

　　后面四个字节是：43 41 54 45

　　拼起来是：EVENT_LOCATE

　　事件定位。

　　这不是垃圾数据。这是一个指令标签。

　　我把它单独保存，放进加密区最深层。

　　然后刷新全国节点地图。

　　所有光点都正常闪烁。内蒙古、甘肃、XJ……每一个都在稳定运行。

　　我的手放在键盘上，没有抬起来。