苏州蜗牛公司被DDOS攻击案

　　一、简要案情

　　2015年3月，苏州工业园区某公司报案称其公司的服务器连续受到莫名的DDOS攻击，致使其服务器网络数度瘫痪，严重影响了公司的日常运作。依据以往的办案经验，这种类型的DDOS攻击往往会伴随着某种利益诉求或利益冲突，因此会给案件侦破提供切入点和线索。然而这次的攻击事件确并没有这种伴生现象的发生，给案件的侦破带来了新的困难。面对新的问题，苏州网警主动迎接挑战，转换侦查思路，以该类型网络案件自身的特点为切入点，对案件情况展开新的侦查。

　　二、侦破经过

　　(一)、分析作案手法，寻找突破口。

　　为了弄清攻击源，办案人员调取了被攻击服务器所在机房的流量日志，梳理出大量的攻击源，统计出攻击源多达上百个，而且分布在国内国外不同的国家和地区。而且在攻击的时候能够同时上线向同一个目标发动网络攻击。这种攻击方式是利用“僵尸网络”进行网络攻击的一个显著特征，这些“僵尸网络”上的攻击源都是被犯罪嫌疑人控制的“肉鸡”，当嫌疑人需要时会通知这些“肉鸡”上线，根据嫌疑人的指令完成相应的操作。根据这种攻击的行为特征，办案人员从大量的攻击源中挑选出一个攻击源，进行现场采集。

　　(二)、掌握直接线索，寻找蛛丝马迹。

　　办案人员根据案件分析得出的结论，前往其中一个攻击源所在地进行实地信息调取。在该“肉鸡”攻击源上成功找到了用于控制该“肉鸡”的后门、木马及漏洞扫描程序。

　　(三)、顺藤摸瓜，锁定嫌疑人。

　　对获取的后门及木马进行行为分析，发现了该“肉鸡”的控制端为一个在美国的服务器，并且使用了一个域名用来绑定木马，控制”肉鸡“上线。侦查至此，原本明朗的案情突然又出现了新的玄机。办案人员一方面通过该域名展开相关工作，另一方面针对该美国服务器展开国内的工作。经过经过两方面的侦查工作，初步摸清的犯罪嫌疑人的相关身份情况及其使用的国内的代理商。

　　(四)、模式复制，搜集证据。

　　为了验证侦查分析结论，办案人员前往该地址的国内代理商所在地进行调查取证，另一方面又从大量的”肉鸡“攻击源中挑选出一个地方进行相关取证工作，也成功的提取到了后门及木马程序，经分析得出的结论与前一个“肉鸡“的取证结论一致，进而进一步确认了犯罪嫌疑人。

　　(五)、抓捕嫌疑人。

　　2015年4月下旬，办案人员前往犯罪嫌疑人所在地江苏省淮安市，将实施该起网络攻击的嫌疑人王某某抓获，在抓获该嫌疑人的时候，其仍然在对该公司的服务器进行网络攻击。

　　三、审查情况

　　经过初步审讯，该嫌疑人供述了其通过网络购买相关软件，通过扫描漏洞进行组建”僵尸网络“，为了发泄对该公司的不满，进而利用自己的资源进行网络攻击的犯罪事实。

　　四、案件启示

　　在享受上网带来的方便快捷的同时，要提高上网安全意识，不要轻易打开陌生网站和链接，加强对自己电脑的软件更新和杀毒软件的更新，定期检查查杀，避免自己的电脑成为他人的“肉鸡”，避免个人信息、重要资料的外泄。