——上海私车车牌拍卖系统遭攻击案侦破纪实

　　文/金昕

　　这是一起典型的“拒绝服务攻击”的案件，而那些非正常访问竞拍者的计算机终端设备，也就是受他人控制的远程电 脑，被专家形象地称为“肉鸡”。

　　拍卖取消

　　在上海，越来越多的市民加入了“有车族”的行列。但是，和其他城市不同的是，从2003年开始，上海就实施私 车牌照额度拍卖办法，即买好了新车的市民必须按照上海私车额度投标拍卖的程序，参加每月一次的网上投标竞拍才能获得私 车牌照。 2009年的7月18日上午10点，当月度的私车额度照例在“万众瞩目”中开拍。李黎早在两个月之前 就买好了一辆丰田新车，可连续3月参与车牌竞拍都没有如愿拍到牌照，他的爱车一直停在车库里“睡觉”。这次，他狠了狠 心，抱着只要价格在3万元以下就志在必得的心态，第四次参与竞拍。 李黎端坐在电脑前，先输入了100元的起拍 价。一分钟，两分钟，随着计时器的不断跳动，一直到11点竞拍第一阶段结束，100元起拍价依然纹丝不动。根据竞拍规 则，这意味着这次李黎极有可能会以100元左右的价格获得此次车牌额度。 “难道奇迹真的发生了吗？难道我撞到 大运了吗？”凝望着电脑屏幕，李黎简直不敢相信自己的眼睛。如此低的竞拍价在车牌竞拍历史上从来没有过啊，他当即激动 得跳了起来。 可是，同样参与此次拍卖的赵筱的“境遇”却和李黎截然不同。从10点55分开始，她就始终无法登 录拍卖公司的网上竞拍系统。不知道为什么，她反复点击页面，就是进不去，像死机了一样。她怀疑是否是自己的电脑出现了 问题，赶紧换了一台电脑重新登录，依然是进不去。 当李黎还沉浸在激动之中时，11点20分，电脑屏幕上突然跳 出一则拍卖公司的启示，宣布此次竞拍活动取消。

　　“肉鸡”登录

　　一直运行正常的私车车牌额度拍卖系统究竟出了什么问题？上海市公安局信安处(计算机网络信息安全监察处)马上 调集全市信安部门的精兵强将组成专案组，会同相关专业部门的专家一起赶赴拍卖公司展开侦查。 专案组的侦查员首 先对7月18日车牌网上拍卖系统中的数据进行了仔细分析。他们发现，按照惯例来说，一般拍牌的人数在15000～25 000之间，而政府发放的牌照是6000～8000张之间，如果正常拍卖的话，网络系统的容量绰绰有余，是不会受到影 响的。可是，7月18日这天，网上拍卖系统却出现了与以往不同的异常情况，即在拍卖开始后出现了很多异常的链接请求， 这些异常链接请求虽然登录了系统，但是在竞拍过程中，这些链接请求既没有出价，也没有参与拍牌的操作，行为十分怪异。 他们进一步对这些链接请求的数据统计后，发现这些异常链接请求的数量相当惊人——足足有34万多个异常的IP地址，对 拍牌系统进行了访问。而在以往任何一次竞拍中，拍牌系统只有一两万人进入。 由此可见，这次网络发生异常的根本 原因，是出现了大量非正常的竞拍者访问。正是由于这些非正常竞拍者的同时访问，形成了对整个车牌拍卖系统的网络攻击， 进而造成系统一时间难以承受，最终导致了网络堵塞和瘫痪。 侦查员通过和专家会诊分析确定了案件的性质：这是一 起典型的“拒绝服务攻击”的案件。而那些非正常访问竞拍者的计算机终端设备，也就是受他人控制的远程电脑，则被专家形 象地俗称为“肉鸡”。 侦查员进一步解释说，“肉鸡”其实就是被他人所非法操纵的一些个人电脑和企业的网络服务 器。可怕的是，这些“肉鸡”竞拍者并不知道自己的电脑已经被别人控制，而且还参与了黑客攻击，因为这些都是黑客在计算 机的后台进行操作的。 那些被暗中操控的“肉鸡”对车牌拍卖系统发起攻击的时间，正是在7月18日上午的10点 55分。因为大量竞拍者为了提高命中率，均是选择在最后的时刻登录系统，而攻击者正是选定了这个大量竞拍者登录的时刻 ，通过发动网络攻击，把许多竞拍者挡在了正常的投标范围之外。

　　寻找“肉鸡”

　　摆在侦查员面前的当务之急就是尽快抓获隐藏在“肉鸡”背后的操控者，也就是所谓“黑客”，这是破案的关键。 侦查员先从流量大的异常访问链接开始排查。根据从车牌拍卖系统提取的数据，他们发现，流量最高的前25个IP地址大部 分是位于河北、安徽、河南等全国各地的大城市。为了从25个攻击流量大的“肉鸡”中提取到木马病毒程序样本，侦查员马 不停蹄地辗转各省市展开调查，但是结果却不尽如人意。 这些“肉鸡”的使用者绝大部分是当地的一些网吧和企业。 而且，因为在7月18日前后，他们发现自己的电脑上网速度以及操作电脑明显出现滞后，均把电脑的操作系统进行了重装， 使得一些原始数据全部消失，这条线索彻底中断。 由于没有能够在那些攻击流量大的“肉鸡”上提取到木马病毒程序 的样本，侦查员只得掉转枪头，把侦查目标转向到那些攻击流量相对较小的“肉鸡”上。和流量大的“肉鸡”很容易一下子就 能够找到不同的是，流量相对小一些的“肉鸡”，基本上都是个人竞拍者的。但是如此众多的小流量的竞拍者，这其中有正常 竞拍者，也有非正常竞拍者，有正确数据，也有错误数据，全部混杂在一起，要想从中提取到所需要的木马病毒程序样本，无 疑是大海捞针。 侦查员在海量的电脑数据中，确认了一个个属于个人竞拍者的“肉鸡”。之后，他们又逐一打电话与 这些竞拍者取得联系，希望他们能够配合警方工作，将电脑的主机提供给警方检测。可是，这项工作刚开始，就遇到了阻力， 面对上门排查的侦查员，有些竞拍者产生了疑虑，生怕自己的隐私泄露，也有的干脆拒绝侦查员上门。最终，经过侦查员的耐 心解释，心存疑虑的竞拍者也都改变了态度，积极配合警方的侦查工作。 经过十多天的大量走访排查，侦查员顺利地 在很多个人竞拍者的电脑设备中，提取到了木马病毒程序样本，并确认了这个木马程序就是7月18日对上海私车车牌额度网 上拍卖系统实施攻击时所使用的一个木马程序。 侦查员从数十万条数据中，分析比对出了这个木马病毒的来源路径后 ，最终发现上海有一名姓周的男子跟这个木马病毒的控制终端有着密切关联。

　　黑客落网

　　2009年8月9日凌晨，根据事先掌握的线索，侦查员果断出击，在上海市嘉定区安亭镇的一处民宅内，将犯罪嫌 疑人周雄峰抓获。 现年23岁的周雄峰，是浙江湖州人。他虽然只有初中文化程度，却精通计算机网络黑客技术。据 其交代，几个月前他买了一辆新车，想上个牌照。但看看上海牌照的拍卖价格动辄就是3万多，几乎抵得上车子价格的一半， 心里十分不平衡。于是，他萌生了利用自己精通的黑客技术来攻击拍卖系统，从而使自己能够以较低的价格拍得牌照的念头。 经过观察，他发现竞拍的人越多，价格会抬得越高。反之，竞拍的人少，价格也就会下落。而绝大多数的竞拍者都是在竞拍的 第一阶段的最后5分钟才蜂拥而入，只要在这最后5分钟的时间段内，限制住进入系统的人数，使得想登录的人不能登录，那 么这个月的车牌竞拍价格肯定会下跌，自己则能以较低价格获得上海市私车牌照的额度。 为此，周雄峰决定在7月1 8日上午拍牌当天向负责拍牌的上海国际商品拍卖有限公司服务器发起大流量的拒绝服务攻击。而事先周雄峰已经向同案嫌疑 人山东淄博人王永峰购买了5400只“肉鸡”。周雄峰将从网上下载的木马病毒程序通过MSN发给王永峰后，王永峰再将 病毒软件制作成BT下载种子，暗藏于一些色情视频的下载种子中，在互联网上进行散播。用户只要下载这些视频，病毒就会 发作，导致这些电脑被他们秘密“劫持”，接受周雄峰的指令，被周雄峰非法获得控制权。 7月18日上午10点5 5分，周雄峰使用其设在江西南昌的服务器，通过“darkshell”控制端，命令5400多台被其非法控制的电脑， 对上海国际商品拍卖有限公司的私车额度网上竞拍服务器实施了大流量的拒绝服务攻击。 日前，上海市人民检察院第 二分院以涉嫌破坏计算机信息系统罪，批准将周雄峰、王永峰逮捕，等待他们的必将是法律的严惩。