专栏名称: 信息时代的犯罪侦查

一切行为皆有犯罪的可能性，而在信息时代，这一过程变得更加复杂或者隐晦了。本号致力于传播打击和预防犯罪的手段、方法、理念，并希望能够推动侦查犯罪的机制变革，而这需要了解方方面面的信息。

网络犯罪案件技术法律术语解释汇编

信息时代的犯罪侦查 · 公众号 · · 2019-08-13 15:02

正文

随笔

案例

知识

声音

其他

编者按

隔行如隔山，隔山不隔理。不会跨界的检察官，无法理解优秀的侦查员。这一波网络犯罪案件技术法律术语，整理的还是很赞的。

网络犯罪案件技术法律术语解释汇编（一）

1.IP地址 （Internet Protocol Address）:是指互联网协议地址，是为了保证互联网上计算机设备之间的正常通信而为互联网上的每台设备分配的唯一的数字串编号。

在网络犯罪案件的办理过程中，通过对IP地址的追踪可以确定用于作案的设备的地理位置（经纬度等），为判断人机同一问题提供有利参考。

2.域名 :是由一串用点分隔的英文字母等符号组合的互联网上某一台计算机或计算机组的名称，用于在数据传输时标识计算机的电子方位。例如“www.baidu.com”是一个域名，和IP地址“220.181.38.148”对应。域名的产生，使计算机设备使用人在访问互联网上计算机设备时，不需要输入较难记忆的IP地址数字串，只需要输入方便好记的域名即可。

3.域名解析 :域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析。域名解析需要由专门的域名服务器（DNS）来完成，整个过程是自动进行的。

4.域名服务器 （Domain Name Server，DNS）:是进行域名和与之对应的IP地址转换的服务器。当一个计算机设备使用人在浏览器地址框打入某一个域名，或者从其他网站点击链接来到这个域名，浏览器向这个用户的上网接入商发出域名请求，接入商的DNS服务器要查询域名数据库，看这个域名的DNS服务器是什么，然后到该服务器中抓取DNS记录，也就是获取这个域名指向哪一个IP地址。在获得这个IP信息后，接入商的服务器就去这个IP地址所对应的服务器上抓取网页内容，然后传输给发出请求的浏览器。

5.流量劫持 :是指攻击者通过技术手段，非法拦截、修改或控制用户上网的行为，以此达到网络流量的引流甚至诱导用户安装木马程序、获取用户数据的非法行为。

流量劫持黑产链条主要包含两类作案团伙：一是有推广APP、网站、广告等流量需求的团伙，希望通过不法手段实现广告弹窗、网页跳转、主页锁定、安装推广、暗扣刷量等进行引流，从而变现牟利；二是流量劫持团伙，通过弹窗木马软件、捆绑流氓软件、DNS劫持、运营商基础设施劫持等，对用户进行流量劫持，对访问者的客户端进行主页锁定、网页跳转，向访问者推出弹窗广告、安装推广APP、暗扣流量等，从而与业务推广需求商进行分成牟利。

司法判决中，对流量劫持类案件的处理，主要分为两类：一类是以网页中带有误导性广告、下拉框、菜单等手段，诱导用户进入特定网站，从而实现流量劫持的目的，并未采取技术手段控制、破坏他人计算机系统，一般以不正当竞争论处，归类为“非强制性”流量劫持；另一类是以非法控制、破坏他人计算机信息系统等方法，强制改变他人网站访问路径，归类为“强制性”流量劫持，应予刑事打击。司法实践中，流量劫持行为的刑事判例主要涉及到非法控制计算机信息系统罪、非法获取计算机信息系统数据罪、非法侵入计算机信息系统罪等罪名。

6.DNS劫持 ：是流量劫持的手段之一，是指攻击者通过一定的技术手段，篡改某个域名解析的结果，使得指向该域名的IP变成另一个IP，导致对相应网址的访问被劫持到另一个不可达的网址或假冒的网址。最高人民检察院2017年发布的指导性案例（检例第33号）将非法控制或修改他人域名解析系统，造成计算机信息系统不能正常运行的行为，定性为破坏计算机信息系统罪。

7.DoS （Denial of Service，拒绝服务）攻击：是指通过利用各类网络通信协议中所存在的漏洞，使用对应网络通信协议下合理的服务请求来占用过多的服务资源，从而使正常用户无法得到服务的响应的一种网络攻击方式，是黑客常用的攻击手段之一。 DoS攻击采用一对一的方式，当攻击目标服务器性能不高时，它的效果较为明显。随着计算机与网络技术的发展，计算机的处理能力迅速增长，DoS攻击的困难程度加大。这时，分布式的拒绝服务攻击手段（DDoS）就应运而生。

8.DDoS攻击 （Distributed Denial of Service，分布式拒绝服务）攻击：是指通过控制“肉鸡”等资源，对一个或多个目标发动攻击，致使目标服务器断网或资源用尽，最终停止提供服务。 DDos攻击常伴随敲诈金钱、打击报复、同行恶意竞争等行为。

DDos攻击的黑产链条主要包括发单人（出资并发出对具体网站或服务器的攻击需求）、攻击实施者、攻击程序作者、肉鸡商（侵入计算机信息系统的实施人，或者买卖被侵入计算机系统权限的中间商，他们通过后门程序配合各种安全漏洞，获得个人计算机和服务器的控制权，通过植入木马，使得计算机变成能实现DDoS攻击的“肉鸡”）、高宽带服务器租售者和担保人（在发单、购买肉鸡、购买流量等各个交易环节中，交易双方找到业内“信誉”较高的黑客作担保，负责买卖双方的资金中转，担保人从中抽取一定的好处费）。

司法判决中，对DDoS攻击的处理主要涉及到两个罪名：一是破坏计算机信息系统罪。理由是： DDoS攻击虽然不直接对计算机信息系统功能进行增、删、改，但是却通过操纵网络资源，虚拟网络请求，对目标发动攻击，耗尽目标主机的资源和网络带宽，以达到瘫痪网络的目的，因此将此评价为对系统的干扰。二是非法控制计算机信息系统罪。理由是：一次完整的DDoS攻击包括前期的控制“肉鸡”等资源的行为和后期的直接攻击行为，二者为手段和目的的关系。但是一些案件中，行为人只参与了前半程行动，没有实施直接攻击行为，而在证据上难以认定前后行为存在共谋，则只对前半程行为单独认定；或者后半程行为证据缺失，则也只能对前半程控制行为予以认定。

9.反射型DDoS攻击 ： DDoS攻击的变种。攻击者并不直接攻击目标服务器IP地址，而是利用互联网上的某些提供开放服务的服务器，通过伪造被攻击者的IP地址、向多个有开放服务的服务器发送请求数据的报文，后者会根据报文请求将数倍于请求报文的回复数据发送到被攻击者IP，从而对被攻击者间接形成DDoS攻击。在反射型DDoS攻击中，攻击者利用网络协议的缺陷或者漏洞进行IP欺骗，主要是因为很多协议（例如 ICMP，UDP 等）对源IP不进行认证。反射型DDoS攻击通过第三方开放性服务器的“反射”，攻击能力成倍增加并远超普通DDoS攻击，危害极大。

办理DDoS攻击类案件的难点在于证实危害行为和危害结果间的因果关系。在反射型DDoS攻击案件中，这一证明难点更加凸显。在犯罪嫌疑人被抓获后，公安机关应当及时查证DDoS攻击路径中的网站建立者、攻击者。从网站建立者的服务器中及时勘查攻击者注册信息，网站建立者使用网站进行攻击的记录，调取案发时间攻击者在攻击网站输入的被害人IP记录。

10.肉鸡 （也称“肉机”、“傀儡机”）：是指已经被黑客或者其他人员远程控制的服务器或者计算机。 “肉鸡”通常被利用实施DDoS攻击。 “肉鸡”可以是一家公司、企业、学校甚至是政府军队的服务器，还可以是摄像头、机顶盒等物联网设备。

公安机关可以通过勘验“肉鸡”内相关数据，获取侵入“肉鸡”的远程控制程序的服务器IP地址，从而锁定实施攻击行为的真实服务器。 “肉鸡”一般出现在非法侵入计算机信息系统、破坏计算机信息系统、利用钓鱼软件实施的网络诈骗等案件中。

网络犯罪案件技术法律术语解释汇编

正文

请到「今天看啥」查看全文