集美网上一期文章我们介绍了“内存型”外挂的技术原理及相关刑事责任,本期我们介绍一种在网游圈中性质作用极为恶劣的“炸房挂”,“炸房挂”用到技术为DDOS攻击,该技术历史悠久,属于公认的恶性网络攻击,具有很强的危害性。因此,在法律层面,如果达到“后果严重”行为人就需要承担法律责任,一般以破坏计算机信息系统罪定罪处罚,但结合案件具体情况依旧可以尝试做轻罪、罪轻的辩护。
一、“炸房挂”的技术实现原理
(1)多人实时对战游戏架构及特点
以国民级游戏“LOL”“王者荣耀”等MOBA对战型游戏为例,玩家在启动游戏后本地与数据服务器、用户服务器集群进行数据交互,并获得游戏服务器的IP地址,建立与游戏大厅服务器的TCP链接。一般经过大区服务器(匹配机制)对角色配对以及筛选空闲战斗房间服务器等数据进行处理后,将玩家链接到战斗房间服务器。
在玩家进行游戏的过程当中,客户端与服务器之间采取TCP及UDP两种交互协议链接方式。TCP链接就是起到了一个对服务器测试灵敏性和实时性的作用,UDP链接则传输对战中的关键性数据,玩家将操作指令通过UDP发送至服务器,服务器再将全部数据发送至全部玩家客户端,经过游戏逻辑运算后渲染在每一位玩家的计算机屏幕上。
由于MOBA游戏具有对数据传输和运算并播报的实时性要求高的特点,就给不法分子以可乘之机来实施“炸房挂”。在作弊玩家以及代练工作室不满足于透视、无延迟CD之后,一种以简单粗暴的强制掉线以及网络延迟等降维打击模式破坏游戏平衡的炸房挂在多个网络游戏平台登场。
(2)“炸房挂”的攻击方式
“炸房挂”借助上文介绍的数据传输使用的UDP协议特点,可以通过IP查询方式获得游戏房间服务器IP和端口,然后主要通过两种洪泛攻击方式DDOS(分布式拒绝服务)或者DRDOS(分布反射式拒绝服务)攻击方式利用被控僵尸机(肉机)大量发送UDP封包导致服务器链路容量被大量消耗,利用恶意发送大量数据包的方式充斥整个服务器连接,造成合法数据包无法被服务器处理的效果。
UDP协议具有源IP易伪造的特点,使得DRDOS攻击利用源IP易篡改的方式,仅需要控制少量僵尸机就可以实现对被攻击服务器的击溃效果。在服务器收到大量请求,造成在线玩家全部离线效果,在被强制退出服务器后,游戏结算数据不会发送至数据服务器,达到了保持玩家高胜率的效果。即便是玩家重新链接战斗房间服务器,由于作弊玩家对重新上线时间的把控,可以轻松实现团战击杀以及推塔等效果。
上述作弊方式仍然不能满足作弊玩家以及代练工作室的需求,通过使用Drop Hack发动上述两种洪泛攻击方式,查询到部分玩家的IP以及接入端口,然后发送UDP数据包,造成个别玩家掉线或网络延迟的效果,达到影响游戏平衡的目的。
二、“炸房挂”的刑法规制路径
通过对“炸房挂”的技术实现还原,可以总结“炸房挂”是一种通过“查询IP+DDOS攻击”方式干扰服务器与玩家间正常数据传输,使其不能正常运行的游戏作弊程序。与常见制售游戏作弊程序罪名一般适用提供侵入、非法控制计算机信息系统程序、工具罪的入罪逻辑有异,对于采取DDOS攻击服务器的罪名适用在司法实践中不统一,以下分析总结两个“炸房挂”案例。
案例1:破坏计算机信息系统罪
2017年3月份开始,被告人任某某、潘某某经预谋后,由被告人潘某某在温州家中编写针对深圳市腾讯计算机系统有限公司《英雄联盟》游戏服务器进行DDOS攻击的“BOOT”软件(该软件通过调用国外黑客网站,利用网站的DDOS攻击功能对计算机服务器进行攻击,导致被攻击的服务器运行异常,出现游戏玩家卡顿、掉线以及游戏数据丢失等),由被告人某某在网络上出售上述攻击软件给被告人范某某等人牟利。温州法院认为其结伙违反国家规定,对计算机信息系统进行干扰,造成计算机信息系统不能正常运行,后果严重,其行为均已构成破坏计算机信息系统罪。
包含洪泛攻击的“炸房挂”外挂,造成游戏房间服务器不能正常处理合法UDP数据甚至造成游戏房间服务器崩溃,引发用户断线或延迟,使得网游的可用性大大降低,用户数量随之减少,构成对计算机信息系统能的干扰。
案例2:非法控制计算机信息系统罪
向某通过运行黑客软件非法侵入并远程操控55台他人计算机作为“傀儡机”(俗称“肉鸡”),对《劲舞团》服务器发动DDOS攻击,即对《劲舞团》服务器IP发送数据包造成玩家掉线及网络延迟。但由于侦查机关难以修复数据且难以计算经济损失,所以以前行为非法控制他人计算机的行为指控其构成非法控制信息系统罪。
DDOS攻击方式的特点是在犯罪准备阶段就远程控制一定数量的计算机(肉机)发动,攻击服务器,其手段行为及目的成立牵连犯的竞合。
三、辩护路径探析
第一,轻罪辩护。对于制售“炸房挂”类外挂案件,应注意案件情况是否符合《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中对于刑法第二百八十六条“后果严重”的相关规定。对于数据无法恢复或者经济损失难以计算或确认的情况下,适时提出构成非法控制计算机信息系统罪,但须注意控制肉鸡数量,一般采取DRDOS攻击方式数量较少。如果是没有提供DDOS攻击程序,只是在网站上提供黑客DDOS攻击链接的,或构成帮助信息网络犯罪活动罪。
第二,罪轻辩护。罪轻“炸房挂”外挂针对的是一局游戏,与攻击游戏公司的主服务器长时间瘫痪,导致用户无法登录,用户大量流失相比,炸房挂一定程度上只是造成少数玩家游戏体验下降,社会危害性较小,相应造成的经济损失也较小。
有观点认为在未来对于外挂类犯罪宜统一适用侵犯著作权类犯罪予以规制,将外挂程序作为侵权复制品进行定性。但是类似于“查询IP”+洪泛攻击模式的外挂程序显然不涉及对原出版物的复制。而且对于制售外挂类网络犯罪统一适用侵犯著作权并不能适应外挂技术日新月异的技术进步以及犯罪形态的变化。对于对于外挂类犯罪的罪名适用问题,应当从外挂的性质、程序运行逻辑、使用方式等方面多维度判断,从而适用具体罪名。
该篇文章也由我的小伙伴与我合写。
附:
《刑法》
第二百八十五条 【非法侵入计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
第二百八十六条 【破坏计算机信息系统罪】违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
第二百八十七条之二 【帮助信息网络犯罪活动罪】明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
