警察侦查网吧黑客

网吧监控录像

　　11月24日，央视《法治在线》播出“集体入侵”，以下为节目内容。

　　引子：
 
　　迷离的城市夜色

　　敲击键盘的手

　　网吧的霓虹灯

　　快摇 上网人群沉迷的眼睛

　　电脑屏幕上出现：有一封未读邮件

　　点击鼠标的手

　　打开的邮件：这不是一个玩笑 你们死定了

　　隐黑

　　集体入侵

　　正文

　　沉迷上网的人群 热闹的游戏界面 突然停滞的界面 不满的人群

　　解说： “万维”网吧，遵义市最大的网吧之一，因为设备新，环境好，每天来上网的人络绎不绝。但是今年八月中旬开始，不知什么原因，网络总是间歇性的瘫痪

　　同期：我们怀疑是电信的问题，因为过去电信都是通道堵塞的问题 后来这种可能他们电信人来了以后就排除

　　解说：李某是网吧的负责人，眼看着来上网的人一天比一天少，李某的心里非常着急，是不是染上了厉害的病毒？他带着网管花了两天的时间把两百台电脑一一重新杀毒，但仍然继续掉线。不得已，李某打电话给同是经营网吧的朋友，向他们请教解决的办法，谁知朋友却说他们的网吧也出现了这个问题。

　　同期：在我们防范区有好几个大型网吧都有这种情况 ，一掉就是10分钟20分钟，只要我们顾客一散，马上自动就好了

　　解说：多家网吧持续出现网络故障，电信部门随即进行了设备检查，但是检查结果显示一切正常。

　　同期：通过对介入设备的检测和抓包分析来说，可以判断就是说我们公司的这些网络设备都不存在问题 最初肯定还是认为网吧内部病毒

　　解说：也许是某种病毒在网吧集中暴发了，于是电信部门派出技术人员到出现网络故障的网吧查找原因，三天过去了，技术人员想尽了办法，却仍然解决不了问题，掉线的次数反而越来越多。

　　同期：一到下午两点三点就是网民来上网高潮的时候就会出现这种情况，所以对我们来说这个损失是比较大的。如果我们每天的营业额来算的话，大概要起码五六万以上，最起码

　　解说：情急之下的李某想到了遵义市网络协会，作为电脑高手，李某也是网络协会的一份子，也许集中大家的智慧能够解决这个难题。

　　很快，遵义市内的电脑高手们聚到了一起，数家网吧每天都在承受着巨大的损失，他们必须尽快找出网吧频繁掉线的原因。

　　解说：十二个小时过去了，大家首先排除了设备故障，紧接着又否定了病毒。

　　难道是黑客？此时，所有人的脑子里都产生了这样的疑问。

　　同期：怀疑转为有人是故意的在这方面搞，那么这种如果能搞到这种程度的让我们掉线各大网吧不定时的这种情况的话，这不是一般的人，一般的技术就能解决的

　　解说：随着网络技术的发展，人们在网上可以做越来越多的事，但是网络安全也已经开始困扰人们。而与网络安全最直接相关的就是黑客问题，黑客是“hacker”的音译，它是指嗜好编程或使用计算机的人；到了今天，黑客一词已被用于泛指那些专门利用电脑非法破解或破坏某个程序、系统及网络安全的人，他们也被称为骇客。

　　解说：如果网吧频繁掉线是黑客干的，那可就防不胜防了，所有人都感觉到了事态的严重性。随即李某和大家赶到公安机关报案。当他们说明来意后，警方却觉得难以置信。

　　同期：他们实际上他们没有掌握到更多情况，他们只是他们网吧断线，不断断线通过各个环节，来查找原因都没有查到原因 黑客攻击网吧确实我不相信。

　　解说：警方没有立案，不过，由于此事的涉及面很广，警方同意进行先期调查。
 
　　解说：尽管警方同意进行调查，但必竟没有立案，李某知道要想立案必须尽快拿到有关黑客的证据。看着街边的寻人启示，他突然想到了一个办法，发悬赏通告，每天在网络世界进出的人成百上千万，也许有人知道谁是攻击网吧的黑客

　　同期：悬赏通告当时发出去以后，在短时间内没有效果，而且没有什么就是说来解决这个问题
 
　　解说：三天过去了，五万元的奖金始终没人来拿，反而被攻击的网吧越来越多，而且攻击的目标从大网吧转移到了小网吧，一时间，遵义城内的网吧经营者人人自危，网吧的损失也在成倍递增。

　　同期：我们逐渐感到确实这些网吧，确确实实不是一般网络故障或者是线路故障这些原因，应该是从断线的时间上先后顺序上，应该是有人为的在里面，所以我们决定立案侦查。

　　解说：警方一一走访发生掉线的网吧，在一家网吧里，一名工作人员找到警方，他说网吧被攻击肯定与两个男人有关。

　　片花

　　解说：原来，在半个月前，遵义城内的几家大型网吧也曾经发生过掉线的情况。

　　同期：人为的到你的网吧电脑上，就是来装上一个软件，那么这个软件呢定时的到时候它可能产生一种让你这个和电信通道堵塞，用这种办法，让你断掉。

　　解说：发生掉线之后，各网吧很快查出漏洞，进行了屏蔽，恢复了网络连接。

　　同期：他们通过回忆的话就发现8月份的时候，有两名神秘男子进入他们网吧进行上网，然后他们离开以后，网吧就发生了相继发生了掉网现象

　　解说：然而，各网吧找到解决的办法之后，那两名男子就神奇地消失了。一个多月后，各网吧相继暴发了更大规模的掉线。

　　同期：这两个神秘男子很有可能就是我们这起案子的嫌疑人

　　解说：由于精心掩饰过，从网吧的监控录像上难以看清两名男子的长相，而他们出示给网管的身份证也是假的。要找到黑客，警方只能另想办法。

　　同期：我们一般常规的案件，通过现场走访，都会找到目击证人，而在这一块他是在网络上出现，网络上进行攻击，而我们在现场走访这一块和我们常规的案件就有所不同，根本就找不到一个目击证人

　　解说：为了应对黑客越来越密集的攻击，警方派出电脑专家仔细检查每一台被攻击过的电脑，也许从中能发现有关黑客的蛛丝马迹。

　　解说：此时，一台最新的网络安全设备也进入了紧张调试阶断，电信局希望借助这台专门购置的设备能帮他们恢复正常的网络秩序。

　　解说：每个网吧的电脑都多至上百台，电脑专家一台一台地检查着，任何一个细微的地方，只要可疑，他都要研究半天。然而，五天过去了，警方没有任何收获。

　　同期：没有找到作案的人留下的痕迹，就是犯罪分子在网络上没有留下任何让我们能够发现的东西。

　　解说：就在国庆节前，新设备终于调试成功，开机这一天，网吧经营者们希望这一天就是终结黑客攻击的一天。

　　解说：然而，下午一点半，正是上网的高峰期，几家大网吧相继掉线，黑客越过屏障再次成功进行了攻击。

　　同期：这种防范都是很被动的，他后面发现这次的攻击都是DDOS的攻击，我们的防范主要是作为其中的一个积累，因为这种攻击，它分为很多类，其中有些现在在互联网上能防范的这些措施我们基本上都采取了。

　　解说：冉崇显，黑客案的主要侦办人员之一，作为一名老刑警，他还从未遇到过这样的对手，如此强大却又无影无形，高科技、尖端设备全都不奏效。冉崇显思考着，也许侦查思路需要重新确定。

　　同期：这种利用网络的犯罪案件的犯罪，他主要通过计算机来实施，他的行为在计算机前的动作和人家上网的动作没有什么差别，所以说他应该说是一种高科技的智能犯罪，肯定和这种普通的刑事案子有很大的差别

　　解说：黑客最擅长的就是计算机技术，警方如果从技术着手查找黑客的蛛丝马迹，在短时间内肯定难以奏效。但如果把黑客当作普通的犯罪嫌疑人，也许案子就会简单许多。

　　同期：每个人做事他都有他自己的动机，他想达到什么目的，他的动机是什么，那么我们想是不是从这个方向来识破这个案子

　　解说：在冉崇显的带领下，三名侦察员把所有曾经掉线的网吧汇总到一起，从中寻找被攻击的时间、地点等规律性的特点。

　　解说：警方很快就有了发现。经常掉线的网吧主要集中在两个地区，北京路口和会址老城区，让警方感到有趣的是，一家名为“战略高手”的网吧在这两个地区都开有分店，而且这两家分店都没有被黑客攻击过。

　　同期：其他网吧在掉线的时候，他都没有掉线，所以我们觉得这个网吧有些疑点值得我们去调查。

　　解说：战略高手网吧规模不大，也许正是因为小它才没有被黑客攻击，不过，警方不打算放弃这条线索，他们决定到战略高手网吧去看看，也许它被攻击了但没有报案。

　　解说：就在这时，警方接到了一个电话，电话里的人说，战略高手网吧被黑客攻击了。

　　片花

　　解说：跟据实地调查的结果，警方确定战略高手网吧的确遭到了黑客的攻击。

　　同期：确实也被攻击过 在时间上并不是处于明显的上网的人流的高峰期。

　　解说：案件陷入了僵局，但冉崇显坚持认为，遵义城内被黑客攻击的都是经营中的网吧，个人用户没有一个被攻击过，这说明黑客的目标就是是网吧，这应该是商业竞争的产物，如果真是这样，黑客一定就隐藏在某家网吧内。

　　冉崇显决定让侦察员化装进入各家网吧。

　　解说：很快，侦察员们将收集到的信息反馈回了刑侦大队。“战略高手”网吧再次进入警方的视线。

　　同期：我们侦察员化装进入战略高手网吧调查，发现他基本上就是很少断线掉网，而且他打电话，打到我们网络协会进行报案，声称他的高峰时间断线掉网

　　解说：让警方更感兴趣的是，“战略高手”网吧的网管朱某显得很神秘，作为网管，朱某从来不在网吧内巡视，总是一来就钻到一个包间里，一呆就是一天。
 
　　同期：他们经常进去以后在断线掉网高峰时段的话，进去以后就在包房的计算机上面进行操作。

　　解说：同时，警方还了解到，战略高手网吧由于盲目扩张，开连锁网吧，资金链发生严重脱节，目前已是负债经营。

　　同期：网民在这边这几个大的网吧掉线之后，往往都会就地寻找没有掉线的网吧，结果他们那个地方没有掉线，所以最近一段时间生意比较好，形成了一个反差

　　解说：“战略高手”网吧有很大的嫌疑，但此时冉崇显却犹豫了，网络犯罪，尤其是面对黑客，警方必须获取有实质内容的电子证据。而电子证据可以是一封E-mail，也可以是一个带毒的数据包，虽然每台计算机的IP地址具有唯一性，但黑客们可以很轻易的盗用他人IP地址或使用特殊工具隐藏、改变自己的真实IP，同时他们会尽可能销毁各种证据，而电子证据的销毁只需短短的几秒钟。

　　同期：像这类案件，他留下的痕迹应该只能是电子痕迹，也就是说我们要对他，所谓的电子证据进行查找，查找这个证据之后才可能来真正的实现我们破案的目的。

　　解说：思来想去，接近战略网吧的网管朱某应该是最好的办法，而且警方了解到，朱某很喜欢上网聊天。

　　谢琼，加入刑警队刚一年，这名年轻的女刑警承担了接近朱某的任务。

　　QQ聊天内容

　　解说：通过请教朱某有关黑客方面的知识，谢琼不但迅速取得了朱某的好感，而且更加确定朱某对黑客技术有相当的了解。

　　同期：我感觉他特别嚣张，他就认为他自己，应该是个电脑高手，他实施犯罪，说的这种技术，公安机关应该没有掌握这种技术

　　解说：在网吧侦查的警察发现，朱某有一个习惯，每天晚上十一点他都要出去吃东西，这段时间里，朱某的电脑不会关机，如果他就是黑客，那他使用的电脑上一定会留下蛛丝马迹。朱某出去的这一个小时是警方调查清楚的最佳机会，警方决定派侦察员找机会进入朱某的包间查查清楚。

　　解说：就在这时，网吧协会传来消息，说他们追踪到了黑客使用的主服务器的IP地址，这个服务器并不在遵义。

　　片花

　　解说：经过不懈地追踪，网协的技术人员查到黑客使用的主服务器在福建。

　　同期：是伪装的IP地址，并不是真实的IP地址 你追可能追到欧洲去，可能追到韩国去

　　解说：按照原定计划，趁朱某出去的机会，侦察员进入了他的包间，在朱某的电脑上，侦察员发现朱某的电脑桌面上有一个连接工具非常可疑，于是制作了备份带回刑侦大队。

　　解说：电脑专家将备份打开一看，发现这个连接工具是一种远程攻击网络IP地址软件专用的连接工具。

　　同期：是一种DDOS的攻击，首先攻击就是作为现在互联网引用上面来说，无法防范的攻击，它是消耗带宽资源的一种攻击，目前就是作为IT网络来说，这个也是无法应对的一种措施

　　同期：连接工具首先就是连接攻击软件的，而且整个工作的系统平台一直在攻击的平台之上，就更加增加我们对朱某的嫌疑

　　解说：查看监控录像的警察经过仔细比对，发现朱某和另一名技术员与录像中那两名神秘男子非常相像

　　同期：发现朱某他的体貌特征和8月底进入我们各大网吧神秘男子非常想象

　　解说：警方立即将朱某和另一名技术员的照片拿给被攻击网吧的管理人员辨认，结果他们都很肯定的说照片上的人就是那两名神秘男子。

　　QQ发出邀约

　　解说：此时，警方只掌握朱某和另一名技术员参与了攻击，“战略高手”网吧的老板胡某是否涉嫌，警方还不能肯定，于是决定对朱某实施秘密抓捕。让谢琼把朱某约出来。

　　解说：警方顺利控制了朱某。

　　解说：面对眼前的证据，朱某很快交待了网吧老板胡某指使他攻击其它网吧的犯罪事实。

　　同期：老板先是让我们去各家网吧，用程序攻击网吧掉线，后来这个被网吧发现了，我们觉得太危险就不去了，隔了一个多月，老板说他买了一个软件，让我们在包间里远程攻击网吧，网吧生意确实好了很多。

　　解说：从控制朱某到他说出实情，时间已经过去了两个多小时，如果一旦胡某产生怀疑，将电脑中的证据删除，那警方将会前功尽弃。事不宜迟，警方直奔网吧将胡某和另一名技术人员抓获，查封了朱某等人使用了电脑主机。

　　同期：他们正在实施网络攻击，所以说基本上当时的证据他们还来不及删除，当时是他们实施网络攻击的界面都还没有来得及关掉就被我们抓获了，我们当时把他这个电脑提取了以后，在他电脑界面上提取了他攻击留下来的所有痕迹和证据。

　　解说：胡某，毕业于上海交通大学，因为喜欢计算机，与朋友合伙开了战略高手网吧，却没想到生意惨淡，于是他萌生了充当黑客攻击其它网吧的想法，最开始只是安排朱某等人到各网吧安装病毒程序，被人发现后，胡某又通过多方查找，终于从网上买到了一套远程攻击软件教给朱某操作，为了掩人耳目，他们甚至也攻击自己。

　　同期：我们充分发挥人的聪明才智，充分发挥我们的主观的东西 你科技手段你电脑都是人脑所创造出来的，你再斗也斗不过人。