186-2150-4849
当前位置:网站首页> 办案心得 >内容

全国首例网络攻击案一审

来源:网络   作者:未知  时间:2015-12-05 浏览数: 1305

北京市第一中级人民法院

民 事 判 决 书

(2005)一中民初字第3218号

原告北京珠穆朗玛网络技术有限公司,住所地北京市海淀区北洼路甲3号北京正豪办公大厦A座1层112号。

法定代表人林栋梁,总经理。

委托代理人刘文涛,北京市兰台律师事务所律师。

委托代理人张茹,女,1980年10月22日出生,北京珠穆朗玛网络技术有限公司法务主管,住北京市海淀区海淀路175号人民大学99级法学院本科。

被告北京百度网讯科技有限公司,住所地北京市海淀区北四环西路58号理想国际大厦12层。

法定代表人李彦宏,执行董事。

委托代理人徐静,北京市金杜律师事务所律师。

委托代理人王湛,男,汉族,1977年1月25日出生,北京百度网讯科技有限公司产品总监,住北京市海淀区北京大学物理系宿舍。

原告北京珠穆朗玛网络技术有限公司(简称珠穆朗玛网络公司)诉被告北京百度网讯科技有限公司(简称百度网讯公司)不正当竞争纠纷一案,本院于2005年3月14日受理后,依法组成合议庭,于2005年9月3日公开开庭进行了审理,原告珠穆朗玛网络公司的委托代理人刘文涛、张茹,被告百度网讯公司的委托代理人徐静、王湛到庭参加了诉讼。本案现已审理终结。

原告珠穆朗玛网络公司诉称:原告系一家从事电子商务的网站。2005年1月21日下午约18点20分,至次日晚21时许,被告百度网讯公司采用分布式拒绝服务攻击(DDOS攻击)的手段,将其搜索框源代码中加入了访问原告www.8848.com 和www.8848.net网站的两条指令,且将该指令的屏幕显示参数设置为0,形成了隐藏帧,在其搜索联盟网站用户每次开机或页面刷新时,都将对原告的两个网站进行一次无效的访问。被告的搜索联盟网站数量巨大,其大量的无效访问耗尽了原告服务器的资源,导致原告的服务器对有效的访问不能正常响应,网络用户无法通过原告网站正常购物及在线支付,商户无法正常销售、结算等。该攻击行为持续时间至少26小时。被告行为恶劣,手段隐蔽,破坏了网络的交易秩序,对原告构成了不正当竞争, 给原告造成了重大的经济损失,请求法院判令被告停止其不正当竞争行为;赔偿原告经济损失1500万元;在人民日报上刊登致歉声明,消除影响,赔礼道歉;承担本案的调查取证费、律师费、鉴定费及案件受理费。

被告百度网讯公司辩称:1、原告现有证据不足以证明其网站连续26小时遭到攻击,且无法访问的事实;2、在原告访问日志中记录的访问量不足以导致其服务器不能正常工作;3、百度网讯公司没有修改其搜索框代码,发生攻击的行为可能系他人所为;4、原告主张损害的事实并未实际发生,缺乏相应的证据支持,故请求法院依法驳回原告的诉讼请求。

在本案诉讼中,原告为支持其诉讼请求,向本院提交了两类证据,共计28份。

第一类证据,为原告证明其所称“攻击事件”发生的证据,具体包括:

证据1系原告制作的PPT文件及电脑屏幕截图,证明原告网站受到了来自被告联盟网站的攻击。

证据2系北京万红龙翔礼仪公司(简称礼仪公司)应原告聘请,于2005年1月22日下午至晚,在原告处拍摄和录制的两张光盘,证明原告网站受到来自被告联盟网站的攻击。

证据3系经北京市第二公证处公证的张克勤的证言,证明其录制证据2所述光盘的经过。

证据4系中央电视台CCTV-2记者叶锋拍摄和制作的关于涉案攻击情况的播放录像资料。

证据5系经北京市第二公证处公证的叶锋的证人证言,证明证据4拍摄的经过。

证据6系2005年1月22日CCTV-2经济信息联播节目的录像,证明原告网站受到被告联盟网站的攻击。

证据7、证据8系公证书及秦越峰的录音,证明百度网讯公司利用其搜索联盟网站对原告网站发动了攻击。

证据9系61.53.176作者在post.baidu.com网站BBS版上的留言,证明百度网讯公司利用其搜索联盟网站对原告网站实施了攻击行为。

证据10系北京市第二公证处(2005)京二证字第10775号公证书,证明被告联盟网站的数量足以形成涉案的攻击行为。

证据11系2005年1月21日至1月22日的原告网站日志,证明涉案攻击事件发生的情况。

证据12系来自北京寰宇蓝天电子商务有限公司的2005年1月22日0时(格林威治时间)原告服务器的流量图,证明原告的网络日志是真实的,证明原告网站受攻击期间访问流量异常。

证据13系2005年7月6日北京市第二公证处出具的(2005)京二证字第19588号公证书,证明远程登录世纪互联网站是可行的;可以获得被告搜索框代码变化的情况;可以获得负载均衡器、网络日志的记录。

证据14系2005年1月26日北京网络行业协会电子数据司法鉴定中心出具的京网协[2005]鉴字第019号电子数据鉴定报告,证明在原告服务器中来自被告联盟网站的访问次数共计953 532次。

证据15系原告根据世纪互联数据中心有限公司提供的数据,绘制的2005年1月1日至2005年1月31日的流量图,证明原告在受到攻击期间流量图发生异常变化的情况。

证据16、证据17系原告网站日志和流量图分析、防火墙会话、负载均衡器记录,证明原告网站受攻击的情况。

证据18系1月20日16时到1月21日14时原告网站日志统计,证明原告网站正常情况下的状态。

证据19系参与涉案攻击事件的百度联盟网站的用户名统计,证明原告的网络日志是真实的。

证据20系原告网络日志中各项数据内容的说明,证明原告网站受到攻击的情况记录。

第二类证据,为原告请求损害赔偿1500万元的相关证据,此类证据包括:证据21系订单列表,证据22系代理商、客户、合作伙伴等遭受的损失,证据23系广告费,证据24系固定运营成本的损失,证据25系攻击期间发生的加班费、电话费、交通费,证据26系取证费,证据27系无形资产损耗,证据28系商业信誉损失。

在本案诉讼中,被告为支持其抗辩理由,向本院提交了三类证据,共计14份。

第一类证据,为被告否认原告所称发生“攻击事件”的证据:

证据1系中国互联网发展状况统计报告,证明原告流量图的表现形态与分布式网络攻击(DDOS攻击)的表现形态不符。

证据2系北京世纪互联信息系统服务协议,证明原告带宽情况不明,无从确定流量对原告服务器流量的影响。[page]

证据3系2005年6月24日-25日百度联盟服务器访问量统计图,证明原告流量图表现形态与被告联盟服务器访问量情况存在矛盾。

证据4系百度联盟网站站长胡磊的证言,证明在事发当时,百度联盟网站并未发现秦越峰所说的对www.8848.com 和www.8848.net自动连接的现象。

证据5、证据6系百度联盟网站加盟的登记信息、排行榜、联盟网站的IP地址、域名等,证明被告的信息是公开信息,原告网络日志上出现的信息均可通过公开渠道获得。

第二类证据,为被告证明其未实施涉案攻击行为的证据:

证据7系北京市国信公证处出具的(2005)京国证经字第1460号公证书,证明涉案攻击事件事发时,被告服务器的行为日志没有任何修改的记录。

第三类证据,为被告证明原告、案外人的插件在技术上具有截获、修改他人信息的能力,亦有能力实施涉案攻击行为的证据:

证据8系北京市国信公证处出具的(2005)京国证经字第0944号公证书(简称第0944号公证书),证明原告的搜索助手(英文名称mysearch)软件,具有修改、转移用户请求、截获服务器返还用户的请求内容以及修改远端服务器返回结果的能力。

证据9、证据10、证据11系北京市国信公证处出具的(2005)京国证民字第00372号、第03784号、01626号公证书(简称第00372号、第03784号、01626号公证书),证明原告曾经针对被告网站实施过后台操控,修改搜索结果的行为,原告搜索助手软件的安装量达到250万用户群,并以每天数以万计的安装速度激增。

证据12系中国软件测评中心与赛迪评测报告,内容系关于中文关键词服务产品市场,证明3721网络实名软件覆盖率达80%。

证据13系北京市国信公证处出具的(2003)京国证民字第10442号公证书,证明网络实名具有后台操控功能,并曾针对百度搜索排名进行屏蔽。

证据14系模拟插件演示,证明模拟插件可以通过后台操作并控制,可以在被访问的服务器中,形成http//unstat.baidu.com/的记录,误导他人认为该访问是来自百度网讯公司或百度联盟网站,造成涉案攻击行为系百度网讯公司实施的假相。

根据双方当事人的举证、质证,本院对涉案证据的分析认定如下:

(一)原告证据

关于证据2即对拍摄和录制的录像资料与各相关证据的分析,该录像资料的形成系原告聘请礼仪公司拍摄录制的。原告向礼仪公司的付款发票(发票号为201404020501111057,原告证据第300页)及礼仪公司张克勤证人证言可以证明,在2005年1月22日下午至晚上,原告聘请礼仪公司到其处,承担service摄像及后期制作项目。从礼仪公司的性质看,第一,该公司主要承担婚庆、庆典的拍摄,不具有公证机关的资质和公信力,其拍摄过程不同于公证机关的取证过程,在程序上缺乏公正性;第二,从原告与礼仪公司之间的关系看,两者之间为雇佣关系,礼仪公司的拍摄行为和拍摄内容,依原告的要求进行,其拍摄的内容体现着原告的意志。第三,从时间看,礼仪公司是在发生涉案攻击事件至少18至20小时后,才到达现场进行拍摄的,其拍摄的内容不能全面客观地反映案件的整体情况。

证据1的截图来源本院无法确定,故不予采信。证据9系61.53.176作者在BBS版上的留言,在法律上,61.53.176作者是一个不确定的主体,内容来源不明,本院不予采信。关于证据11、12、13,在庭审中,双方当事人均认可网络日志可以被修改,且系原告单方提供,但通读原告2005年1月份的网络日志,根据其记录形式和内容,可以证明在被告搜索框的代码中包含了访问www.8848.com和www.8848.net的指令的事实,本院对证据11、12、13的真实性予以确认。证据14系鉴定报告,该鉴定报告是原告单方送检,且以证据2的录像资料、证据11的网络日志等为鉴定基本素材所作出,在对证据2的客观性难于确认的情况下,对证据14中基于证据2的有关内容的证据效力本院不予确认。

对原告其他证据的分析认定:

证据3、5、7、8,该四份证据属于证人证言,根据最高人民法院《关于民事诉讼证据的若干规定》的司法解释,证人应当出庭作证,接受当事人的质询。鉴于案件情况复杂,庭审前,本院已明确要求原告的证人应到庭作证,但秦越峰、张克勤、叶锋均没有到庭,原告亦未向本院说明上述证人无法出庭的正当理由,且从证言的内容看,不能证明案件的实质内容,故本院对上述证据不予采信。

证据15系原告根据世纪互联数据中心有限公司提供的数据,绘制的2005年1月1日至同年1月31日流量曲线图,虽然该数据是从世纪互联网站获取,但是,该数据是存储在原告托管于该公司的服务器中,该公司对原告数据不具有控制的能力,依据原告服务器的数据,绘制的流量曲线图,不能证明案件的实质内容,不具有证据的效力,对此,本院不予采信。

证据4、6系中央电视台制作播放的电视节目,对该证据的真实性本院予以确认。证据10系本案起诉后,原告通过www.baidu.com网站下载的有关博客论坛、排行榜的内容,从博客论坛和排行榜的内容看,与本案争议的事实无关,本院不予采信。证据16、17、18、19、20系原告对其证据的说明和分析,不具有证明的效力。

(二)被告证据

证据1系中国互联网发展状况统计报告,该报告与本案争议的事实无关;证据2系格式性的、空白服务协议书,与本案争议的事实无关;证据3为一张孤立的曲线图,没有载明其来源及与本案的关系;证据4系胡磊证人证言,本院已明示被告证人应到庭作证,但胡磊没有到庭,被告亦未向本院说明证人无法出庭的正当理由,且从其证言记载的内容看,不能证明案件的实质内容。证据5、证据6分别为被告网站内容的打印页,系百度联盟网站加盟登记信息、排行榜,联盟网站的IP地址、域名等,其真实性本院不予确认。综上,证据1到6的证据效力,本院不予采信。

证据7系被告通过公证的方式取得的,证明其在涉案攻击时段,其服务器的行为日志没有发生修改和变化,其访问日志保存时间为5天。鉴于原、被告均认为网络日志可以自行修改,加之被告的网络日志形式和内容均不完整,故本院不予采信。

证据8、9、10、11、12、13、14经双方当事人质证和法庭勘验,原告未能提供反证的情况下,对被告上述证据的效力,本院予以采信。[page]

结合以上本院确认的证据,本院查明以下事实:

在2005年1月21日18时22分16秒时段,在原告的W3SVC1 WEBSERVER3两台服务器开始出现了来自百度联盟网站的大量访问,在服务器日志中记录信息为http://unstat.baidu.com/bdun.bsc?tn=……。18时22分41秒时段,在原告服务器中,开始出现了百度联盟网站连续的访问记录。在18点26分19秒时段,在原告W3SVC1 WEBSERVER3的服务器日志中,出现“server_error_500”记录信息。 在26分19秒41秒出现了“server_too_busy 500”的记录信息。来自北京寰宇蓝天电子商务有限公司的2005年1月22日0时(格林威治时间)的流量图,证明了在此期间原告网站的访问流量出现了异常激增的现象。与此同时,原告发现百度搜索框的源代码中被加入了http://www.8848.com 和http://www.8848.net访问原告网站的指令,该访问指令的屏幕显示参数均设置为0,即为隐藏帧。2005年1月22日约21时,涉案攻击行为停止,随后,中央电视台CCTV-2即报道了涉案攻击的情况。原告没有提供攻击事件持续26小时和服务器瘫痪的相关证据,攻击停止后,原告网络服务器如何恢复等问题,原告不能作出说明。

2005年1月26日,北京网络行业协会电子数据司法鉴定中心出具了京网协[2005]鉴字第019号电子数据鉴定报告。该报告依据原告的网络日志统计来自百度联盟网站的访问次数为953 532。

在本案审理中,根据原告的申请,本院与北京市公安局网监处取得联系,并调取有关证据,调取的证据与原告送检的3张光盘相同,对此原告予以认可。

被告抗辩的主要事实:被告提供的第0944号公证书,载明了原告的搜索助手(英文名称mysearch)软件,具有修改、转移用户请求、截获服务器返还用户的请求内容以及修改远端服务器返回结果的能力。第00372、03784、01626号公证书载明了原告曾经针对被告网站实施过后台操控,修改搜索结果的行为,原告搜索助手软件的安装量达到250万用户群,并以每天数以万计的安装量激增。

经本院主持,在双方当事人共同参与的情况下,对涉案的有关事实进行了网络在线勘验,本院勘验主要涉及以下事项:第一,百度搜索框源代码存放及通讯的方式。百度搜索框源代码系html格式文件,静态存放于unstat.baidu.com的网站,百度网讯公司利用其搜索框的方式,通过网站协议与联盟网站之间建立了实时动态的信息传输,且明码传输其搜索框源代码。第二,在互联网通信过程中,插件对数据流的截获或干扰。在勘验过程中,被告证明了通过控制中央控制器开/关,可以改变装有插件的终端用户页面上的源代码,原告指控被告实施攻击行为不具有特定性、排他性、唯一性。原告认为,模拟插件不是原告的插件,对勘验结果持有异议。为此,被告即请求本院直接使用原告的插件和服务器进行现场勘验,原告表示反对,不同意直接使用原告的插件和服务器进行现场勘验。第三,对于在原告网络日志中显示unstat.baidu.com一节的勘验。在勘验中,被告将一终端用户的百度搜索框源代码中访问原告服务器的两条指令替换为访问第三方网络服务器的网址,在网络上运行后,查看第三方网站服务器的网络日志,该服务器的网络日志显示为http://unstat.baidu.com//,并非显示该终端用户的网址。该勘验结果可以证明,虽然在原告的服务器中,显示有被告联盟网站的网址http://unstat.baidu.com/……,但是,该显示现象与被告是否实施了涉案攻击行为,两者之间不具有必然的联系。涉案攻击的行为是在网络传输中,存在被他人截获并修改的可能。第四,对原告的搜索助手软件的勘验。原告的搜索助手软件针对百度公司网站信息、改变百度网页内容、在百度的网页上增加广告信息等现象进行勘验。勘验结果可以证明在网络终端用户上,安装了原告的搜索助手软件,可以实施截获百度公司网站信息、改变百度网页内容、在百度的网页上增加广告信息、在百度的网页上运行其编写的指令的功能。

本案受理后,根据原告指控,涉案攻击行为至少应有加入访问原告网站的指令、变换访问指令、撤消访问指令等修改搜索框源代码的行为记录,本院责令被告限期提交其1月21日至22日服务器的工作日志。被告以公证的方式,向法庭提交了其服务器的行为日志,公证书表明被告没有对其搜索框源代码进行过任何修改的记录。

以上事实,有原告制作的PPT文件及电脑屏幕截图、礼仪公司拍摄录制的光盘、61.53.176作者BBS版的留言、网络日志、流量图、原、被告提交的公证书、勘验笔录、当事人陈述及庭审笔录等证据在案作证。

本院认为:根据本院确认的原告的证据4、6、11、12、13,可以认定在2005年1月21日大约在18时22分时,在原告的服务器中,曾经出现过来自百度联盟网站大量的非正常访问的情形,造成原告网络服务器的非正常访问现象。本案争议的焦点问题在于原告的证据能否证明被告实施了涉案的攻击行为。

原告指控被告实施了涉案攻击行为的主要证据是:第一,在原告服务器日志中,出现了大量的来自百度联盟网站访问的网址;第二,在其流量图中,呈现出流量激增的现象;第三,在百度搜索框的源代码中,加入了http://www.8848.com 和http://www.8848.net两条访问原告网站的指令。上述证据能否证明被告实施了涉案的攻击行为,取决于以下两个问题:第一、被告网站与其联盟网站之间的关系;第二、被告是否修改了其搜索框的源代码。

第一,关于被告网站与其联盟网站之间的关系。原告服务器中出现的大量访问的情景,并非直接来自百度网讯公司的网站,而是来自其联盟网站。由于百度搜索框源代码系html格式文件,静态存放于unstat.baidu.com的网站,被告与其联盟网站之间通过网络协议的方式,建立了实时动态的信息传输,其联盟网站的百度搜索框源代码来自被告的unstat.baidu.com的网站。对在原告网络日志中显示unstat.baidu.com一节,被告在勘验中证明了在原告的服务器中显示有http://unstat.baidu.com……,由于涉案攻击行为的发起者利用了百度搜索框的源代码,在源代码中被加入了访问原告的两条指令,所以在被入侵的服务器中记录和显示unstat.baidu.com的信息是不难理解的。[page]

第二,被告是否实施了在百度搜索框的源代码中加入http://www.8848.com 和http://www.8848.net两条指令的行为。在勘验中,针对原告的该指控,被告模拟涉案的攻击行为,在一终端用户的百度搜索框的源代码中,将访问原告服务器的两条指令替换为访问第三方服务器网址的指令,在互联网上运行后,即查看第三方网站服务器的网络日志,该服务器的网络日志显示为http://unstat.baidu.com//…… ,该显示结果与原告服务器日志中显示情况相同。该勘验结果可以证明入侵者的百度搜索框源代码中被加入了访问原告网站指令的事实,但是不足以证明是被告实施了该行为。百度网讯公司为了进一步证明在互联网环境下,对源程序的复制和修改,不同于一般侵权软件的复制和修改。在互联网环境下,在复制和修改方式存在两种可能性,既可以静态复制和修改,也可以动态复制和修改,既可以本地修改,也可以远程修改。在勘验中,被告利用控制一种模拟服务器的开/关,在终端用户未作任何操作的情况下,即可以实现修改装有插件的终端用户的百度搜索框源代码。该勘验结果证明了装有插件的终端用户的百度搜索框源代码是可以被他人控制和修改的。虽然原告认为模拟插件不是原告的搜索助手软件,对勘验结果持有异议。但是当被告申请本院直接使用原告的插件和服务器进行勘验时,原告当即表示不同意被告的请求。在此情况下,百度网讯公司进一步证明了原告的搜索助手软件曾截获被告网站的信息、修改被告网站的页面,在被告网站页面的广告位上增加导航条,添加广告和图片信息,在被告网站的页面上执行原告的各种操作指令。被告提供的第0944号、00372号、03784号、01626号公证书,证明了原告曾针对被告的网站实施过修改其页面的行为。对此,原告称开发该软件是为了方便互联网用户,能在同一页面上进入不同的搜索网站,属于互联网发展中的新技术。该勘验结果证明,存放在被告unstat.baidu.com网站的搜索框源代码,不仅被告可以直接修改,他人也可以在传输过程中,通过截获信息的方式进行修改。

由于百度搜索框的源代码系html格式文件,与联盟网站之间明码传输,在传输过程中,他人亦可以修改百度搜索框的源代码,原告现有的证据既不能证明被告实施了涉案的攻击行为,也不能排除他人截流、修改百度搜索框源代码的可能性。原告认为只有被告才能够修改该源代码的理由,不能成立,本院不予支持。

此外,关于流量图一节,流量图是记录访问量的二维图形表现形式,是日志记录的另一种表达形式,流量图与流量的来源无关,与被告是否实施了涉案攻击行为,缺乏关联性。故本院不予采纳。

综上,原告现有证据指控被告实施涉案攻击行为,不具有特定性、排他性、唯一性,不能证明被告实施了涉案攻击行为,故原告的诉讼请求本院不予支持。依据《中华人民共和国民事诉讼法》第六十四条之规定,判决如下:

驳回原告北京珠穆朗玛网络技术有限公司的诉讼请求。

案件受理费85 010元,由原告北京珠穆朗玛网络技术有限公司负担(已交纳)。

如不服本判决,双方当事人可在本判决书送达之日起15日内,向本院递交上诉状,并按对方当事人人数提交副本,交纳上诉案件受理费85 010元,上诉于北京市高级人民法院。


审 判 长 刘 勇

审 判 员 刘海旗

代理审判员 李燕蓉

代理审判员 张晓霞

代理审判员 姜庶伟

二 O O 五 年 十 二 月 一 日

书 记 员 王 晫

书 记 员 王 溪

网站首页律师介绍业务领域成功案例律师动态律师风采在线咨询联系我们

地址:上海市浦东新区福山路450号新天国际大厦14楼G

咨询热线:
186-2150-4849

添加微信×

扫描添加微信