“网络攻击”行为的证据保全与公证取证

案例3.1　“网络攻击”行为的证据保全与公证取证——北京某网络技术有限公司诉北京某科技有限公司不正当竞争纠纷案

案情简介

原告：北京某网络技术有限公司

被告：北京某科技有限公司

原告北京某网络技术有限公司（以下简称某网络公司）诉称：原告系一家从事电子商务的网站。2005年1月21日下午约18点20分，至次日晚21时许，被告某科技公司采用分布式拒绝服务攻击（DDOS攻击）的手段，将其搜索框源代码中加入了访问原告网站的两条指令，且将该指令的屏幕显示参数设置为0，形成了隐藏帧，在其搜索联盟网站用户每次开机或页面刷新时，都将对原告的两个网站进行一次无效的访问。被告的搜索联盟网站数量巨大，其大量的无效访问耗尽了原告服务器的资源，导致原告的服务器对有效的访问不能正常响应，网络用户无法通过原告网站正常购物及在线支付，商户无法正常销售、结算等。该攻击行为持续时间至少26小时。被告行为恶劣，手段隐蔽，破坏了网络的交易秩序，对原告构成了不正当竞争，给原告造成了重大的经济损失，请求法院判令被告停止其不正当竞争行为；赔偿原告经济损失1 500万元；在《人民日报》上刊登致歉声明，消除影响，赔礼道歉；承担本案的调查取证费、律师费、鉴定费及案件受理费。

被告北京某科技有限公司（以下简称某科技公司）辩称：（1）原告现有证据不足以证明其网站连续26小时遭到攻击，且无法访问的事实；（2）在原告访问日志中记录的访问量不足以导致其服务器不能正常工作；（3）被告公司没有修改其搜索框代码，发生攻击的行为可能系他人所为；（4）原告主张损害的事实并未实际发生，缺乏相应的证据支持，故请求法院依法驳回原告的诉讼请求。

本案受理后，根据原告指控，涉案攻击行为至少应有加入访问原告网站的指令、变换访问指令、撤消访问指令等修改搜索框源代码的行为记录，一审法院责令被告限期提交其1月21日至22日服务器的工作日志。被告以公证的方式，向法庭提交了其服务器的行为日志，公证书表明被告没有对其搜索框源代码进行过任何修改的记录。

审理结果

北京市第一中级人民法院审理查明：2005年1月21日，在18时22分16秒时段，在原告的W3SVC1、WEBSERVER3两台服务器开始出现了来自某科技公司联盟网站的大量访问。18时22分41秒时段，在原告服务器中，开始出现了某科技公司联盟网站连续的访问记录。在18点26分19秒时段，在原告W3SVC1、WEBSERVER3的服务器日志中，出现“server_error_500”记录信息。在26分19秒出现了“server_too_busy 500”的记录信息。来自北京寰宇蓝天电子商务有限公司的2005年1月22日0时（格林威治时间）的流量图，证明了在此期间原告网站的访问流量出现了异常激增的现象。与此同时，原告发现某科技公司搜索框的源代码中被加入了两条访问原告网站的指令，该访问指令的屏幕显示参数均设置为0，即为隐藏帧。2005年1月22日约21时，涉案攻击行为停止，随后，中央电视台CCTV－2即报道了涉案攻击的情况。原告没有提供攻击事件持续26小时和服务器瘫痪的相关证据，攻击停止后，原告网络服务器如何恢复等问题，原告不能作出说明。

2005年1月26日，北京网络行业协会电子数据司法鉴定中心出具了京网协［2005］鉴字第019号电子数据鉴定报告。该报告依据原告的网络日志统计来自某科技公司联盟网站的访问次数为953 532次。

一审期间，法院组织双方当事人对涉案的有关事实进行了网络在线勘验，法院勘验主要涉及以下事项：第一，某科技公司搜索框源代码存放及通讯的方式。某科技公司搜索框源代码系html格式文件，静态存放于unstat.baidu.com的网站，某科技公司利用其搜索框的方式，通过网站协议与联盟网站之间建立了实时动态的信息传输，且明码传输其搜索框源代码。第二，在互联网通信过程中，插件对数据流的截获或干扰。在勘验过程中，被告证明了通过控制中央控制器开关，可以改变装有插件的终端用户页面上的源代码，原告指控被告实施攻击行为不具有特定性、排他性、惟一性。原告认为，模拟插件不是原告的插件，对勘验结果持有异议。为此，被告即请求法院直接使用原告的插件和服务器进行现场勘验，原告表示反对，不同意直接使用原告的插件和服务器进行现场勘验。第三，对于在原告网络日志中显示unstat.baidu.com一节的勘验。在勘验中，被告将一终端用户使用被告公司的搜索框源代码中的访问原告服务器的两条指令替换为访问第三方网络服务器的网址，在网络上运行后，查看第三方网站服务器的网络日志，该服务器的网络日志显示为http：//unstat.baidu.com//，并非显示该终端用户的网址。该勘验结果可以证明，虽然在原告的服务器中，显示有被告联盟网站的网，但是，该显示现象与被告是否实施了涉案攻击行为，两者之间不具有必然的联系。涉案攻击的行为是在网络传输中，存在被他人截获并修改的可能。第四，对原告的搜索助手软件的勘验。原告的搜索助手软件针对被告某公司网站信息、改变被告公司网页内容、在被告公司的网页上增加广告信息等现象进行勘验。勘验结果可以证明在网络终端用户上，安装了原告的搜索助手软件，可以实施截获被告某公司网站信息、改变被告公司网页内容、在被告公司的网页上增加广告信息、在被告公司的网页上运行其编写的指令的功能。

北京市第一中级人民法院认为：根据法院确认的证据，可以认定在2005年1月21日，大约18时22分时，在原告的服务器中，曾经出现过来自被告公司联盟网站大量的非正常访问的情形，造成原告网络服务器的非正常访问现象。但是原告现有的证据既不能证明被告实施了涉案的攻击行为，也不能排除他人截流、修改被告公司搜索框源代码的可能性，故原告的诉讼请求法院不予支持。

北京市第一中级人民法院依据《中华人民共和国民事诉讼法》第六十四条之规定，判决：驳回原告北京某网络技术有限公司的诉讼请求。^[1]

法理评析

本案争议的焦点问题在于原告的证据能否证明被告实施了涉案的攻击行为。

原告指控被告实施了涉案攻击行为的主要证据是：第一，在原告服务器日志中，出现了大量的来自被告联盟网站访问的网址；第二，在其流量图中，呈现出流量激增的现象；第三，在被告搜索框的源代码中，加入了两条访问原告网站的指令。上述证据能否证明被告实施了涉案的攻击行为，取决于以下两个问题：第一，被告网站与其联盟网站之间的关系；第二，被告是否修改了其搜索框的源代码。

（1）关于被告网站与其联盟网站之间的关系。原告服务器中出现的大量访问的情景，并非直接来自被告公司的网站，而是来自其联盟网站。由于被告搜索框源代码系html格式文件，静态存放于unstat.baidu.com的网站，被告与其联盟网站之间通过网络协议的方式，建立了实时动态的信息传输，其联盟网站的被告公司搜索框源代码来自被告的unstat.baidu.com的网站。对在原告网络日志中显示unstat.baidu.com一节，被告在勘验中证明了在原告的服务器中显示有http：//unstat.baidu.com，由于涉案攻击行为的发起者利用了被告公司搜索框的源代码，在源代码中被加入了访问原告的两条指令，所以在被入侵的服务器中记录和显示unstat.baidu.com的信息是不难理解的。

（2）被告是否实施了在被告公司搜索框的源代码中加入两条访问原告指令的行为。在勘验中，针对原告的该指控，被告模拟涉案的攻击行为，在一终端用户使用的被告公司搜索框的源代码中，将访问原告服务器的两条指令替换为访问第三方服务器网址的指令，在互联网上运行后，即查看第三方网站服务器的网络日志，该服务器的网络日志显示为http：//unstat.baidu.com//，该显示结果与原告服务器日志中显示情况相同。该勘验结果可以证明入侵者使用的被告公司搜索框源代码中被加入了访问原告网站指令的事实，但是不足以证明是被告实施了该行为。被告公司为了进一步证明在互联网环境下，对源程序的复制和修改，不同于一般侵权软件的复制和修改。在互联网环境下，在复制和修改方式存在两种可能性，既可以静态复制和修改，也可以动态复制和修改，既可以本地修改，也可以远程修改。在勘验中，被告利用控制一种模拟服务器的开关，在终端用户未作任何操作的情况下，即可以实现修改装有插件的终端用户使用的被告公司搜索框源代码。该勘验结果证明了装有插件的终端用户的搜索框源代码是可以被他人控制和修改的。虽然原告认为模拟插件不是原告的搜索助手软件，对勘验结果持有异议。但是当被告申请法院直接使用原告的插件和服务器进行勘验时，原告当即表示不同意被告的请求。在此情况下，被告公司进一步证明了原告的搜索助手软件曾截获被告网站的信息，修改被告网站的页面，在被告网站页面的广告位上增加导航条，添加广告和图片信息，在被告网站的页面上执行原告的各种操作指令。被告提供的公证书，证明了原告曾针对被告的网站实施过修改其页面的行为。对此，原告称开发该软件是为了方便互联网用户，能在同一页面上进入不同的搜索网站，属于互联网发展中的新技术。该勘验结果证明，存放在被告unstat.baidu.com网站的搜索框源代码，不仅被告可以直接修改，他人也可以在传输过程中，通过截获信息的方式进行修改。

由于被告公司搜索框的源代码系html格式文件，与联盟网站之间明码传输，在传输过程中，他人亦可以修改被告公司搜索框的源代码，原告现有的证据既不能证明被告实施了涉案的攻击行为，也不能排除他人截流、修改被告公司搜索框源代码的可能性。原告认为只有被告才能够修改该源代码的理由，不能成立，法院不予支持。此外，关于流量图一节，流量图是记录访问量的二维图形表现形式，是日志记录的另一种表达形式，流量图与流量的来源无关，与被告是否实施了涉案攻击行为，缺乏关联性，故法院不予采纳。本案原告之所以败诉，主要是因为原告以现有证据指控被告实施涉案攻击行为，不具有特定性、排他性、惟一性，不能证明被告实施了涉案攻击行为，所以法院没有支持原告的诉讼请求。

法条点击

《中华人民共和国民事诉讼法》

第六十四条　当事人对自己提出的主张，有责任提供证据。

当事人及其诉讼代理人因客观原因不能自行收集的证据，或者人民法院认为审理案件需要的证据，人民法院应当调查收集。

人民法院应当按照法定程序，全面地、客观地审查核实证据。