网络犯罪案件技术法律术语解释汇编
各省、自治区、直辖市人民检察院第一检察部,新疆生产建设兵团人民检察院刑 事检察部门:
为进一步提升检察人员办理网络犯罪案件的能力和水平,帮助大家准确理解和掌握计算机网络技术术语及其法律适用中的具体内涵,确保办案质量和效率,在浙江省杭州市余杭区人民检察院前期工作的基础上,我们整理汇编了《网络犯罪案件技术法律术语解释汇编(一)》。现予印发,供各地办案学习参考。
今后,我们还将陆续整理汇编并不定期发布新的网络犯罪案件技术法律术语的解释。同时,也请各地在办理网络犯罪案件过程中,注意收集办案中所遇到的相关术语并作初步解释,及时提供给高检院编辑印发。
1.IP地址(Internet Protocol Address):是指互联网协议地址,是为了保证互联网上计算机设备之间的正常通信而为互联网上的每台设备分配的唯一的数字串编号。
在网络犯罪案件的办理过程中,通过对IP地址的追踪可以确定用于作案的设备的地理位置(经纬度等),为判断人机同一问题提供有利参考。
2.域名:是由一串用点分隔的英文字母等符号组合的互联网上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位。例如“”是一个域名,和IP地址“220.181.38.148”对应。域名的产生,使计算机设备使用人在访问互联网上计算机设备时,不需要输入较难记忆的IP地址数字串,只需要输入方便好记的域名即可。
3.域名解析:域名与IP地址之间是一一对应的,它们之间的转换工作称为域名解析。域名解析需要由专门的域名服务器(DNS)来完成,整个过程是自动进行的。
4.域名服务器(Domain Name Server,DNS):是进行域名和与之对应的IP地址转换的服务器。当一个计算机设备使用人在浏览器地址框打入某一个域名,或者从其他网站点击链接来到这个域名,浏览器向这个用户的上网接入商发出域名请求,接入商的DNS服务器要查询域名数据库,看这个域名的DNS服务器是什么,然后到该服务器中抓取DNS记录,也就是获取这个域名指向哪一个IP地址。在获得这个IP信息后,接入商的服务器就去这个IP地址所对应的服务器上抓取网页内容,然后传输给发出请求的浏览器。
5.流量劫持:是指攻击者通过技术手段,非法拦截、修改或控制用户上网的行为,以此达到网络流量的引流甚至诱导用户安装木马程序、获取用户数据的非法行为。
流量劫持黑产链条主要包含两类作案团伙:一是有推广APP、网站、广告等流量需求的团伙,希望通过不法手段实现广告弹窗、网页跳转、主页锁定、安装推广、暗扣刷量等进行引流,从而变现牟利;二是流量劫持团伙,通过弹窗木马软件、捆绑流氓软件、DNS劫持、运营商基础设施劫持等,对用户进行流量劫持,对访问者的客户端进行主页锁定、网页跳转,向访问者推出弹窗广告、安装推广APP、暗扣流量等,从而与业务推广需求商进行分成牟利。
司法判决中,对流量劫持类案件的处理,主要分为两类:一类是以网页中带有误导性广告、下拉框、菜单等手段,诱导用户进入特定网站,从而实现流量劫持的目的,并未采取技术手段控制、破坏他人计算机系统,一般以不正当竞争论处,归类为“非强制性”流量劫持;另一类是以非法控制、破坏他人计算机信息系统等方法,强制改变他人网站访问路径,归类为“强制性”流量劫持,应予刑事打击。司法实践中,流量劫持行为的刑事判例主要涉及到非法控制计算机信息系统罪、非法获取计算机信息系统数据罪、非法侵入计算机信息系统罪等罪名。
6.DNS劫持:是流量劫持的手段之一,是指攻击者通过一定的技术手段,篡改某个域名解析的结果,使得指向该域名的IP变成另一个IP,导致对相应网址的访问被劫持到另一个不可达的网址或假冒的网址。最高人民检察院2017年发布的指导性案例(检例第33号)将非法控制或修改他人域名解析系统,造成计算机信息系统不能正常运行的行为,定性为破坏计算机信息系统罪。
7.DoS(Denial of Service,拒绝服务)攻击:是指通过利用各类网络通信协议中所存在的漏洞,使用对应网络通信协议下合理的服务请求来占用过多的服务资源,从而使正常用户无法得到服务的响应的一种网络攻击方式,是黑客常用的攻击手段之一。DoS攻击采用一对一的方式,当攻击目标服务器性能不高时,它的效果较为明显。随着计算机与网络技术的发展,计算机的处理能力迅速增长,DoS攻击的困难程度加大。这时,分布式的拒绝服务攻击手段(DDoS)就应运而生。
8.DDoS攻击(Distributed Denial of Service,分布式拒绝服务)攻击:是指通过控制“肉鸡”等资源,对一个或多个目标发动攻击,致使目标服务器断网或资源用尽,最终停止提供服务。DDos攻击常伴随敲诈金钱、打击报复、同行恶意竞争等行为。
DDos攻击的黑产链条主要包括发单人(出资并发出对具体网站或服务器的攻击需求)、攻击实施者、攻击程序作者、肉鸡商(侵入计算机信息系统的实施人,或者买卖被侵入计算机系统权限的中间商,他们通过后门程序配合各种安全漏洞,获得个人计算机和服务器的控制权,通过植入木马,使得计算机变成能实现DDoS攻击的“肉鸡”)、高宽带服务器租售者和担保人(在发单、购买肉鸡、购买流量等各个交易环节中,交易双方找到业内“信誉”较高的黑客作担保,负责买卖双方的资金中转,担保人从中抽取一定的好处费)。
司法判决中,对DDoS攻击的处理主要涉及到两个罪名:一是破坏计算机信息系统罪。理由是:DDoS攻击虽然不直接对计算机信息系统功能进行增、删、改,但是却通过操纵网络资源,虚拟网络请求,对目标发动攻击,耗尽目标主机的资源和网络带宽,以达到瘫痪网络的目的,因此将此评价为对系统的干扰。二是非法控制计算机信息系统罪。理由是:一次完整的DDoS攻击包括前期的控制“肉鸡”等资源的行为和后期的直接攻击行为,二者为手段和目的的关系。但是一些案件中,行为人只参与了前半程行动,没有实施直接攻击行为,而在证据上难以认定前后行为存在共谋,则只对前半程行为单独认定;或者后半程行为证据缺失,则也只能对前半程控制行为予以认定。
9.反射型DDoS攻击:DDoS攻击的变种。攻击者并不直接攻击目标服务器IP地址,而是利用互联网上的某些提供开放服务的服务器,通过伪造被攻击者的IP地址、向多个有开放服务的服务器发送请求数据的报文,后者会根据报文请求将数倍于请求报文的回复数据发送到被攻击者IP,从而对被攻击者间接形成DDoS攻击。在反射型DDoS攻击中,攻击者利用网络协议的缺陷或者漏洞进行IP欺骗,主要是因为很多协议(例如 ICMP,UDP 等)对源IP不进行认证。反射型DDoS攻击通过第三方开放性服务器的“反射”,攻击能力成倍增加并远超普通DDoS攻击,危害极大。
办理DDoS攻击类案件的难点在于证实危害行为和危害结果间的因果关系。在反射型DDoS攻击案件中,这一证明难点更加凸显。在犯罪嫌疑人被抓获后,公安机关应当及时查证DDoS攻击路径中的网站建立者、攻击者。从网站建立者的服务器中及时勘查攻击者注册信息,网站建立者使用网站进行攻击的记录,调取案发时间攻击者在攻击网站输入的被害人IP记录。
10.肉鸡(也称“肉机”、“傀儡机”):是指已经被黑客或者其他人员远程控制的服务器或者计算机。“肉鸡”通常被利用实施DDoS攻击。“肉鸡”可以是一家公司、企业、学校甚至是政府军队的服务器,还可以是摄像头、机顶盒等物联网设备。
公安机关可以通过勘验“肉鸡”内相关数据,获取侵入“肉鸡”的远程控制程序的服务器IP地址,从而锁定实施攻击行为的真实服务器。“肉鸡”一般出现在非法侵入计算机信息系统、破坏计算机信息系统、利用钓鱼软件实施的网络诈骗等案件中。
11.Ping:是Windows、Unix和Linux系统下的一个命令。Ping也属于一个通信协议,是TCP/IP协议的一部分。利用Ping命令可以检查网络是否连通,在通常情况下,Ping可以用于分析和判定网络故障。在危害计算机信息系统安全案件中,行为人往往会首先使用Ping来获知其要攻击的被害人服务器IP地址,在使用攻击软件攻击被害人的IP地址后,往往会再使用Ping来测试攻击效果。在办理危害计算机信息系统安全犯罪案件中,应当注意勘查犯罪嫌疑人的计算机设备中使用过的Ping命令中是否输入过被害人IP地址,以此印证犯罪嫌疑人对被害人实施攻击行为的事实。
12.流量清洗、黑洞:“流量清洗”和“黑洞”都是阿里云服务器为其用户提供的防御DDoS攻击的服务。当网络流量达到阈值,系统就会自动对该IP流量进行清洗。关于“流量清洗”,是指将流量从原始网络路径定向到清洗设备上,通过清洗设备对该IP的流量成分进行正常和异常的判断,丢弃异常流量,并对最终到达服务器的流量实施限流,减缓攻击对服务器造成的损失。关于“黑洞”,是指云服务器遭受大量攻击且超过免费防御的流量值时,进入的防护状态。“流量清洗”和“黑洞”是两个不同的防护操作,互不影响,黑洞期间流量清洗也有可能继续执行。流量清洗对较小的异常流量的访问请求予以拒绝,以保障正常流量的访问请求不受影响。黑洞触发时阿里云后台会拒绝该服务器所有的访问请求,包括正常流量和异常流量。黑洞期间,服务器处于完全瘫痪状态,不能响应任何请求。在办理破坏阿里云服务器用户计算机信息系统案件时,应及时从阿里云服务器中调取流量清洗和黑洞的起止时间,以此认定计算机信息系统不能正常运行的累计时间。
13.封堵:是腾讯云为用户提供的免费DDoS攻击防护服务。当外网IP被攻击峰值超过2G bps,腾讯云会执行IP封堵操作,一般封堵的时长为2小时,大流量攻击时,封堵的时长从24小时到72小时不等。
※阿里云、腾讯云在面对DDoS攻击时的防御措施存在差异。阿里云会先进行流量清洗再置黑洞,而腾讯云在发现服务器异常大流量涌入时会采取封堵措施。在办理破坏计算机信息系统案时,应及时从腾讯云服务器中调取封堵的起止时间,以此来判断计算机信息系统不能正常运行的累计时间。根据腾讯云封堵时间的设置,DDoS攻击只要激活腾讯云的封堵操作,则起步时间即为2小时。