對ＤＤｏＳ攻擊案的司法認定

一、基本案情

犯罪嫌疑人王某自2006年8月6日至同年9月2日間，采用“傀儡僵尸”DDoS攻擊軟件，遠程操控大量“傀儡機”連續惡意對上海某寬娛數碼科技有限公司（以下稱寬娛公司）的“英雄寬頻”網站（www.gogo365.com）頁面服務器以及為客戶提供影片更新服務的種子服務器發動分布式拒絕服務攻擊（簡稱DDoS攻擊），致使該公司六臺服務器間斷性癱瘓，無法正常工作。期間，被告人又非法登陸寬娛公司用于存放影片種子文件供客戶下載的虛擬空間，對刪片的批處理文件del.bat進行了修改，使得客戶從該虛擬空間下載文件后影片文件即被全部刪除。

王某的上述行為造成寬娛公司“英雄寬頻”網站在該期間癱瘓，致使眾多“英雄寬頻”客戶的本地影視服務器上影片被全部刪除，大量客戶流失，直接經濟損失七萬余元人民幣。

二、分歧意見

第一種觀點認為，王某的行為構成破壞計算機信息系統罪。

第二種觀點認為，王某只是遠程操控“傀儡機”，并未直接侵入寬娛公司的“英雄寬頻”網站，未對其進行刪除、修改等行為，因此不構成破壞計算機信息系統罪。

三、評析意見

破壞計算機信息系統犯罪具有高智能性、隱蔽性，給偵查帶來很大難度，從全國范圍看，破壞計算機信息系統案數量不多，通過DDoS攻擊實施的則更少，本案在上海市是首例破壞計算機信息系統案。但實際上，當前網絡黑客攻擊他人網站較多地采用了本案犯罪嫌疑人所使用的DDoS攻擊方式，因此，對DDoS攻擊的司法認定中的相關問題進行研究非常有必要。筆者通過對本案的辦理，認為其中下列問題值得探討：

（一）DDoS攻擊是否屬于破壞計算機信息系統的行為

拒絕服務攻擊，英文全稱是Denial of Service，所以又稱DoS攻擊，是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的一種網絡攻擊方式。而分布式拒絕服務攻擊，它的英文全稱為Distributed Denial of Service，又稱DDoS攻擊，它是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協作的大規模攻擊方式，是利用一批受控制的計算機向一臺計算機短時間內發送海量的登陸請求發起攻擊，使得被攻擊的計算機的資源被過多占有，來不及對這些海量的請求進行處理，最終造成癱瘓。攻擊體系結構如下圖所示：

分布式拒絕服務攻擊是現在黑客攻擊的重要方法之一，它的特點是其并不會使受攻擊的計算機系統以及系統內的信息被修改、刪除、增加，它本質上是暫時性對受攻擊的計算機系統的功能進行影響，使其無法正常工作，從而達到攻擊的目的。那么這種方式是否屬于刑法所規定的破壞計算機信息系統的行為呢？筆者認為應當認定為是破壞計算機信息系統的行為。理由如下：

第一，DDoS攻擊侵犯了他人的計算機信息系統的安全。當今世界是信息化的時代，計算機、互聯網已日益成為重要的獲取信息的渠道，其重要性無須贅述。正是基于這樣的重要性，刑法才將破壞計算機信息系統的行為入罪，旨在保護計算機信息系統的安全。因此破壞計算機信息系統罪所侵犯的直接客體是計算機信息系統的安全。計算機信息系統的安全表現在這樣幾個方面：（1）數據的安全性；（2）應用程序的安全性；（3）系統的正常運行。如前所述，DDoS攻擊通過占有他人計算機系統的大量資源造成網站癱瘓，影響了計算機信息系統的正常運行。因此說，DDoS攻擊侵犯了他人的計算機信息系統的安全，符合破壞計算機信息系統罪的客體方面的特征。

第二，DDoS攻擊屬于破壞計算機信息系統罪所規定的破壞計算機信息系統的行為形式。刑法第２８６條在計算機信息系統罪中三款分別規定了三種行為形式，一是違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾；二是違反國家規定，對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作；三是故意制作、傳播計算機病毒等破壞性程序。第一種形式是針對計算機信息系統的功能；第二種形式針對的則是計算機信息系統中的數據和應用程序；第三種形式涉及的是計算機病毒。根據DDoS攻擊的原理，DDoS攻擊針對的是計算機信息系統的功能而非是針對數據和應用程序，同時DDoS攻擊也不涉及計算機病毒的問題（這一問題將在下面進行闡述），因此DDoS攻擊的行為形式屬于上述第一種破壞計算機信息系統的行為形式。而這一種行為形式又具體分為刪除、修改、增加、干擾四種具體的形式，那么DDoS攻擊屬于哪一種呢？在分析這一問題前，首先應明確犯罪對象是傀儡機還是最終受攻擊的計算機。如果是傀儡機，那么DDoS攻擊確實對傀儡機的系統功能有修改、增加的行為；如果是最終受攻擊的計算機，由于并沒有侵入其系統內部，當然沒有刪除、修改或增加功能的行為，占有其資源的行為屬于干擾行為。對于這一問題，應當結合破壞計算機信息系統罪所造成的破壞結果來考察。刑法第２８６條第１款規定的破壞結果是計算機信息系統不能正常運行，而傀儡機是能夠正常運行的，不能正常運行的是最終受攻擊的計算機。因此，DDoS攻擊是干擾計算機信息系統功能的行為。

第三，DDoS攻擊所造成的破壞結果屬于破壞計算機信息系統罪所要求的破壞結果的范疇。破壞計算機信息系統罪所要求的“破壞”并不是狹義的，破壞的結果也并不是一定要求對受攻擊計算機的硬件或軟件遭到損壞。從刑法第２８６條對于破壞計算機信息系統罪客觀方面的規定來看，破壞計算機信息系統的三種類型表現為三種形式，造成的破壞結果也各不相同。第一款所規定的破壞行為造成的是計算機信息系統不能正常運行；第二款所規定的破壞行為造成的是計算機信息系統的數據或程序被破壞，而不考慮對整個計算機信息系統的狀況；第三款規定的破壞行為造成的是計算機正常運行受到影響。如前所述，DDoS攻擊是利用一批受控制的計算機向一臺計算機短時間內發送海量的登陸請求，發起攻擊，使得被攻擊的計算機的資源被過多占有，來不及對這些海量的請求進行處理，最終造成癱瘓，被攻擊的計算機信息系統無法正常工作，屬于刑法第２８６條第一款所要求的計算機信息系統不能正常運行的破壞結果。

（二）DDoS攻擊是否是傳播計算機病毒的行為

有一種觀點認為，DDoS攻擊是傳播計算機病毒的行為，因為DDoS攻擊的進行需要在他人的計算機上種植相關的木馬程序才能使他人的計算機變成傀儡機，繼而控制傀儡機向目標計算機發動攻擊，而種植木馬程序是傳播計算機病毒的行為。

筆者不同意這種觀點。按照這種觀點，木馬程序本身就是一種計算機病毒，但是實際上兩者是有差別的，并不能完全等同。

《中華人民共和國計算機信息系統安全保護條例》將計算機病毒定義為“編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。根據這個定義，計算機病毒應當有如下幾個特征：（1）形式上是計算機指令或程序代碼；（2）具有破壞計算機功能、數據，影響計算機使用的破壞力；（3）能夠自我復制。

而木馬程序則是一種在遠程計算機之間建立起連接，使遠程計算機能夠通過網絡控制本地計算機的程序，它的運行遵照TCP/IP協議，由于它像間諜一樣潛入用戶的計算機系統，為其他人的攻擊打開后門，與戰爭中的“木馬”戰術十分相似，因而得名木馬程序。木馬程序一般不會自我復制，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執行，向施種木馬者提供打開被種者計算機的門戶，功能有兩種：一是使施種者可以任意竊取被種者的數據、信息；二是遠程操控被種者的計算機。

比較計算機病毒與木馬程序，兩者雖在形式上均為計算機指令或程序代碼，但存在著兩點差別：第一，兩者的功能不同，計算機病毒的功能是破壞計算機功能或數據，影響計算機使用；而木馬程序并不具有這樣的破壞性，其功能是竊取被種者的數據、文件或是控制被種者的計算機（事實上這種功能也決定了木馬程序不可能具有計算機病毒那樣的破壞性，因為一旦被種者的計算機遭到破壞，木馬程序既有的竊取、控制功能就無法實現）；第二，計算機病毒具有自我復制性，能夠通過介質進行傳播，感染其他計算機，而木馬程序一般不具有這種自我復制性。因此說，木馬程序不是計算機病毒，在他人電腦上種植木馬程序的行為不是刑法上所規定的破壞計算機信息系統的行為，本身并不構成犯罪。

在區別了計算機病毒與木馬程序后，我們就不難得出結論，DDoS攻擊過程中在傀儡機中種植木馬程序實施控制的行為不是傳播計算機病毒的行為。