DDoS 攻击的历史

一次性进群，长期免费索取教程，没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号：微信群；QQ群：16004488

---

微信公众号：计算机与网络安全

ID：Computer-network

20世纪的最后几年中，分布式拒绝服务（Distributed Denial of Service，DDoS）凭空出世，随后屡次在网络中掀起轩然大波，成为世界关注的焦点，即使对网络安全并不了解的人也耳熟能详。

分布式拒绝服务攻击的发展符合这四个阶段。在探索期，发起攻击的“黑客”大多是一些技术爱好者，单纯为了兴趣或炫耀而进行了尝试，时间和目标的选择都很随意。随着工具化的发展，这项技术被用于有组织的行动，包括勒索、竞争或报复。为了使收益或效果最大化，他们会精确地选择目标和时机。当国家级政治势力意识到其价值时，分布式拒绝服务攻击很快被武器化，并用在网络战中。最后，随着使用越来越方便且易于获取，普及化也促进了黑客行动主义的发展。事件的爆发往往和群体的情绪有关，容易被外部事件触发，打击的范围开始扩大。与枪支和火药类似，分布式拒绝服务攻击也是平行发展的。下表列出了不同阶段DDoS攻击事件的特点。

不同阶段DDoS攻击事件的特点

下图列出了在分布式拒绝服务攻击的发展历史中发生的主要攻击事件。

DDoS的历史

一、探索期：个人黑客的攻击

早期的“黑客”都是一些技术爱好者。他们年轻、有激情、勇于探索，而且熟悉技术的最新进展，具有敏锐的洞察力。所以，他们能够找到当时系统中存在的漏洞和缺陷，并利用这些漏洞实现自己的目的。

“黑客”、“骇客”和“极客”的区别。

“黑客”源自英文单词hacker，原本在美国的电脑界是带有褒义的，特指那些擅长计算机技术，具有强烈的好奇心和动手能力，并且崇尚自由的人。早期的“黑客”都是高级程序员，他们发现系统中的漏洞，编写入侵工具，并实践它们。后来，一些虽不编写程序但擅长使用工具进行“实战”的人，也被纳入了“黑客”的范畴。他们善于通过蛛丝马迹寻找系统的弱点，选择合适的工具，来实现入侵的过程。

骇客”是Cracker的音译，就是“破解者”的意思，本意是指那些专门破解商业软件，绕过付费机制，从而免费使用的人。很多“骇客”会将破解后的软件发布到互联网上供大众下载使用。后来，这一概念和“黑客”的概念被混淆了，两者的区别越来越模糊。

“极客”来自于美国俚语Geek的音译，最初指性格古怪的人。很长时间，Geek在西方文化里一直偏向褒义。随着网络社交的普及，人们对“极客”的定义也逐渐发生了变化。现在，人们一般认为，花费大量业余时间在网络中，并且偏爱新技术产品的人群，就是“极客”。他们不一定是电脑高手，但对电脑和网络有很强的依赖性，喜欢尝试高科技产品。

但同时，这些“黑客”在技术之外的领域并非天才。他们想到什么就做什么，随心所欲地发起攻击，而不是效力于特定组织。早期的分布式拒绝服务攻击往往缺乏明确的目的性，起因可能五花八门。也许是某人发现了一种有趣的攻击手法，只是想验证一下该攻击手法；也许是把攻击行为作为一种挑战，用以验证自己的天才能力；也许纯粹是为了向朋友炫耀。迈克尔·迪蒙·卡尔斯（“黑手党男孩”）甚至声称自己的目的是在网络世界中建立所谓“统治”。

所以，这些行为从攻击者的角度来看，基本不会带来经济上的收益。而从受害者的角度来看，往往波及的范围很大，具有轰动效果，但对具体的个人或组织，损失并非难以承受。

最早的拒绝服务攻击发生在1996年，受害者是当时纽约最大的互联网服务提供商Panix。3年后，发生了针对明尼苏达大学的攻击，攻击者使用Trinoo构建了真正的分布式控制网络。在早期的“黑客”行动中，最具轰动效应的就是“黑手党男孩”对雅虎、亚马逊等著名网站发动的攻击，这是早期“黑客”中暴露真实身份的一个。最著名可能也是最具威胁的一次，是2002年针对13台根域名服务器的攻击。虽然持续时间很短，也没有导致所有服务器完全瘫痪，但是只要设想一下行动成功的后果，就会让人不寒而栗。

（一）第一次拒绝服务攻击

第一次拒绝服务攻击发生在1996年9月6日下午5:30。Panix，这个纽约市历史最悠久、规模最大的互联网服务提供商成为了攻击的受害者。公司的邮件、新闻、Web和域名服务器等同时遭受攻击。如图1-2所示，据《时代杂志》（Time Magazine）报道，至少6000名用户因此而无法收取邮件。

Panix攻击

攻击者采用的方法非常简单：不断向服务器发送连接请求（TCP SYN请求），速度高达每秒150次。服务器忙于应对这些请求，从而无法回应正常的用户。这种攻击方式后来被称为“SYN FLOOD攻击”，是拒绝服务攻击的一种。即使到现在，SYN FLOOD攻击也经常被使用。此外，攻击者还采用了随机伪造源地址的方式。一方面，这使得攻击来源难以追踪；另一方面，随机的源地址也使得过滤和阻断攻击变得非常困难。

完全消除DDoS攻击是极为困难的一件事。尤其当用户正常的访问量较大时，很难立刻将其与恶意伪造的访问区分开来。幸运的是，削弱这种攻击造成的危害是可能实现的。我们一般称其为“缓解技术”。Panix被攻击后，计算机紧急响应小组（CERT）做出了快速响应。9月19日发布了TCP SYN Flooding and IP Spoofing Attacks，提出了缓解SYN FLOOD攻击和IP欺骗攻击的建议。

（二）分布式攻击网络：Trinoo

1999年8月17日，美国明尼苏达大学的一台服务器遭到攻击，造成了连续两天的服务中止。接下来的几天中，又有至少16台主机遭到同样的攻击，其中有一些并不在美国境内。

这应该是第一次真正意义上的DDoS攻击，之前针对Panix的攻击并没有表现出“分布式”特性，很可能是从单一主机发起的。而这一次，攻击来自至少227台主机，它们的所有者并不知道，这些设备居然成为了黑客手中的工具。攻击数据包都是UDP格式的，并未隐藏源地址。所以，明尼苏达大学追踪这些IP地址，并联系了这些攻击主机的真正所有者，以停止攻击进程。但这一方法并未奏效，因为攻击者采用了一个简单的对策：加入更多的被控制主机进行攻击。相关调查人员在一台主机中发现了Trinoo的源代码，同时发现了一个包含888个IP地址的文件，这很可能就是当时Trinoo网络的规模。在另一个名为“216”的目录中，还发现了包含10549个地址的文件，据估计是存在漏洞的潜在控制目标。

Trinoo是第一个使用控制网络进行攻击的DDoS工具。攻击者首先入侵并控制一些主机，在其上安装扫描工具、攻击工具以及Trinoo控制程序，我们一般称其为控制主机（Master）。接着，攻击者会通过控制主机入侵并控制更多电脑，安装受控和攻击软件，我们称其为攻击主机（Slave）。发动攻击时，只需对控制主机发送指令，由它们自动管理攻击主机发送攻击数据包。在本次攻击中，被控制主机大多数是Solaris 2.x系统的。由于在远程调用服务（RPC）中存在一个缓冲区溢出漏洞而被恶意代码控制。

（三）黑手党男孩

2000年2月7日，门户和搜索网站雅虎（Yahoo）遭到攻击，被迫中断服务一个小时。紧接着，Buy.com也遭到类似的攻击。之后的一周内，eBay、CNN、Amazon和Dell.com接连被攻陷。

4月18日，美国广播公司（ABC）新闻报告，一名15岁的加拿大男孩被警方逮捕，怀疑与之前的黑客攻击事件有关。这名男孩名叫迈克尔·迪蒙·卡尔斯（Michael Demon Calce），是加拿大魁北克省的一名普通高中生，在互联网上，其化名是“黑手党男孩”（Mafiaboy）。正是他开展了针对Yahoo的攻击行动，并将这次行动命名为“RIVOLTA”（意大利语，意为“暴动”）。按照Calce本人当时的说法，这是为了让自己在网络世界中建立所谓“统治”。接着，他在一周内接连攻击了Buy.com、eBay、CNN、Amazon和Dell.com。不过几年后，在2011年的一次采访中，他又声称，当时只是下载了网上的安全工具，在不经意间输入了一些知名网站。后来，当他从新闻中得知消息时，才开始明白到底发生了什么。

攻击发生后，卡尔斯就开始在IRC聊天室中宣称对攻击负责，这让美国联邦调查局和加拿大皇家骑警产生了怀疑。不久，他又声称Dell.com被攻陷，而此时这一消息尚未被任何媒体报道。于是，卡尔斯成了警察眼中的头号嫌疑人。审问过程中，卡尔斯最终不得不承认了大部分指控。他的律师声称，孩子只是在进行一次未经监督的测试，目的是设计一种防火墙的改进方法。最终，蒙特利尔青年法院在2001年9月12日判处他18个月的“开放式监禁”（Open Custody），缓期一年执行，限制使用互联网，以及一笔较小的罚金。根据Yankee Group的一位高级分析师估计，这次攻击造成了共计12亿美元的损失。

2012年5月，卡尔斯的故事被写成了一本书，名叫《黑手党男孩：一个年轻人的黑客肖像》（如下图所示）。

《黑手党男孩：一个年轻人的黑客肖像》

（四）根域名服务器的危机

域名服务（Domain Name Service，DNS）是一种互联网地址解析服务。它将我们熟悉的域名（例如www.google.com）映射成为IP地址（例如74.125.128.99）。域名服务采用类似目录树的层次结构，当一台域名服务器遇到未知的域名时，就会向上级服务器询问。而这棵树的顶端，就是13台根域名服务器。根域名服务器是互联网的关键基础部件，在理论上，针对它们的攻击可以影响全球的域名系统。1997年3月，因为技术问题7台根服务器就曾停止运行，但这并未引起人们足够的重视。

2002年10月21日，美国东部时间下午4:45开始，这13台根域名服务器遭受到有史以来最为严重、规模最为庞大的一次网络袭击，攻击持续到6:00。此次事件正是一次分布式拒绝服务攻击，超过常规数量30～40倍的数据猛烈地向这些服务器袭来，目标是全部的13台服务器，持续大约1个小时。造成的后果是9台服务器不能正常运行，其中7台丧失了对网络通信的处理能力，另外2台也紧随其后陷于瘫痪。

对每个根服务器的攻击流量大约为50～100Mbit/s（兆比特每秒），100～200Kpps（千数据包每秒）。总流量为900Mbit/s（兆比特每秒），1.8Mpps（千数据包每秒）。发送的数据包包括ICMP、TCP SYN和UDP。攻击的源地址是随机产生的，但基本都位于当时路由表中存在的网段内。

根据网络流量报告（The Internet Traffic Report），当天全球的流量指数和数据包丢失率如下图所示。

骨干网流量指数和丢包率

由于攻击不是在短时间内便告结束，而且攻击方式相对简单，因此易于采取相应措施，否则，全球互联网将会有相当一部分彻底中断。

之后，随着技术的发展，根服务器都采用了Anycast和负载均衡技术进行防御。现在，影响其运行已经远比当时困难。

二、工具化：有组织攻击

从用户增长的角度来看，互联网的早期设计就像是交通规划，诸多未曾考虑的问题以超乎想象的速度爆发出来。于是，互联网成了一个难以监督而易于藏匿的世界，这里的犯罪成本和风险远比现实世界来得低。

在经过了早期无序的攻击时期后，一个问题突然闪进人们的脑海中：是否可以用如此强有力的工具牟利？

较早利用这一工具的是勒索组织，他们有的使用已有攻击工具，有的租用僵尸网络，有的干脆自己针对性地开发工具。猎物往往是一些通过互联网盈利的企业，例如在线交易市场或博彩网站。这些勒索组织会先对猎物进行短期的示威性攻击，然后发送勒索信，并对其进行威胁：如果不支付勒索金，就在业务最繁忙时再次攻击。很多中小企业会屈从，并秘而不宣。这是因为追查网络犯罪者非常困难，即使警方介入也难以保证成功，而犯罪者一旦逃脱，就可能实施猛烈的报复。另一方面，购买专业的缓解方案显得较为昂贵，甚至会超过支付的勒索金。但是，依然有抗争成功的例子，下面介绍的在线市场ClickBank以及南非世界杯期间经营的博彩网站最终成功抵抗了攻击者。

第二种情况是打击竞争者，包括商业和政治上的竞争对手。真正的获利者并不出面，他们会雇用犯罪组织，在重要的时间点攻击对手，造成对方声誉损失或阻止对方的行动。这类攻击很难得到直接的证据，但行为模式非常清晰。加拿大政党选举中就曾遇到过此类攻击。

第三种情况最为极端，它的目的是报复。2012年，一个黑客组织认为YouTube的某段视频是对伊斯兰教的侮辱，于是宣布对美国实施报复行动，直接对象是美国的各大银行。这次行动被称为“燕子行动”，持续了一年以上，数十家银行遭到打击，造成的损失难以估计。另一次著名的报复行动是Spamhaus事件，它是一个反对垃圾邮件的组织。该组织遭到攻击的原因被认为是它指出了垃圾邮件发送者。这次事件中攻击流量达到了300Git/s，到2013年为止，是史上最大规模的分布式拒绝服务攻击。

黑客不再是有组织攻击的主角，他们成了操纵者手中的武器。这类攻击的特点是对目标和时间点的选择非常精确，利益最大化是行为的必然准则。

（一）在线市场面临的勒索

ClickBank是一家在线的数字信息产品市场，为数字内容创作方和营销方之间建立联系。SpamCop中是一个反垃圾邮件组织，它追踪批量发送的垃圾邮件，发现发送者的IP地址，并建立“SpamCop Blacklist”，提供给希望免受垃圾邮件骚扰的用户。

2003年6月21日，大量请求淹没了两家公司的服务器，使得正常用户无法使用服务。ClickBank的有关负责人声称，每台服务器每秒钟会接收到数以千计的http请求，同时日志文件以每秒1MB的速度增长。有消息称，3周前，另外一些不愿公开名称的公司和政府机构也遭到了同样的攻击。攻击者要求ClickBank和SpamCop支付勒索金，否则不会停止攻击。但两家公司并未屈服，而是与FBI合作。6月25日，他们宣布，在与FBI紧密合作后，终于发现了DDoS攻击的肇事者。

（二）世界杯博彩网站敲诈案

2011年4月，德国杜塞尔多夫的法庭对一名网络罪犯进行了宣判。该网络罪犯在2010年南非世界杯（下图）期间，对在线博彩网站进行了勒索。罪犯是一名法兰克福人，他成功地勒索了三家网站，并试图勒索另外三家，所使用的武器就是DDoS攻击。根据德国媒体报道，勒索者用每天65美元的价格租用僵尸网络，然后威胁这些赌博网站，如果不给他支付2500欧元，就会在7月世界杯期间使网站无法访问。当三家网站拒绝支付时，他将勒索金降到了1000欧元。据网站经营者估计，网站发生故障期间，他们的大型办事处损失了约25000～40000欧元，小型办事处损失了约5000～6000欧元。

2010年南非世界杯

法院最终判该男子有期徒刑2年零10个月，并责令赔偿受影响的企业35万欧元。德国对计算机阴谋破坏行为的最高惩罚是入狱10年。大型体育赛事期间，对博彩网站进行敲诈的案件已经不是第一次发生。2006年，一个俄罗斯黑帮就曾企图对英国博彩公司敲诈400万美元，结果获罪入狱。

（三）操纵政党选举的攻击

2012年3月24日，本该是加拿大民主新党（Canada’s New Democratic Party）的选举日，选民会进行在线投票。令人意外的是，选举却发生了延时。Scytl公司为加拿大民主新党提供了一套先进的选举服务，可以通过电子和邮寄方式实现投票。第一轮投票于3月23日下午5点开始，24日上午9点正常结束。第二轮投票在24日上午11点开始后，就开始出现投票延时现象，并快速恶化。根据Scytl的入侵检测系统和防火墙的日志显示，这是一次外部攻击。于是，他们启动了标准的缓解流程，包括增加系统的吞吐量和阻止恶意IP地址。这些措施使得服务较慢，但依然可以工作，最终投票过程延长了3个小时。整个攻击过程中，选票系统收到了来自1万余台僵尸主机（又称肉鸡）的超过1000万次异常请求，攻击的时间也和每轮投票时间完全相符。由普华永道进行的独立审计指出，投票结果未被篡改。调查显示，这1万台主机的IP地址主要集中在加拿大，采用的就是分布式拒绝服务攻击。

（四）燕子行动

2012年7月，一个由美国人萨姆·巴西利（Sam Bacile）制作并导演的关于伊斯兰教先知穆罕默德的影片预告片被放到YouTube上，引来了伊斯兰国家的强烈抗议。9月18日，一个号称伊兹丁·哈桑网络战士（Cyber fighters of Izz ad-din Al-Qassam）的黑客组织在pastebin网站上发布公告，声称将美国银行和纽约交易所列为攻击目标，在YouTube上这部亵渎伊斯兰教先知的影片被移除之前，攻击将一直持续。从此，代号为“燕子行动”（Operation Ababil）的一系列针对美国金融机构的DDoS攻击事件拉开了序幕。“燕子行动”这个代号引自《古兰经》里的安拉派燕群去摧毁一队由也门国王派出攻击麦加的象群的故事。

到2013年6月为止，整个行动经历了三个阶段。第一阶段始于2012年9月18日，持续了5个星期；第二阶段从2012年12月10日开始，持续了7个星期；第三阶段从2013年3月5日开始，持续了9个星期，到5月6日停止；第四阶段从2013年7月23日开始，计划持续两个月。

在整个行动中，大多数美国金融机构的在线银行业务都遭到了攻击，其中包括美国银行（Bank of America）、花旗集团（Citigroup）、富国银行（Wells Fargo）、美国合众银行（US Bancorp）、PNC金融服务集团、第一资本（Capital One）、五三银行（Fifth Third Bank）、BB&T银行和汇丰银行（HSBC）。DDoS攻击对上述银行网站业务的连续性和可获得性造成了严重的影响，同时也对银行的声誉造成了不可估量的损失。由于事态的严重性，美国政府部门包括国土安全部（DHS）、联邦调查局（FBI）以及金融监管机构均参与了事件的调查和处理。

攻击者采用了非常丰富的攻击类型，既包括传统的TCP、UDP、ICMP Flood，也包括HTTP Flood、HTTPS Flood和DNS Flood。他们使用的僵尸网络被称为Brobot，是由被植入了itsoknoproblembro的主机构成。与众不同的是，这些主机主要由高性能的服务器组成。

（五）史上最大规模的DDoS

Spamhaus是一家致力于反垃圾邮件的非盈利组织，总部在伦敦和日内瓦。Spamhaus维护了一个巨大的垃圾邮件黑名单，这个黑名单被很多大学/研究机构、互联网提供商、军事机构和商业公司广泛使用。

从2013年3月18日起，Spamhaus开始遭受DDoS攻击。攻击者通过僵尸网络，利用DNS反射技术进行攻击。根据服务提供商CloudFlare的监控记录，3月18日初始的攻击相对比较温和，攻击流量约为10Gbit/s。从标准时间21:30开始，攻击者将攻击流量猛增到75Gbit/s，如下图所示。从3月19日到3月21日，对Spamhaus的攻击流量在30Gbit/s到90Gbit/s之间波动。到3月22日，攻击流量达到了120Gb的攻击流量在30Gbit/s到90Gbit/s之间波动。到3月22日，攻击流量达到了120Gbit/s。在攻击者发现无法有效地击垮Spamhaus之后，他们改变了攻击策略，转而攻击CloudFlare的网络带宽供应商和连接的互联网交换设施。在3月27日达到惊人的300Gbit/s的攻击流量，被认为是互联网史上最大规模的DDoS攻击事件。

3月18日Spamhaus攻击流量

事件的起因可能是Spamhaus将一家荷兰公司Cyberbunker列入了黑名单，之后Spamhaus就开始遭受DDoS攻击。自称是攻击者发言人的斯文·奥拉夫·坎普赫伊斯（Sven Olaf Kamphuis）在网上发表了一则讯息，称“我们很清楚，这是世界上公开进行的最大的DDoS攻击之一”，Cyberbunker是在报复Spamhaus“滥用其影响力”的行为。“从来都没有人授权Spamhaus来决定互联网上该有哪些内容，”坎普赫伊斯说，“他们假装抗击垃圾讯息，借此攫取了这一权力。”然而在4月，坎普赫伊斯又否认策划和实施了这次攻击。4月25日，西班牙警方逮捕了坎普赫伊斯，被捕时，他在一个被改装成移动办公室的小货车里，里面满是线缆和各种网络设备。

三、武器化：网络战

人类历史上出现一种新技术，一出现就可能被思考是否可以用作武器。如果可以，那么一定会被作为武器来使用。在物理、化学、生物、核能等领域，这样的例子数不胜数，分布式拒绝服务攻击也不例外。

已经发生的网络战中，攻击的目的有两种：一种是占领舆论制高点，赢得国际社会支持；另一种是宣扬决心和能力。几次事件都爆发在实力悬殊的国家之间，这决定了战争的方式和目标，所以这并不意味着网络战只有两种形式。

（一）网络战爆发：爱沙尼亚战争

网络战的爆发并不出人意料，军事战略家早就对这种可能性做出了预测。一个国家对基础信息网络的依赖性越强，就越容易遭受网络打击。人们理所当然地将目光的焦点集中在美国这个世界上最大的经济体、信息系统最发达的国家身上。然而，世事总是出人意料，直到战争发生，大家才注意到一个宽带覆盖和互联网日常使用甚至超过美国的东北欧小国——爱沙尼亚。

爱沙尼亚是位于波罗的海沿岸的一个小国（下图），二战结束后成为苏联的一部分。为了纪念战争中牺牲的战士，苏联在众多的东欧国家首都修建了巨大的铜像，爱沙尼亚也不例外。而当冷战结束，爱沙尼亚宣布独立以来，这里生活的30万俄罗斯人和100万爱沙尼亚人之间的关系越来越紧张，首都塔林的纪念像成了焦点。2007年4月，爱沙尼亚首相安德鲁斯·安西普提出，将铜像从塔林转移到军人墓地。4月27日（后来被称为“铜像之夜”），激进团体在这里爆发了冲突。事件不仅引发本国骚动，也导致俄罗斯政府和民众的不满。俄罗斯外交部指责爱沙尼亚一手促成紧张局面，并在5月1日以“铁路维修”为由，停止向爱沙尼亚出口石油和煤。

爱沙尼亚地理位置

2007年4月底至5月，爱沙尼亚的重要网络基础设施，包括国会、总统府、总理办公室、央行、主要媒体报社等网站都受到DDoS攻击而关闭。攻击的第一次高峰出现在5月3日，当天莫斯科爆发最激烈的示威抗议。另一次高峰是5月8日和9日，欧洲各国纪念战胜纳粹德国，攻击同步升级，最少六个政府网站被迫下线，其中包括外交和司法部。最后一次攻击高峰是15日，该国最大的几家银行被迫暂停国外连线。

爱沙尼亚国防官员追查攻击时，发现虽然攻击看似来自世界各地的电脑，但原始攻击直接来自俄罗斯，部分域名还以俄罗斯总统普京的名义登记。面对指责，俄罗斯多次否认与事件有关，并抨击爱沙尼亚虚构指控。俄罗斯驻爱沙尼亚大使弗拉基米尔·奇若夫向《卫报》指出：“说攻击来自俄罗斯或俄政府是严重指控，你必须拿出证据来。网络空间无处不在。我个人不支持这种行为，但人们应该先搞清楚袭击者来自哪里，为什么发动攻击。”

爱沙尼亚是北约成员国，根据《北大西洋公约》有关条款规定，针对任何一个成员国的攻击都可视为针对所有成员国的攻击。据此，北约向爱沙尼亚派出了技术顾问，以帮助其消除网络攻击带来的损害。但除此之外，北约并没有进一步采取任何正式的外交或军事行动。

（二）硝烟再起：格鲁吉亚战争

南奥塞梯位于高加索格鲁吉亚北部，曾为苏联时期格鲁吉亚苏维埃社会主义共和国管辖下的一个自治州（下图）。1990年，格鲁吉亚准备脱离苏联独立，南奥塞梯议会却宣布成立南奥塞梯共和国，脱离格鲁吉亚成为苏联的一部分。之后的几年冲突不断，直到1994年才进入和平状态。2008年4月，格鲁吉亚传出可能加入北大西洋公约组织的消息，双方冲突也因此一触即发。

南奥塞梯的战争形势图

2008年8月5日，南奥塞梯的新闻网站OSInform和OSRadio遭到黑客攻击，网站标识保持不变，内容却被替换为阿拉尼亚电视（格鲁吉亚政府支持，面向南奥塞梯人的电视台）的内容。南奥塞梯特使Dmitry Medoyev前往莫斯科，声称格鲁吉亚是在企图掩盖有关战争的信息。

2008年8月8日，格鲁吉亚展开全面军事行动进入南奥塞梯，很快控制了该地区三分之二以上的领土，并包围了首府茨欣瓦利。同日，俄罗斯军队进入南奥塞梯地区，9日展开军事行动，很快控制了茨欣瓦利，并在随后几日占领了南奥塞梯以外的格鲁吉亚领土和军事基地。

当俄军对格鲁吉亚的军事行动全面开始后，俄罗斯对格鲁吉亚的网络攻击也全面展开，包括媒体、通信和交通运输系统在内的格鲁吉亚官方网站都瘫痪了，对格鲁吉亚的军事行动造成了较大的影响，直接影响到了格鲁吉亚的战争动员与支援能力。格鲁吉亚总统萨卡什维利的个人主页被人替换（下图），黑客在网站上贴出了“精心”挑选的宣称“萨卡什维利和希特勒‘有相似性’”的照片。总统萨卡什维利的网站及一家著名电视台的网站，先是转移到一家美国公司的服务器上，但很快又受到攻击。迫于无奈，格鲁吉亚总统萨卡什维利向波兰总统莱赫·卡钦斯基“求救”，在征得后者同意后，格鲁吉亚政府将外交部的新闻稿张贴在卡钦斯基的网站上。

格鲁吉亚总统萨卡什维利

格鲁吉亚驻英国大使馆发言人8月11日在接受英国媒体采访时表示，格鲁吉亚的网站全面遭到封锁。

在国际调停下，2008年8月13日，格俄双方就停火原则达成一致。8月18日，俄军开始从南奥塞梯撤军。8月26日，俄罗斯总统梅德韦杰夫签署命令，宣布承认南奥塞梯和阿布哈兹独立。8月28日，格鲁吉亚宣布与俄罗斯断交。9月10日，俄罗斯与南奥塞梯建立正式外交关系。

阿塞拜疆新闻网站day.az声称，是俄罗斯情报部门通过代理实施了针对格鲁吉亚政府网站的DDoS攻击。但俄罗斯政府否认了这一指控，称这可能是某些个人行为。有人认为，是圣彼得堡的一个犯罪团伙——俄罗斯商业网（Russian Business Network）实施的攻击，因为正是他们在2007年攻击了爱沙尼亚（下图）。以色列的计算机应急响应小组的前首席Gadi Evron认为，这次攻击类似于网络暴乱，而不是网络战。Greylogic的安全研究人员则声称，俄罗斯国防部军事情报局和俄罗斯安全局（FSB）可能起到了关键作用，共同协调和组织了攻击。美国前情报官员John Bumgarner的研究结论是：第一波网络攻击是俄罗斯军事行动的一部分，而第二波则来源于对俄罗斯的同情者。

俄罗斯商业网

事实上，俄罗斯也遭受到网络打击。8月8日，一家俄文网站发布消息称，南奥塞梯政府官方网站和俄罗斯官方通讯社俄新社网站均受到DDoS攻击。俄新社记者纳塔利娅·洛谢耶娃在博客中写道，这是“非常严重的预谋行动，是信息战的一部分”。但她并未透露黑客攻击究竟来自哪个国家。8月11日凌晨，俄罗斯英文电视频道“今日俄罗斯”受到黑客的集中攻击，网站资源库被锁，随后出现技术故障。据该电视频道信息安全部专家透露，IP地址显示，黑客攻击来自格鲁吉亚首都第比利斯。

（三）美韩政府网站遭攻击

2009年7月4日，美国与韩国的政府及知名机构网站遭受了DDoS攻击。如下图所示，受害者包括美国和韩国议会、白宫、纽约证券交易所、华盛顿邮报等网站。

2009年7月美韩受攻击网站

攻击分三个阶段进行，期间峰值流量高达13GB/s。大部分的攻击（93%）采用了HTTP GET FLOOD，其他主要是UDP FLOOD和ICMP FLOOD攻击。如下图所示，对恶意程序的静态分析显示，构造的数据是完全合法的HTTP GET请求。根据一份韩国的研究报告显示，大约115000台僵尸主机参与了攻击。

2009年7月攻击中的恶意程序片段

第一阶段：7月4日（美国独立日），攻击针对美国和韩国网站。受影响的网站包括白宫和五角大楼等网站。

第二阶段：7月7日，攻击针对韩国网站，目标包括韩国总统府青瓦台、国防部、公共管理和安全部、国家情报院和国民议会等。

第三阶段：7月9日，攻击针对韩国网站，目标包括该国的国家情报服务，以及其最大的银行之一和主要的新闻机构。美国国务院声称其网站也受到了攻击。

2009年10月30日，韩国国家情报局声称，攻击源来自朝鲜邮电部。

2011年3月4日，类似的攻击又发生了一次。韩国政府各部、国民议会、军队总部、驻韩美军和各大银行等29个机构受到影响，韩国的网上股票交易系统也被关闭数分钟。

四、普及化：黑客行动主义

分布式拒绝服务攻击的普及化是一个必然的趋势。十年的发展中，相关工具越来越易用，越来越高效。而网络的便利使得获取该工具变得异常容易。

同时，通信技术快速发展，使得信息以前所未有的高速流动，这带来了一个意想不到的后果，那就是世界上各人种、各种族和国家中普通人的一般价值观越来越趋向一致。违反这些价值观的行为（通常也是违反当地法律的），一般会受到制裁。但是，总有一些组织或势力，可能是宗教团体、跨国公司，甚至国家政权，不会受到制裁。例如下面提到的山达基教会、索尼公司和美国政府。

当分布式拒绝服务攻击实现了普及化，同时网络中存在对这些组织行为不满的群体时，产生的结合物就是黑客行动主义。他们是有类似价值观的人群，有类似于自由集会的组织形式，对某些现象不满而渴望发出声音。于是，分布式拒绝服务攻击成了他们最好的选择。

（一）匿名者挑战山达基教会

2008年1月15日，博客网站Gawker发布了一段视频：著名影星汤姆·克鲁斯声称要将自己完全奉献给山达基教会（Church of Scientology）。随后，视频在网上快速流传，并引来大量恶搞模仿。对此，山达基教会警告，准备把发布或共享视频的用户诉诸法律。

1月23日，匿名者组织（下图）在YouTube上发布宣言，对山达基教会宣战。27日，匿名者成员声称，这次行动的目的是反对山达基教会企图控制互联网信息，而不是反对教会本身。

匿名者的标志

最初他们使用Gigaloader和JMeter作为武器进行攻击。几天后，就开始使用被称为低轨道离子炮（LOIC）的网络压力测试工具，发送大量TCP和UDP数据包阻塞网络。之后的几年中，这几乎成了“匿名者”的标志性武器。

其间，一段视频被上传到YouTube，一个机器人的声音声称代表匿名者告诉山达基教会领袖：“为了你的追随者好，为了全人类好，以及为了好笑，我们会将你驱逐出互联网。”十天之内，该视频就吸引了数以千计的观众。2月10日，成千上万的匿名者在世界各地同时抗议山达基教会（下图），许多抗议者带着电影《V字仇杀队》中的面具。这个面具很快就成了匿名者组织的代表符号。之后个人自发的抗议持续了整整一年。

山达基教会总部外的抗议者

这次事件是“匿名者”（Anonymous）第一次参与黑客行动主义。从此之后，它就成为了该主义最主要的奉行者。

（二）维基解密事件

维基解密（Wikileaks）是一个专门披露秘密信息的非营利组织，2006年12月由朱利安·阿桑奇（下图）创立。该组织的主要目的是揭露政府及企业的腐败行为，运营费用主要依靠捐助者以及基金会的支持。

朱利安·阿桑奇

2010年7月26日，“维基解密”在《纽约时报》、《卫报》和《镜报》配合下，在网上公开了多达9.2万份的驻阿美军秘密文件，引起轩然大波。12月4日，美国网络支付处理商PayPal宣布，由于维基解密网站违反公司的服务政策，因此决定停止其账户和服务，这意味着维基解密将无法通过PayPal获得资金。PayPal副总裁表示，他们停止服务是在“国务院告诉我们，这些都是非法活动，这是很明显的”之后。紧接着，许多企业停止为维基解密提供服务，或是冻结对其的捐款，这些企业包括亚马逊、美洲银行、瑞士邮政银行、万事达和Visa。

2010年12月5日，黑客组织Anonymous发表宣言，将正在进行的“回报行动”（Operation Payback）扩展为“阿桑奇复仇行动”（Operation Avenge Assange），向维基解密提供帮助并打击它的敌人。12月6日，瑞士邮政银行（PostFinance）首先遭到攻击。12月8日，Anonymous对PayPal的主网发动了攻击，却发现低轨道粒子炮（LOIC）无效。他们只得依靠两名黑客控制的僵尸网络进行攻击。据有关研究人员声称，这些僵尸主机最终贡献了90%的攻击流量。据Paypal估计，造成了550万美元的损失。后来，Paypal向联邦调查局提供了1000个攻击者的IP地址，导致至少14人被捕。如下表所示，万事达、Visa、亚马逊等企业也接连成为攻击目标。

本案中受到攻击的网站

攻击者使用的工具主要是低轨道粒子炮（LOIC）的修改版本，主要添加了被称为“蜂巢意识”（Hive Mind）的模式，这使得远程控制LOIC成为可能。

（三）索尼信息泄露案

2011年1月11日，游戏厂商索尼公司对乔治·霍兹（George Hotz）等人提出起诉，罪名是违反了《数字千年版权法案》（Digital Millennium Copyright Act）和《计算机欺诈与滥用法案》（Computer Fraud Abuse Act）。这场官司的起源，是乔治·霍兹破解了索尼著名的游戏机PS3，用户无须付费就可以运行各种破解的游戏。2011年3月6日，法院批准索尼公司得到所有访问霍兹博客的IP地址，包括破解程序的下载者地址。

2011年4月3日，黑客组织Anonymous入侵了索尼的一个网站，并在上面留言（下图），声称索尼公司的行为侵犯了数以千计无辜者的隐私，所以对其宣战，并称之为“索尼行动”（OpSony）。[注释]4月14日，索尼公司多台服务器遭受DDoS攻击而宕机，攻击者使用的工具主要为低轨道粒子炮（LOIC）。4月19日，索尼雇员发现130台服务器“非计划重启”。4月20日，索尼发现发生了用户数据失窃事件，并决定暂停PSN（PlayStation Network）网络。对索尼公司而言，用户数据泄露可能造成的损失远超过DDoS攻击，因为公司保存了大量用户的信用卡信息，可能危及到用户个人的银行账户安全。

Anonymous对索尼公司的宣战

4月21日之后，索尼公司开始聘请专业安全公司进行取证调查，甚至邀请FBI协助。5月4日，美国众议院能源和商业委员会（The House Committee on Energy and Commerce）举行了听证会，索尼公司拒绝出席，但送去了一封信说明事件的发生情况。索尼称，数据窃取发生在4月16日至4月17日，1.2万个用户信用卡号码和2470万用户信息被盗。索尼公司没有明确指出DDoS攻击与数据窃取之间存在协同，但两者基本在同时发生。Anonymous之后否认参与了这次数据窃取，并发布了一份新闻稿：“这一次，我们没有做。”6月2日，另一个知名黑客组织LulzSec声称入侵SonyPicture网站成功，并获取了100万用户的信息。

索尼公司的股价从1月11日的36.36美元，一路下降到6月20日的24.28美元。根据该公司3月31日公布的财务状况，当时的各种损失估计为14亿日元（1.71亿美元）。而VERACODE的一份分析则认为，最终的总损失将高达240亿美元。

事后，索尼承认，他们对信用卡号进行了加密，但对其他用户信息并未做加密处理。窃取用户数据的攻击者身份，至今依然未被发现。Anonymous只承认进行了DDoS攻击，宣称并未窃取数据；而LulzSec只对SonyPictuire的入侵负责。FBI曾猜测是两个组织的配合行动，但并无证据支持。

通常情况下，攻击者的目的可以分为两类，一类是控制与窃取信息，另一类是破坏。DDoS攻击通常用于后者。而这次事件的特点是，DDoS被当成了一种掩护行动。无论入侵者是谁，他都很“巧妙”地利用了Anonymous的攻击来吸引索尼安全团队的视线，使得自己的行动更不容易被发现。这种方式也许会在今后成为一种常用的伎俩。

五、结语

本文介绍了个人黑客的攻击、有组织犯罪、网络战以及黑客行动主义。随着技术的发展，DDoS攻击不断出现新的形式，但这并不意味着旧的形式会就此绝迹。时至今日，依然有一些黑客愿意独自行动，网络战也必定会再次爆发。未来并不确定，希望我们至少能从历史中吸取教训，避免重蹈覆辙。

微信公众号：计算机与网络安全

ID：Computer-network

【推荐书籍】