六省網路癱瘓緣起駭客私鬥:租91台伺服器攻擊

很多線民對兩個月前的一次網路大面積癱瘓事件記憶猶新：5月19日21時50分開始，江蘇、安徽、廣西、海南、甘肅、浙江六省區使用者訪問網站速度變慢或乾脆斷網。 截至20日淩晨1時20分，受影響地區的互聯網服務才基本恢復正常。 7月6日，這起受到全國普遍關注的「5·19」網路癱瘓案，其4名犯罪嫌疑人被江蘇省常州市天甯區人民檢察院以涉嫌破壞電腦資訊系統罪批准逮捕。 日前，辦案檢察官在接受記者採訪時道出這起案件的緣起：「5·19」六省區的網路癱瘓案，起因竟是幾個網路私服經營者和競爭對手相互掐架。 其掐架猶如推倒的多米諾骨牌，引發了連鎖反應。 值得深思的是，這種相互採取駭客攻擊式的掐架，目前在網路私服行業相當普遍。 六省區斷網兩個多小時5月19日下午，在常州市區一寫字樓內上班的小陳感覺網速越來越慢。 隨後，新浪、搜狐、網易等入口網站均不能訪問。 一開始，他以為是自己的電腦中毒了，於是不斷地殺毒、優化、清除電腦垃圾，但一點效果也沒有。 隨後，他發現單位同事的電腦也出現了同樣的情況。 於是，同事們又不斷地將單位的路由器重啟，但一點效果也沒有。 令小陳和他的同事們沒有想到的是，他們正經歷著一次影響到全國六省區的大面積斷網事件。 5月21日，工信部發佈消息稱，5月19日21時50分開始，江蘇、安徽、廣西、海南、甘肅、浙江六省區使用者訪問網站速度變慢或乾脆斷網。 截至20日淩晨1時20分，受影響地區的互聯網服務基本恢復正常。 對於事件的原因，當時眾說紛紜。 工信部正式發表通報，初步解釋此次事故的原因：由於暴風影音（影音播放軟體）網站的功能變數名稱解析系統受到網路攻擊，導致電信DNS伺服器訪問量突增，網路處理性能下降。 公安部門接到報案後，立即組織江蘇、浙江等地公安部門開展調查。 一時間，此案受到全國媒體普遍關注。 由於此次「私服」攻擊的那台伺服器設在常州，公安部將此案交由常州警方辦理。 常州警方通過網路技術監控發現，在廣東佛山的一台伺服器有異常情況，經布控，將這台伺服器的主人抓獲，並一舉控制其他3名同夥。 目前，4名犯罪嫌疑人已被常州市天甯區檢察院以涉嫌破壞電腦資訊系統罪批准逮捕。 這一引發大面積網路癱瘓的案件，近10年來都十分罕見。 這起案件是怎樣引發的？ 幕後又隱藏著什麼？ 租用91台私服攻擊別人在辦案檢察官的眼中，這4名犯罪嫌疑人都是「80後」，案件的兩個核心人物是小兵（化名）和小青（化名），兩人都是1986年出生。 小兵是浙江人，父親在廣東佛山開一家棉花廠。 小兵和小青是同學，小兵畢業後到父親的棉花廠幫忙。 不久，小青也來到棉花廠。 有一次，小青告訴小兵，說經營私服（私人伺服器）賺錢。 小兵決定投資私服，專門經營網路遊戲和廣告。 在這個小公司裡，小兵是大股東，負責投資，小青負責技術。 私服是未經版權擁有者授權，非法獲得伺服器端安裝程式之後設立的網路伺服器，本質上屬於網路盜版，結果是直接分流了運營商的利潤。 一些網路遊戲等網站商家租用像小兵這樣的私服，半年或一年一租。 在強手如雲的私服業內，像小兵這樣經營私服的公司規模小、技術薄弱，他們小打小鬧，很難賺到錢。 後來，他們發現，他們賺不到錢的主要原因是，在私服業內，各經營私服的對手經常相互攻擊，只有將對手擊敗後，自己才能將對方的客戶搶過來。 自己經常被攻擊，公司盈利不高，為此，小兵一直頭痛不已。 後來，小兵認識了一個網友，兩人在聊到經營私服被對手攻擊的時候，這個網友說，攻擊人家的網站，需要一定的流量，否則很難奏效。 流量是什麼概念？ 「辦理這個案子後，我從一個電腦盲差不多變成了半個專家了。 」辦理此案的檢察官笑著說，流量好比A手機對B手機發送一條短信，B手機運行正常，但是，如果同一時間有5000部手機對B手機發送短消息，那B手機肯定會爆掉。 那個網友就跟小兵解釋這個原理。 那要如何才能達到一定的流量呢？ 這個網友說，要達到一定的流量，就要增加攻擊的私服數量。 為此，小兵、小青聯合兩人的親戚小風、小寶一共投資了28萬元，請那個網友聯繫，租用了91台私服，專門用來攻擊其他私服。 租用的這91台私服，在浙江蒼南。 正面強攻不佳，轉向攻擊「功能變數名稱解析」由於幾個人對網路技術並不專業，儘管租用了91台伺服器，但在直接攻擊其他網游私服的過程中，發現對部分私服的攻擊效果不是很好。 為此，幾個人在網上發帖尋求「説明」。 很快，小兵就認識了一個網友小強（化名）。 值得注意的是，直到抓捕歸案，兩人以前都從未謀面。 小兵向小強請教怎麼攻擊對手私服。 小強告訴他，直接攻擊私服的效果不是很好，如果攻擊這些網站的功能變數名稱解析伺服器，致使這些網站無法訪問，應該效果不錯。 小強自己也在浙江東陽經營一家網路公司，也同時經營私服，但是小強自己也對網路技術不夠專業。 於是他叫自己的員工小剛（化名）完成這個任務。 小剛接到任務後，連夜趕制了成套網上攻擊的方法，寫成文字檔，通過郵件發給了小青。 小強在整個過程中，未收取小兵方面一分錢，那麼，他為什麼要這麼做呢？ 據小強自己說，私服行業整個的風氣就是相互惡意攻擊，誰攻擊對方取得成功，誰就能賺錢。 他教小兵實施攻擊的主要目的，一是為自己在「網路江湖」上揚名立萬，另外就是這樣做了以後，他的名聲傳出去，就沒人敢攻擊他自己公司的私服，對自己也是一種保護。 5月18日晚，攻擊正式開始。 具有諷刺意味的是，案件的主要人物小兵並沒有把這次攻擊當回事。 他把整個攻擊的工作交給小青，自己則去一家酒吧會女網友了。 當晚7時左右，小青用公司電腦開始發起攻擊。 他們誰都沒料到，小剛設計的攻擊方法採用的是「擒賊先擒王」的策略，也就是直接攻擊私服網站的「首腦」—— DNSPod伺服器。 DNSPod是一個免費功能變數名稱，它的東家是南通萬達網路服務公司，負責人是一個叫吳洪聲的年輕人，今年才24歲。 吳洪聲的個人網站主要為國內眾多網站提供功能變數名稱解析服務。 雖然是非公司運營，但他旗下已經擁有16台伺服器，分佈在全國各地。 他服務的網站包括Verycd、雨林木風、4399、小遊戲、暴風影音、CNZZ等知名網站。 DNSPod伺服器下面管理著很多私服，是眾多私人伺服器的首腦。 一旦DNSPod受攻擊癱瘓，其他私服都會受損。 當初小青他們選擇攻擊物件的時候，表面上他們選擇攻擊的六七個私服，都是幾家遊戲網站，他們萬萬沒想到或者說根本沒這方面的意識，這幾家網站和暴風影音是同一個DNSPod伺服器。 攻擊僅20多分鐘，六省區網路癱瘓吳洪聲的這台DNSPod伺服器委託常州電信託管，安放在常州電信勤業機房內。 小青在自己的電腦公司內實施攻擊了20多分鐘後，就將攻擊程式關閉了。 然後他就在公司內的辦公椅上打瞌睡，絲毫沒有意識到，他這次20分鐘的攻擊會引發軒然大波。 小青實施攻擊後不久，遠在常州的電信勤業機房管理員發現，DNSPod伺服器埠流量異常，立即向上級彙報，常州電信接報後又向江蘇電信匯報請示。 為防止意外發生，江蘇電信果斷決定，立即關閉DNSPod伺服器。 不幸的是，這台被電信關閉的DNS伺服器當時恰好在為大約10萬家網站提供功能變數名稱解析服務，其中就包括暴風影音，此外還包括大量地方入口網站、個人網站和企業網站。 這導致大量使用者隨後無法訪問這些網站。 也許有人會問，DNSPod關閉後，為何18日晚沒有出現網路癱瘓，而一直到19日晚才全面爆發？ 原來，萬達公司與常州電信簽訂託管協定時，對DNSPod約定有緩衝時間，請求解析一次失敗後，DNSPod有24小時的緩存期。 但也正是由於緩存期的存在，一直正常的表像並沒有讓管理方找到DNSPod埠流量異常的真實原因，以致沒有採取正確的挽救措施，從而引起大面積癱瘓事故。 19日晚事發後，吳洪聲一直忙於解決18日晚的攻擊問題，直到20日下午有朋友告訴他，19日晚大面積故障可能與DNSPod有關，他才恍然大悟。 此時工信部已召開緊急會議，暴風高層也聯繫到吳洪聲，商量後續備份功能變數名稱伺服器問題。 21日，工信部聯合暴風及DNSPod向公安部門報案。 7月6日，小兵等4人因涉嫌破壞電腦資訊系統罪被天甯區檢察院批准逮捕。 相關部門應加強監管據辦案檢察官介紹，4名犯罪嫌疑人事前一直不認為自己的行為是在犯罪。 他們一直認為，國內很多經營私服的網路公司之間相互進行攻擊，這種行為太多了，甚至大家認為這是一種正常行為。 辦案檢察官說，對「駭客」攻擊的行為，法律上有兩條罪名可以追究，一是非法侵入電腦資訊系統罪，另一條是破壞電腦資訊系統罪，前者是涉及到國家安全，小兵等人的行為則適用于後者。 案中4人不但沒有意識到自己是在犯罪，甚至根本沒想到自己的攻擊行為會引發這麼嚴重的後果。 一位專業人士稱，此次斷網事件開始于「私服」經營者之間的惡性競爭，他們的目的很簡單，就是「揚名謀利」。 在目前的網路行業中，這種惡性競爭很普遍，只不過這次由於一些偶然因素造成了更加惡劣的後果，才讓這幾家網游私服之間的事暴露出來。 此次網路大癱瘓爆發得如此突然，涉及範圍如此之廣，影響如此之深，令廣大線民和業內專家都始料未及。 辦案檢察官告訴記者，辦理這次案子，發現有很多值得深思的地方，從技術上、法律上、行業上，國家相關部門都應加強監管。