第十八章DDOS攻击

沧海市警局。

网安部会议室，天网小组正准备开始一场桌面会议。

人员陆续就位之后，一个略微有些秃顶的中年男人拿着会议资料坐在了主讲的位置上。

“哎，老常，今天怎么是你做报告啊，隋棠呢？”罗奕阳环顾了一眼坐席问。

老常叹了口气，“这孩子啊，生理期加上这两天做电子取证加班熬夜，身体有些吃不消，请假休息了。”

“怎么这么拼？”罗奕阳皱眉。

“她就这个急性子啊！”大宽无奈地说，“有时候嫌我们慢就亲自上手，技术中心都知道她这个习惯。”

“好吧，大家也都多多注意下身体。破案虽然是我们的职责，但是身体累垮了还怎么抓犯人呢？”唐枫看着几人说。

众人纷纷点头。

“其余的人都到齐了吗，到齐的话我们就开始吧。”唐枫扫了一眼四周，目光最后落在老常身上。

老常把手里的资料分发下去，正襟危坐。

“这是昨天的案子，我们抓获三名利用ddos攻击致使网站瘫痪的嫌疑人，都是在校大学生。不过从作案手法来看，这几人只是入门级的黑客。他们利用了从渠道方购买的黑客攻击软件，其中一个技术高一点的直接使用租借来的‘肉鸡’发起了流量攻击。”

“肉鸡？”罗奕阳微怔。

“‘肉鸡’不是用来吃的鸡，而是指那些可以被远程操控的电脑，拥有webshell权限的电脑也可以被称为‘肉鸡’……”大宽解释道。

可罗奕阳却挥手将他打断，“这我当然懂。通过电脑专用软件扫描互联网上存在漏洞的服务器，这叫抓取‘肉鸡’。选取‘肉鸡’时通常使用linux系统的服务器，因为这一系统外国人居多，流量较为丰富。抓取成功后，软件中会生成‘肉鸡’报告列表，表中会记录存有漏洞的服务器ip、用户名和密码。黑客们往往利用用户名和密码登陆后，同时往‘肉鸡’中注入木马病毒。一旦植入成功，‘肉鸡’将自动回连黑客的服务器。而所谓的ddos攻击通常指的是流量攻击，只要在软件列表中填写目标ip地址和开放端口，就可以利用那些‘肉鸡’通过大量合法请求占用对方大量网络资源，以使服务器超负荷达到瘫痪。技术虽然不如你们，但理论我都懂。我想说的是，既然是租借的肉鸡，那么来源才是重点！”

大宽挠了挠头，“老大说的对。”

“人已经审过了，对于犯罪行为供认不讳，可是对于恶意攻击软件和‘肉鸡’的来源，他们闭口不提。”老常说。

“这应该就是黑客行业中连新人都会遵守的潜规则。”丁当推了一下圆框眼镜，“案子取证的时候我到了现场，可是电脑中的恶意软件属于相对高级的那一类，有清除痕迹功能。通常这类软件为了防止被发现，会删除所有释放的文件，并清除系统的使用痕迹，最后用了很大力气做了数据恢复。通过在虚拟机上对这些恶意软件进行动态分析，我们发现这款软件的制作者是个高手。”

“以前接触过很多类似的案例，这些黑客往往会通过网站来售卖自己的软件，那几个人不招，我们可以查他们的web日志啊！”大宽说。

“我们当然想到了。”老常说，“可是一无所获，所以我们推断可能是通过u盘安装的，最后我们在上锁的抽屉里找到了被藏起来的u盘，印证了我们的猜想。”

“对于来源，一点办法都没有吗？”罗奕阳摸着下颌，“理论上来讲，租售‘肉鸡’和恶意软件的黑客都会在软件上做后门程序来远程监控，以此获得更多的‘肉鸡’。我记得有一种技术，好像可以用来追根溯源。”

丁当点了点头，“新型的恶意软件出于网络控制的目的，都会向网络发包，利用tcpview收集这些信息的确可以追根溯源，查找远端黑客用来连接和控制系统的端口。但tcpview只针对进程进行监控，并不能分析内容。想要深层次的进行，可以使用wireshark嗅探恶意软件运行时发送的数据包……只是，我们的嗅探抓包高手隋棠小姐姐身体抱恙，暂时无法进行。”

罗奕阳修长的手指在桌面上敲了敲，“好吧，那你们先盯着点那边的状况。重点筛查一下有前科的黑客名单，我怀疑这是个老手干的。”

“明白。”几人异口同声地回答。

“好，今天先到这里。”罗奕阳起身，刚要走的时候他忽然又想起来什么，叮嘱了一句，“等会下班你们谁有时间记得去探望一下隋棠，买水果的钱回来我给报销。我得回家照顾我妹妹，暂时脱不开身。”