全球網路癱瘓的殺手是誰？

發表：2003-02-01 02:52

受FBI猜疑的中國黑客「LION」接受本報（南方週末）獨家採訪

　　「全球網癱不是我幹的！」
　　
　　2003年1月25日北京時間13時30分到19時30分的6個小時裡，全球網際網路遭受歷史上從未曾有過的安全威脅，亞洲、北美和歐洲的網路全都陷入了癱瘓或者半癱瘓的狀態。美國FBI一位發言人稱，他們懷疑此事與一名自稱「Lion」的中國黑客有關。

　　全球驚魂6小時

　　1月25日中午，廣州的龍先生和同事吃完午飯，匆忙趕回雜誌社。今天是他們的截稿日，下午會有很多作者通過電子郵件發來稿件，他們要趕緊處理。但當他們打開電腦，頓時傻眼：他們無法連上郵件伺服器收取信件，甚至無法登陸任何網站。龍先生和同事們急得不斷打電話到為他們提供網路服務的公司反映，可是他們的求助甚至沒人能給一個合理的解釋。情急之下，龍先生憤怒地說：下個月我們就轉用中國電信！

　　但此時，中國電信用戶也正面臨同樣的難題。上海的王女士要在當天下午將一份報價方案發給正在澳大利亞的經理，以準備下星期一開始的商務談判。但她足足用了兩小時也沒能通過Outlook把郵件發出去。王小姐試圖改用網頁方式發送郵件，但僅顯示hotmail郵件的主頁面就用了差不多30分鐘，而且執行登錄操作後，網站無法連接。王女士從中國電信的服務熱線中得知，上海地區的網際網路出口堵塞，中國電信正在全力搶修。一籌莫展的王女士只好打國際長途向經理匯報，電話一接通，話筒裡就傳來經理焦急的聲音：怎麼現在一個網站都連不上？！

　　這種焦急的情緒在國內的網上蔓延。從1月25日13時30分左右開始，國內幾乎所有網站在同一時間內無法訪問，但一些網上通訊軟體仍能夠正常使用，關於事件原因的種種謠言開始通過這些通訊軟體傳播開來，僅記者一人就從QQ的好友中得到以下幾種猜測：美伊爆發信息大戰，殃及全球；中國遭受美國黑客攻擊；中國電信正在調整帶寬；中國的網際網路政策發生變化……

　　事實上，網際網路正遭受自上世紀90年代以來最嚴重的一次安全威脅。這是一起全球範圍的網路安全事件，從北京時間13時30分到19時30分的6個小時裡，亞洲、北美和歐洲的網路全都陷入了癱瘓或者半癱瘓的狀態。這起網路堵塞事件涉及範圍之廣，在網際網路歷史上從未有過先例。

　　面對突如其來的襲擊，網際網路在混亂中沉默，近6個小時中，竟沒有一家網路安全公司對事件發布自己的分析。

　　從19時開始，全球的網際網路通訊逐步恢復正常，技術專家們開始發布自己的研究進展。國內對這起網路堵塞事件最早的技術分析出現在教育科研網的「水木清華BBS」。一位名為「chapson」的網友，能夠接觸到中國網際網路的國際出口，他在帖子中總結：「今天下午，網路突然變得極度繁忙，很多地方出現堵塞。在國際出口上進行抓包，發現大量的udp包發向目標埠1434，並且還伴隨著一個發向1434埠的大包，大得我無法形容……估計這次又是某個病毒的大爆發，但各大安全組織和機構都還未公布其性質，此病毒的攻擊對象應該是windows系列server版本的SQLserver，現在傳播途徑還未確定，請大家警惕！」

　　事件發生約7個小時後，國際著名網路檢測機構

MatrixNetsystems發布消息，認為這起事件是由一個蠕蟲病毒造成的。MatrixNetsystems還對事件進行了初步描述：大約從格林尼治標準時間1月25日5時（北京時間13時）開始從亞洲傳播，但很快就成功襲擊了美國和北歐的網路伺服器。

　　20時之後，剛剛從驚恐中緩過勁來的全球網際網路業界開始清點損失：

　　在「受災」最為嚴重的韓國，當地時間15時左右就已經完全失去與國際網際網路的聯繫，成為一個信息孤島。到了16時左右，韓國國內的網際網路接通率下降至不到10％，所有有線和無線網際網路服務實際上全部停止。

　　總統金大中說：「這是一起嚴重的事件，人民的生活受到了干擾。」

　　他下令各相關部門盡快拿出恢復和重建韓國網際網路的計畫，以避免事件再次發生。事件對韓國經濟的影響從27日的股票市場上得到充分體現：KOSPI指數下跌3.14％，成交量減半，行業巨頭三星電子的股價下跌4.15％，兩大電信公司韓國電信和SK電信的股價下跌更加厲害。

　　在美國，25日下午，美洲銀行的13000臺自動提款機曾一度無法進行交易。由於自動售票系統受到感染，總部位於休斯敦的大陸航空公司不得不推遲多個航班。美聯社和《費城問詢報》的出版系統一度受到影響，無法正常工作。包括農業與商業部在內的眾多網站無法正常工作。專家分析，如果事件不是發生在週末而是發生在工作日，美國將遭受數倍的損失。

　　「我被FBI點了名」

　　根據全球各網路安全機構發布的信息，現在我們已經能夠大致確認蠕蟲病毒發作的時間是1月25日13時到13時30分之間。但更為關鍵的問題是，這個蠕蟲病毒源自哪裡？

　　1月26日，包括《紐約時報》、《華盛頓郵報》在內的眾多國外媒體，在報導1月25日的網路癱瘓事件時，都採用了美聯社的新聞稿件，那篇稿件中提到：

　　FBI正在尋找這起網路攻擊事件的源頭……FBI一位發言人說：「一些網路安全專家指出，引發這起攻擊事件中的程序與數星期前一個自稱『Lion』的人在一個中國黑客網站上發布的電腦源代碼非常相似。」但他同時表示無法確認自己的說法。

　　這些新聞讓「Lion」成為這次網路危機中惟一的被懷疑人。（在黑客這個圈子裡，尤其是頂尖高手是不冒用他人名號的，因此外號也具有固定性）「Lion」上一次成為焦點人物是在2001年5月。當時，年僅21歲、還是在校大學生的「Lion」作為「中國紅客聯盟」的創始人和負責人，是那次中美民間網路大戰的發起人之一（詳見本報2001年5月10日報導）。去年，「Lion」已經大學畢業，現就職於北京一間網路安全公司。

　　記者幾經周折，和「Lion」約好在網上採訪。

　　「Lion」開口第一句話就是：「那程序不是我寫的，我要是想寫，早發出來了。」

　　「Lion」回憶，他的確公布過一個關於微軟SQL資料庫的程序代碼，但那是在2002年10月份，而且絕大部分代碼也不是他寫的，他只是修改了當時漏洞發布者寫的代碼中的幾個錯誤。

　　根據「Lion」的回憶，記者找到了他當初發布的信息，發布日期是2002年10月14日。與最初的漏洞發布者發布的代碼相比，「Lion」版本的代碼改動的確不大。

　　但這個頂尖黑客跟以前一樣愛玩。經常記者一個問題發了過去，好長時間都得不到回答，他解釋「其實我在玩遊戲」。

　　1月27日，美聯社之前的稿件中關於「Lion」的部分已經刪除，只留下「聯邦調查局正在就事件進行調查」的內容。在大部分媒體的網站上，相關報導的內容也已經進行了修改。

　　當記者問「Lion」：對FBI的說法，你感到擔心嗎？

　　「Lion」的回答明顯帶著孩子氣：叫FBI帶上證據來中國抓我吧！然後加上一句「我玩遊戲去了」，之後對記者的提問再沒有回答。

　　有史以來最大的信息垃圾場從1月25日20時之後，國內外網路安全機構和公司陸續公布了研究報告，對這起事件達成了一致看法：事件由蠕蟲病毒引發，這個蠕蟲病毒向目標計算機發送376個位元組大小的數據包，利用了一個微軟SQL資料庫中的安全漏洞。

　　從自身特性上看，這次的蠕蟲病毒算是比較溫和：它不破壞計算機的硬體設備，也不對硬碟上的資料作任何修改，它只是潛入受感染計算機的內存。電腦關機或重啟之後，病毒就會從機器中消失，所以現在幾乎所有網路安全機構都將重啟機器作為後備方案向用戶推薦。

　　此外，有網路安全專家經過分析後發現，這次的病毒本來能夠具有更大的破壞力，但它的編寫者並沒有將它的傳播能力發揮到最大，從這個角度上講，寫病毒的人這次還算是手下留情了，否則情況將更加不堪設想。

　　但就是傳播效率高和發送垃圾數據量大兩大特徵，讓這隻「溫和」的病毒對網際網路造成了前所未有的傷害。傳播效率高讓這隻病毒在短短兩個半小時內感染了全球近30萬臺計算機，而這麼多機器同時發送巨大的垃圾數據包，足以拖垮曾經讓人們無比自豪的網際網路。「Lion」認為，這次肆虐的蠕蟲病毒的確與2001年流行的「紅色代碼」蠕蟲病毒有些相似，但比後者高級。這次的蠕蟲病毒之所以能夠造成這麼大範圍的網路阻塞，是由於傳播速度和發送數據的速度很快，「每分鐘發送幾十M數據確實沒問題」。

　　根據中國網際網路信息中心今年1月公布的最新調查結果，中國目前的國際出口帶寬為9380M，也就是說，只要中國受感染的機器數量超過1萬臺，就有可能耗盡中國所有的國際出口帶寬，將中國的網際網路與國際隔離開來。這也就是為什麼在堵塞高峰時間，國外的網友幾乎無法訪問中國網站的原因。

　　而從MatrixNetsystems公布的監測數據可以看到，在情況最惡劣的時候，網際網路上有四分之一的數據來自這個病毒，讓網際網路這個最豐富的信息庫成為最巨大的信息垃圾場。

南方週末

【誠徵榮譽會員】溪流能夠匯成大海，小善可以成就大愛。我們向全球華人誠意徵集萬名榮譽會員：每位榮譽會員每年只需支付一份訂閱費用，成為《看中國》網站的榮譽會員，就可以助力我們突破審查與封鎖，向至少10000位中國大陸同胞奉上獨立真實的關鍵資訊，在危難時刻向他們發出預警，救他們於大瘟疫與其它社會危難之中。