|
來(lái)源:“法意詩(shī)情”公號(hào)
各省、自治區(qū)���、直轄市人民檢察院第一檢察部�����,人民檢察院刑 事檢察部門(mén): 為進(jìn)一步提升檢察人員辦理網(wǎng)絡(luò)犯罪案件的能力和水平�,幫助大家準(zhǔn)確理解和掌握計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)術(shù)語(yǔ)及其法律適用中的具體內(nèi)涵,確保辦案質(zhì)量和效率�,在浙江省杭州市余杭區(qū)人民檢察院前期工作的基礎(chǔ)上,我們整理匯編了《網(wǎng)絡(luò)犯罪案件技術(shù)法律術(shù)語(yǔ)解釋匯編(一)》?���,F(xiàn)予印發(fā)����,供各地辦案學(xué)習(xí)參考。
今后����,我們還將陸續(xù)整理匯編并不定期發(fā)布新的網(wǎng)絡(luò)犯罪案件技術(shù)法律術(shù)語(yǔ)的解釋。同時(shí)���,也請(qǐng)各地在辦理網(wǎng)絡(luò)犯罪案件過(guò)程中�����,注意收集辦案中所遇到的相關(guān)術(shù)語(yǔ)并作初步解釋?zhuān)皶r(shí)提供給高檢院編輯印發(fā)����。 最高人民檢察院第一檢察廳 2019年7月9日 網(wǎng)絡(luò)犯罪案件技術(shù)法律術(shù)語(yǔ)解釋匯編(一) 1.IP地址(Internet Protocol Address):是指互聯(lián)網(wǎng)協(xié)議地址,是為了保證互聯(lián)網(wǎng)上計(jì)算機(jī)設(shè)備之間的正常通信而為互聯(lián)網(wǎng)上的每臺(tái)設(shè)備分配的唯一的數(shù)字串編號(hào)�。 在網(wǎng)絡(luò)犯罪案件的辦理過(guò)程中,通過(guò)對(duì)IP地址的追蹤可以確定用于作案的設(shè)備的地理位置(經(jīng)緯度等)�,為判斷人機(jī)同一問(wèn)題提供有利參考。 2.域名:是由一串用點(diǎn)分隔的英文字母等符號(hào)組合的互聯(lián)網(wǎng)上某一臺(tái)計(jì)算機(jī)或計(jì)算機(jī)組的名稱(chēng)�,用于在數(shù)據(jù)傳輸時(shí)標(biāo)識(shí)計(jì)算機(jī)的電子方位。例如“www.baidu.com”是一個(gè)域名����,和IP地址“220.181.38.148”對(duì)應(yīng)。域名的產(chǎn)生���,使計(jì)算機(jī)設(shè)備使用人在訪問(wèn)互聯(lián)網(wǎng)上計(jì)算機(jī)設(shè)備時(shí)�����,不需要輸入較難記憶的IP地址數(shù)字串�����,只需要輸入方便好記的域名即可���。 3.域名解析:域名與IP地址之間是一一對(duì)應(yīng)的���,它們之間的轉(zhuǎn)換工作稱(chēng)為域名解析。域名解析需要由專(zhuān)門(mén)的域名服務(wù)器(DNS)來(lái)完成���,整個(gè)過(guò)程是自動(dòng)進(jìn)行的���。 4.域名服務(wù)器(Domain Name Server,DNS):是進(jìn)行域名和與之對(duì)應(yīng)的IP地址轉(zhuǎn)換的服務(wù)器�。當(dāng)一個(gè)計(jì)算機(jī)設(shè)備使用人在瀏覽器地址框打入某一個(gè)域名,或者從其他網(wǎng)站點(diǎn)擊鏈接來(lái)到這個(gè)域名�,瀏覽器向這個(gè)用戶(hù)的上網(wǎng)接入商發(fā)出域名請(qǐng)求,接入商的DNS服務(wù)器要查詢(xún)域名數(shù)據(jù)庫(kù)�����,看這個(gè)域名的DNS服務(wù)器是什么����,然后到該服務(wù)器中抓取DNS記錄����,也就是獲取這個(gè)域名指向哪一個(gè)IP地址。在獲得這個(gè)IP信息后,接入商的服務(wù)器就去這個(gè)IP地址所對(duì)應(yīng)的服務(wù)器上抓取網(wǎng)頁(yè)內(nèi)容���,然后傳輸給發(fā)出請(qǐng)求的瀏覽器����。 5.流量劫持:是指攻擊者通過(guò)技術(shù)手段���,非法攔截�、修改或控制用戶(hù)上網(wǎng)的行為����,以此達(dá)到網(wǎng)絡(luò)流量的引流甚至誘導(dǎo)用戶(hù)安裝木馬程序、獲取用戶(hù)數(shù)據(jù)的非法行為���。 流量劫持黑產(chǎn)鏈條主要包含兩類(lèi)作案團(tuán)伙:一是有推廣APP����、網(wǎng)站�、廣告等流量需求的團(tuán)伙,希望通過(guò)不法手段實(shí)現(xiàn)廣告彈窗����、網(wǎng)頁(yè)跳轉(zhuǎn)���、主頁(yè)鎖定、安裝推廣�、暗扣刷量等進(jìn)行引流,從而變現(xiàn)牟利�;二是流量劫持團(tuán)伙,通過(guò)彈窗木馬軟件����、捆綁流氓軟件、DNS劫持����、運(yùn)營(yíng)商基礎(chǔ)設(shè)施劫持等,對(duì)用戶(hù)進(jìn)行流量劫持����,對(duì)訪問(wèn)者的客戶(hù)端進(jìn)行主頁(yè)鎖定、網(wǎng)頁(yè)跳轉(zhuǎn)���,向訪問(wèn)者推出彈窗廣告、安裝推廣APP�、暗扣流量等,從而與業(yè)務(wù)推廣需求商進(jìn)行分成牟利���。 司法判決中�,對(duì)流量劫持類(lèi)案件的處理,主要分為兩類(lèi):一類(lèi)是以網(wǎng)頁(yè)中帶有誤導(dǎo)性廣告���、下拉框�、菜單等手段���,誘導(dǎo)用戶(hù)進(jìn)入特定網(wǎng)站�,從而實(shí)現(xiàn)流量劫持的目的�,并未采取技術(shù)手段控制、破壞他人計(jì)算機(jī)系統(tǒng)���,一般以不正當(dāng)競(jìng)爭(zhēng)論處�,歸類(lèi)為“非強(qiáng)制性”流量劫持����;另一類(lèi)是以非法控制、破壞他人計(jì)算機(jī)信息系統(tǒng)等方法�,強(qiáng)制改變他人網(wǎng)站訪問(wèn)路徑,歸類(lèi)為“強(qiáng)制性”流量劫持�,應(yīng)予刑事打擊。司法實(shí)踐中�,流量劫持行為的刑事判例主要涉及到非法控制計(jì)算機(jī)信息系統(tǒng)罪�����、非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪�、非法侵入計(jì)算機(jī)信息系統(tǒng)罪等罪名����。 6.DNS劫持:是流量劫持的手段之一,是指攻擊者通過(guò)一定的技術(shù)手段����,篡改某個(gè)域名解析的結(jié)果,使得指向該域名的IP變成另一個(gè)IP����,導(dǎo)致對(duì)相應(yīng)網(wǎng)址的訪問(wèn)被劫持到另一個(gè)不可達(dá)的網(wǎng)址或假冒的網(wǎng)址。最高人民檢察院2017年發(fā)布的指導(dǎo)性案例(檢例第33號(hào))將非法控制或修改他人域名解析系統(tǒng)����,造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行的行為,定性為破壞計(jì)算機(jī)信息系統(tǒng)罪�。 7.DoS(Denial of Service,拒絕服務(wù))攻擊:是指通過(guò)利用各類(lèi)網(wǎng)絡(luò)通信協(xié)議中所存在的漏洞���,使用對(duì)應(yīng)網(wǎng)絡(luò)通信協(xié)議下合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源�����,從而使正常用戶(hù)無(wú)法得到服務(wù)的響應(yīng)的一種網(wǎng)絡(luò)攻擊方式���,是黑客常用的攻擊手段之一。DoS攻擊采用一對(duì)一的方式����,當(dāng)攻擊目標(biāo)服務(wù)器性能不高時(shí),它的效果較為明顯�����。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展�����,計(jì)算機(jī)的處理能力迅速增長(zhǎng)���,DoS攻擊的困難程度加大����。這時(shí)���,分布式的拒絕服務(wù)攻擊手段(DDoS)就應(yīng)運(yùn)而生�。 8.DDoS攻擊(Distributed Denial of Service,分布式拒絕服務(wù))攻擊:是指通過(guò)控制“肉雞”等資源�,對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)攻擊,致使目標(biāo)服務(wù)器斷網(wǎng)或資源用盡�,最終停止提供服務(wù)。DDos攻擊常伴隨敲詐金錢(qián)�����、打擊報(bào)復(fù)����、同行惡意競(jìng)爭(zhēng)等行為。 DDos攻擊的黑產(chǎn)鏈條主要包括發(fā)單人(出資并發(fā)出對(duì)具體網(wǎng)站或服務(wù)器的攻擊需求)�、攻擊實(shí)施者、攻擊程序作者�、肉雞商(侵入計(jì)算機(jī)信息系統(tǒng)的實(shí)施人,或者買(mǎi)賣(mài)被侵入計(jì)算機(jī)系統(tǒng)權(quán)限的中間商���,他們通過(guò)后門(mén)程序配合各種安全漏洞����,獲得個(gè)人計(jì)算機(jī)和服務(wù)器的控制權(quán),通過(guò)植入木馬�,使得計(jì)算機(jī)變成能實(shí)現(xiàn)DDoS攻擊的“肉雞”)、高寬帶服務(wù)器租售者和擔(dān)保人(在發(fā)單�����、購(gòu)買(mǎi)肉雞���、購(gòu)買(mǎi)流量等各個(gè)交易環(huán)節(jié)中,交易雙方找到業(yè)內(nèi)“信譽(yù)”較高的黑客作擔(dān)保�,負(fù)責(zé)買(mǎi)賣(mài)雙方的資金中轉(zhuǎn),擔(dān)保人從中抽取一定的好處費(fèi))����。 司法判決中,對(duì)DDoS攻擊的處理主要涉及到兩個(gè)罪名:一是破壞計(jì)算機(jī)信息系統(tǒng)罪�。理由是:DDoS攻擊雖然不直接對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行增、刪�、改,但是卻通過(guò)操縱網(wǎng)絡(luò)資源�����,虛擬網(wǎng)絡(luò)請(qǐng)求�,對(duì)目標(biāo)發(fā)動(dòng)攻擊,耗盡目標(biāo)主機(jī)的資源和網(wǎng)絡(luò)帶寬,以達(dá)到癱瘓網(wǎng)絡(luò)的目的���,因此將此評(píng)價(jià)為對(duì)系統(tǒng)的干擾���。二是非法控制計(jì)算機(jī)信息系統(tǒng)罪。理由是:一次完整的DDoS攻擊包括前期的控制“肉雞”等資源的行為和后期的直接攻擊行為����,二者為手段和目的的關(guān)系。但是一些案件中���,行為人只參與了前半程行動(dòng)�����,沒(méi)有實(shí)施直接攻擊行為�����,而在證據(jù)上難以認(rèn)定前后行為存在共謀�����,則只對(duì)前半程行為單獨(dú)認(rèn)定����;或者后半程行為證據(jù)缺失�,則也只能對(duì)前半程控制行為予以認(rèn)定�。 9.反射型DDoS攻擊:DDoS攻擊的變種。攻擊者并不直接攻擊目標(biāo)服務(wù)器IP地址,而是利用互聯(lián)網(wǎng)上的某些提供開(kāi)放服務(wù)的服務(wù)器,通過(guò)偽造被攻擊者的IP地址����、向多個(gè)有開(kāi)放服務(wù)的服務(wù)器發(fā)送請(qǐng)求數(shù)據(jù)的報(bào)文����,后者會(huì)根據(jù)報(bào)文請(qǐng)求將數(shù)倍于請(qǐng)求報(bào)文的回復(fù)數(shù)據(jù)發(fā)送到被攻擊者IP�,從而對(duì)被攻擊者間接形成DDoS攻擊���。在反射型DDoS攻擊中,攻擊者利用網(wǎng)絡(luò)協(xié)議的缺陷或者漏洞進(jìn)行IP欺騙,主要是因?yàn)楹芏鄥f(xié)議(例如 ICMP,UDP 等)對(duì)源IP不進(jìn)行認(rèn)證����。反射型DDoS攻擊通過(guò)第三方開(kāi)放性服務(wù)器的“反射”,攻擊能力成倍增加并遠(yuǎn)超普通DDoS攻擊����,危害極大����。 辦理DDoS攻擊類(lèi)案件的難點(diǎn)在于證實(shí)危害行為和危害結(jié)果間的因果關(guān)系。在反射型DDoS攻擊案件中�����,這一證明難點(diǎn)更加凸顯。在犯罪嫌疑人被抓獲后���,公安機(jī)關(guān)應(yīng)當(dāng)及時(shí)查證DDoS攻擊路徑中的網(wǎng)站建立者、攻擊者�����。從網(wǎng)站建立者的服務(wù)器中及時(shí)勘查攻擊者注冊(cè)信息����,網(wǎng)站建立者使用網(wǎng)站進(jìn)行攻擊的記錄����,調(diào)取案發(fā)時(shí)間攻擊者在攻擊網(wǎng)站輸入的被害人IP記錄�����。 10.肉雞(也稱(chēng)“肉機(jī)”�����、“傀儡機(jī)”):是指已經(jīng)被黑客或者其他人員遠(yuǎn)程控制的服務(wù)器或者計(jì)算機(jī)���?!叭怆u”通常被利用實(shí)施DDoS攻擊�����?���!叭怆u”可以是一家公司、企業(yè)����、學(xué)校甚至是政府軍隊(duì)的服務(wù)器����,還可以是攝像頭�����、機(jī)頂盒等物聯(lián)網(wǎng)設(shè)備�����。 公安機(jī)關(guān)可以通過(guò)勘驗(yàn)“肉雞”內(nèi)相關(guān)數(shù)據(jù)�,獲取侵入“肉雞”的遠(yuǎn)程控制程序的服務(wù)器IP地址,從而鎖定實(shí)施攻擊行為的真實(shí)服務(wù)器�����?��!叭怆u”一般出現(xiàn)在非法侵入計(jì)算機(jī)信息系統(tǒng)、破壞計(jì)算機(jī)信息系統(tǒng)�、利用釣魚(yú)軟件實(shí)施的網(wǎng)絡(luò)詐騙等案件中。 11.Ping:是Windows�、Unix和Linux系統(tǒng)下的一個(gè)命令。Ping也屬于一個(gè)通信協(xié)議�,是TCP/IP協(xié)議的一部分�����。利用Ping命令可以檢查網(wǎng)絡(luò)是否連通�,在通常情況下�,Ping可以用于分析和判定網(wǎng)絡(luò)故障。在危害計(jì)算機(jī)信息系統(tǒng)安全案件中���,行為人往往會(huì)首先使用Ping來(lái)獲知其要攻擊的被害人服務(wù)器IP地址�����,在使用攻擊軟件攻擊被害人的IP地址后�,往往會(huì)再使用Ping來(lái)測(cè)試攻擊效果�����。在辦理危害計(jì)算機(jī)信息系統(tǒng)安全犯罪案件中���,應(yīng)當(dāng)注意勘查犯罪嫌疑人的計(jì)算機(jī)設(shè)備中使用過(guò)的Ping命令中是否輸入過(guò)被害人IP地址����,以此印證犯罪嫌疑人對(duì)被害人實(shí)施攻擊行為的事實(shí)。 12.流量清洗�����、黑洞:“流量清洗”和“黑洞”都是阿里云服務(wù)器為其用戶(hù)提供的防御DDoS攻擊的服務(wù)���。當(dāng)網(wǎng)絡(luò)流量達(dá)到閾值�����,系統(tǒng)就會(huì)自動(dòng)對(duì)該IP流量進(jìn)行清洗����。關(guān)于“流量清洗”���,是指將流量從原始網(wǎng)絡(luò)路徑定向到清洗設(shè)備上�,通過(guò)清洗設(shè)備對(duì)該IP的流量成分進(jìn)行正常和異常的判斷���,丟棄異常流量���,并對(duì)最終到達(dá)服務(wù)器的流量實(shí)施限流,減緩攻擊對(duì)服務(wù)器造成的損失����。關(guān)于“黑洞”,是指云服務(wù)器遭受大量攻擊且超過(guò)免費(fèi)防御的流量值時(shí)�����,進(jìn)入的防護(hù)狀態(tài)���?!傲髁壳逑础焙汀昂诙础笔莾蓚€(gè)不同的防護(hù)操作�,互不影響,黑洞期間流量清洗也有可能繼續(xù)執(zhí)行����。流量清洗對(duì)較小的異常流量的訪問(wèn)請(qǐng)求予以拒絕,以保障正常流量的訪問(wèn)請(qǐng)求不受影響���。黑洞觸發(fā)時(shí)阿里云后臺(tái)會(huì)拒絕該服務(wù)器所有的訪問(wèn)請(qǐng)求�,包括正常流量和異常流量����。黑洞期間,服務(wù)器處于完全癱瘓狀態(tài)�����,不能響應(yīng)任何請(qǐng)求。在辦理破壞阿里云服務(wù)器用戶(hù)計(jì)算機(jī)信息系統(tǒng)案件時(shí)�����,應(yīng)及時(shí)從阿里云服務(wù)器中調(diào)取流量清洗和黑洞的起止時(shí)間�����,以此認(rèn)定計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行的累計(jì)時(shí)間�����。 13.封堵:是騰訊云為用戶(hù)提供的免費(fèi)DDoS攻擊防護(hù)服務(wù)����。當(dāng)外網(wǎng)IP被攻擊峰值超過(guò)2G bps,騰訊云會(huì)執(zhí)行IP封堵操作�,一般封堵的時(shí)長(zhǎng)為2小時(shí),大流量攻擊時(shí)����,封堵的時(shí)長(zhǎng)從24小時(shí)到72小時(shí)不等。 ※阿里云�����、騰訊云在面對(duì)DDoS攻擊時(shí)的防御措施存在差異。阿里云會(huì)先進(jìn)行流量清洗再置黑洞���,而騰訊云在發(fā)現(xiàn)服務(wù)器異常大流量涌入時(shí)會(huì)采取封堵措施。在辦理破壞計(jì)算機(jī)信息系統(tǒng)案時(shí)�����,應(yīng)及時(shí)從騰訊云服務(wù)器中調(diào)取封堵的起止時(shí)間�,以此來(lái)判斷計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行的累計(jì)時(shí)間。根據(jù)騰訊云封堵時(shí)間的設(shè)置�����,DDoS攻擊只要激活騰訊云的封堵操作�,則起步時(shí)間即為2小時(shí)。
|
