澎湃的新聞?wù)碛浾咛K冰妍。

8月16日，廣州中級(jí)人民法院官方公眾號(hào)公布了17歲少年使用DDOS攻擊某航空公司的案例判決。

該案件披露的部分信息引起了公眾對(duì)航空公司計(jì)算機(jī)信息安全的質(zhì)疑。

DDOS攻擊下，南航購票系統(tǒng)崩潰4小時(shí)

根據(jù)法院公眾號(hào)中披露的案件細(xì)節(jié)，2020年6月初，小陳因新冠疫情滯留在國(guó)外疫情重區(qū)，因無法買到回國(guó)機(jī)票而產(chǎn)生不滿情緒。他向國(guó)內(nèi)某航空公司發(fā)送威脅郵件，并在境外網(wǎng)站購買攻擊套餐，利用DDOS（黑客通過遠(yuǎn)程控制服務(wù)器或計(jì)算機(jī)等資源，對(duì)目標(biāo)發(fā)動(dòng)高頻服務(wù)請(qǐng)求，使目標(biāo)服務(wù)器因來不及處理海量請(qǐng)求而癱瘓）等攻擊手段，多次、持續(xù)攻擊某航空公司客票等計(jì)算機(jī)系統(tǒng)。

判決結(jié)果顯示，考慮到小陳犯罪時(shí)已滿十六周歲不滿十八周歲，依法應(yīng)當(dāng)減輕或者從輕處罰。綜合考慮小陳犯罪行為的性質(zhì)、情節(jié)、危害后果及認(rèn)罪態(tài)度，判決小陳犯破壞計(jì)算機(jī)信息系統(tǒng)罪，判處有期徒刑四年；繳獲的作案工具筆記本電腦一臺(tái)予以沒收。

黑客非法入侵航司系統(tǒng)

法院在公眾號(hào)中表示，此次黑客入侵，造成某航空公司對(duì)外服務(wù)網(wǎng)絡(luò)全部癱瘓，包括客票業(yè)務(wù)、微信直播平臺(tái)銷售、機(jī)場(chǎng)旅客服務(wù)、飛行、運(yùn)控等系統(tǒng)無法正常運(yùn)作，導(dǎo)致為5000余萬用戶提供服務(wù)的客票等計(jì)算機(jī)系統(tǒng)不能正常運(yùn)行達(dá)4小時(shí)，給某航空公司造成了巨大經(jīng)濟(jì)損失與負(fù)面網(wǎng)絡(luò)輿論評(píng)價(jià)。

就在去年6月10日，南航就曾遭遇官網(wǎng)購票系統(tǒng)接近幾個(gè)小時(shí)的崩潰，但在飛行、運(yùn)控、旅客服務(wù)等系統(tǒng)，并沒有受到明顯的攻擊影響。而目前對(duì)于該案件的判處結(jié)果以及相關(guān)情況，南航暫時(shí)沒有回應(yīng)。

民航數(shù)據(jù)分析公司李及李創(chuàng)始人李瀚明向澎湃新聞?dòng)浾弑硎?，該案件披露的信息中提供的圖片顯示攻擊者只訪問了該航空公司的直銷網(wǎng)關(guān)和支付網(wǎng)關(guān)。李瀚明推斷，該事件中DDOS對(duì)航司的影響，主要是官網(wǎng)客票業(yè)務(wù)崩潰上，而機(jī)場(chǎng)旅客服務(wù)、飛行、運(yùn)控等系統(tǒng)等基本沒有受到影響。

對(duì)于DDOS的轟炸攻擊，無解？

那這個(gè)使大航司接近幾小時(shí)票價(jià)系統(tǒng)崩潰的DDOS攻擊究竟是什么？多家航空公司向澎湃新聞?dòng)浾弑硎荆珼DOS這種黑客攻擊方式，就是利用海量數(shù)據(jù)訪問企業(yè)IP，服務(wù)器處理不過來就能導(dǎo)致系統(tǒng)崩潰?！安皇呛娇展静唤o力，這種攻擊方式比較歹毒，雖說這招對(duì)中小型的企業(yè)比較好使，但其實(shí)不管是哪家一家企業(yè)，遇到DDOS攻擊，都會(huì)比較頭大?！?/p>

多位業(yè)內(nèi)信息安全領(lǐng)域?qū)＜蚁蚺炫刃侣動(dòng)浾弑硎荆魏蜗到y(tǒng)都有被攻破的可能性，只要黑客舍得花錢購買攻擊套餐，甚至對(duì)方不精通計(jì)算機(jī)技能，也可以花錢請(qǐng)人來進(jìn)行DDOS攻擊，沒有太大的技術(shù)門檻。但唯一的問題是，很容易被鎖定身份被抓到，對(duì)于企業(yè)和黑客而言是一件兩敗俱傷的事情。

一家航司信息安全部的總經(jīng)理劉青向澎湃新聞?dòng)浾弑硎荆澳壳案骱剿驹庥龊诳偷那闆r都挺普遍的，攻擊數(shù)據(jù)觸目驚心。通常目的是獲取旅客數(shù)據(jù)、薅羊毛等，其中大部分攻擊都都已被阻止掉。如果公司是部署在云上的應(yīng)用，也會(huì)降低風(fēng)險(xiǎn)。南航的技術(shù)上應(yīng)該是比較強(qiáng)的，這個(gè)案件中的攻擊事件還是要看具體的案件信息和具體描述，有可能是互聯(lián)網(wǎng)帶寬被占滿了?！?/p>

劉青向記者介紹，黑客采用DDOS針對(duì)占帶寬的攻擊，會(huì)導(dǎo)致航司互聯(lián)網(wǎng)出口帶寬被占滿，間接導(dǎo)致各種面向互聯(lián)網(wǎng)的服務(wù)受到影響。如果航司沒有購買運(yùn)營(yíng)商流量清洗服務(wù)，是沒有辦法抵御的，可以說是一擊致命。需要每年提前向電信、聯(lián)通等運(yùn)營(yíng)商購買服務(wù)，或是受到攻擊再買也可以，沒有什么難度，只是比較貴，幾十萬左右的價(jià)錢。

企業(yè)系統(tǒng)安全如何預(yù)防攻擊？

面對(duì)DDOS的攻擊，一般企業(yè)有幾個(gè)戰(zhàn)術(shù)防范的策略?！皣?guó)內(nèi)許多網(wǎng)站禁止國(guó)外IP段訪問或者只允許家庭寬帶IP段訪問，就是其中一種稱為‘黑白名單’的策略?！崩铄鬟@樣介紹道。此外，還可以通過對(duì)客戶端向服務(wù)器發(fā)送的請(qǐng)求使用自定義的加密算法的形式，篩選攻擊者制作的重復(fù)請(qǐng)求。

在應(yīng)對(duì)DDOS這樣用量來轟炸系統(tǒng)的攻擊手法時(shí)，目前航司還存在有誤封的可能。劉青舉例稱，例如在一個(gè)小區(qū)有很多人要訂票，這個(gè)小區(qū)用的是同一個(gè)IP地址，航司的安全設(shè)備或購買的安全服務(wù)看到這個(gè)IP有大量購票行為，也會(huì)認(rèn)為不正常從而觸發(fā)安全規(guī)則?！暗珜?duì)于航司而言，誤封也比無法提供服務(wù)好?！?/p>

企業(yè)在面對(duì)DDOS攻擊的預(yù)防機(jī)制上，劉青向澎湃新聞?dòng)浾呓榻B，除了針對(duì)占帶寬的攻擊外，對(duì)于官網(wǎng)本身的DDOS攻擊下，購買流量清洗服務(wù)可能也沒有用，要對(duì)安全設(shè)備做相應(yīng)的規(guī)則抵御。需要部署waf（web應(yīng)用防火墻）配合人工流量分析解決，安全設(shè)備廠商會(huì)持續(xù)更新安全規(guī)則，航司也會(huì)自行升級(jí)更新，以此來應(yīng)對(duì)DDOS的攻擊升級(jí)。

目前常見的短信驗(yàn)證碼登錄、掃碼登錄、人臉識(shí)別以及支付時(shí)用手機(jī)掃碼代替直接輸入信用卡等，都是典型的防范DDOS的機(jī)制。李瀚明表示，“這些功能提高用戶體驗(yàn)的功能在無形上也幫助降低了公司整體的信息安全風(fēng)險(xiǎn)。”

李瀚明表示，除了這些戰(zhàn)略上防范的技術(shù)以外，航司也會(huì)有很多架設(shè)在不同地方的系統(tǒng)，避免單一系統(tǒng)被攻破的風(fēng)險(xiǎn)?！氨热缙眲?wù)系統(tǒng)可能在北京、上海和廣州各有一個(gè)備份，這樣應(yīng)對(duì)DDOS的能力會(huì)更強(qiáng)?！崩铄鬟€介紹道，“而在面對(duì)DDOS已經(jīng)發(fā)起的攻擊時(shí)，最穩(wěn)妥的方法是直接像這次一樣?！畽C(jī)’維修，先暫停提供服務(wù)，加強(qiáng)應(yīng)對(duì)DDOS的處理能力，在能力增強(qiáng)以后再上線?！?/p>

（應(yīng)受訪者要求，文中劉青為化名）

責(zé)任編輯：王杰

校對(duì)：劉威