DDoS 攻击即 Distributed Denial of Service，分布式拒绝服务攻击，指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制并利用位于不同位置的多台机器同时对目标实施攻击，通过在短时间内制造大量恶意访问请求消耗目标服务器资源，使其无法承载而崩溃。DDoS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的政击，即通过大量攻击包导致主机的内存被耗尽或CPU内核及应用程序占完而造成无法提供网络服务。

根据腾讯安全《2020年DDoS威胁报告》显示：2020年度DDOS网络攻击次数同比翻番、超大攻击连增两年、Q3攻击最为猛烈、海外攻击大幅增长、游戏行业攻击次数和占比均创新高，攻击次数占比高达79%，其中恶意玩家作弊和黑客团伙敲诈勒索排在前两位，分别占比46%和13%。[1]2021年8月6日，武侠风手游《弈剑行》开服伊始就遭到了黑客组织ACCN的DDOS攻击勒索，被迫关服。对多数人力、财力均有限的中小型网络公司及工作室而言，这类技术门槛低，追踪溯源难的DDOS攻击成为了横亘在他们梦想启航前的险滩。

虽然此类网络犯罪行为溯源难度极大，但背后的涉案人员依旧需要与现实世界对接，可能留下有迹可循的侦查线索。2020年4月8日，最高人民检察院召开以“严厉打击网络犯罪，共同防控网络风险”为主题的新闻发布会，通报全国检察机关打击网络犯罪工作情况，将把防控新型网络安全风险摆在重点和突出位置。而在2015年两高、公安部《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》中，即专门对网络犯罪的管辖问题中明确多层级、跨区域的网络犯罪案件可以由共同上级公安机关指定一地公安机关并案侦查以查清犯罪事实。2021年两高、公安部《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见（二）》也再次强调针对多层级链条网络犯罪并案处理的思路。

一般而言，网络黑灰产存在上中下游产业链，除中游负责进行业务操作，直接涉及互联网犯罪活动的不法分子之外，上游负责搜集信息资源、制作或准备犯罪工具的启动层，与下游负责将业绩变现，通过虚拟货币、银行黑卡、境外赌场等洗钱渠道将违法所得合法化的退出层，以及游离在各层级之间提供中介信息服务的掮客同样不可或缺。根据公安机关“净网2021”专项行动阶段性成果报告，今年以来在打击网络黑灰产“四断”行动中，围绕打断“黑卡”“黑号”“黑线路”“黑设备”这四类网络犯罪的重要“作案物料”，侦破案件1.5万余起，深挖制售木马程序、勒索病毒以及DDoS攻击等犯罪，侦破案件900余起，抓获犯罪嫌疑人2100余名。[2]在全方位打击网络犯罪的大背景下，侦查机关针对成熟且规模化的网络黑灰产细化分工的特点进行逐个击破。

（2020）鲁06刑终219号 嵇境秀、孙立峰开设赌场、破坏计算机信息系统、敲诈勒索案

（一）开设赌场罪

被告人嵇境秀于2016年9月至2018年7月12日期间，先后在菲律宾等地组织建立云顶国际、亚盛、优盛、金某、聚银彩、亚太国际等网络赌博平台。嵇境秀采取给予股份和固定工资的方式指使被告人姚斌斌等人对上述赌博平台进行日常管理，平台采取给予提成的方式在国内招募下级代理，吸引中国公民在平台投注。并通过被告人姚斌斌的介绍，注资被告人李博实际控制的青岛乐享游网络科技有限公司，为赌博平台建立、维护等提供技术支持。

（二）破坏计算机信息系统罪

被告人嵇境秀于2012年10月，与他人共同组建黑客攻击组织“阿某小组”，先后在泰国、菲律宾招募人员，依据职能分工设立了财务组、抓包组、担保组、攻击组等不同部门，通过接受委托攻击游戏私服、赌博网站致使其不能正常运营等方式牟取非法利益。

（三）敲诈勒索罪

阿某小组成立以来，多次通过网络对其他私服运营人进行威胁，迫使他人交纳保护费以避免被攻击而造成损失。

（四）非法控制计算机信息系统罪

被告人沈隆于2015年加入阿某小组，2016年6月起，嵇境秀指使沈隆担任阿某小组组长。2018年6月，张浩楠（在逃）将一台IP地址为23.234.10.131的大包机器出售给沈隆，该服务器内运行有阿某小组专用控制程序，控制程序内有被非法控制的受控主机64台。

在本案中，被告人嵇境秀等人因涉嫌开设赌场被警方抓获，并顺势牵出了背后控制肉鸡、发动攻击、勒索企业的DDOS攻击产业链，将分布于四川、山东、浙江、辽宁、黑龙江等地共计28名犯罪分子一网打尽。

（一）网络犯罪的普适性

网络犯罪与网络科技的发展迭代共生，其日益智能化和多样化的侵害手段也迫使刑法理论和实务中为了及时打击网络犯罪进行尽快的修订和补充，甚至较之于物理世界的犯罪，将网络犯罪的认定标准予以降低，如刑法中鲜有的直接将帮助行为正犯化的帮助信息网络犯罪活动罪。司法实践在“口袋罪”思维指引下通过刑法客观解释，对网络犯罪罪名进行扩大化与入罪化，并成为网络违法犯罪行为治理的方向[3]，如将制售游戏脚本行为直接定性为提供侵入、非法控制计算机信息系统的程序、工具罪[4]。当前形势下严厉且细密的追责机制显然为受到DDOS攻击侵害的游戏企业提供了刑事手段介入救济的抓手。如上文所言，网络黑灰产的出现需要链条上各级不法分子的共同活跃，而DDOS攻击的实现方式每一步在刑法条文上都有精准踩点。在企业受到侵害，寻找刑事控告切角时，需要牢牢把握“非法控制”、“干扰正常运行”、“植入恶意程序”、“获取、删改数据信息”这几类关键词，与罪的构成要件对号入座。

1、直接攻击者

第二百八十六条【破坏计算机信息系统罪】

（一）违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

（二）违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。

（三）故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。

（四）单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。

（2017）沪0110刑初11号

被告人于水生受他人（待查）雇佣，担任黑客组织“阿布”的“组长”，被告人赵某某为“3号”攻击手之一，被告人黎某为该组织提供其非法控制的一批服务器（俗称“肉机”），被告人张某为该组织的“1号”攻击手并于2016年3月起受命负责测算他人提供的非法控制的服务器的攻击流量用于结算报酬，该组织分工明确，有组织有预谋地对第三方网站或者服务器IP进行网络攻击，并获取报酬。2015年10月起，“组长”于水生下达攻击指令，“3号”攻击手赵某某使用黎某等人提供的非法控制的一批服务器对兴动公司开发的手游《大庆麻将》设在阿里云和中国电信江苏分公司上的服务器，进行分布式拒绝服务攻击（即DDoS攻击），造成该公司所使用的613条服务器IP被攻击、用户无法正常登陆、经济损失严重，四名被告人从中获取违法所得。

本院认为，被告人于水生、赵某某、黎某、张某违反国家规定，对被害单位使用的计算机信息系统功能进行干扰，造成计算机信息系统不能正常运行，后果特别严重，其行为已构成破坏计算机信息系统罪，依法均应予以处罚。

2、提供DDoS攻击流量、软件或专门开设DDoS攻击网站以非法牟利的服务者

（1）非法控制肉鸡

第二百八十五条第二款【非法获取计算机信息系统数据、非法控制计算机信息系统罪】

违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

（2018）京0108刑初1271号

2017年6月至8月间，被告人蔡洪强利用互联网，通过植入木马病毒等方法非法控制1100余台计算机信息系统，即“肉鸡”，并通过将“肉鸡”的控制权租赁给他人的方式进行牟利。同年7月至8月间，被告人蔡洪强将所抓取的“肉鸡”，租赁给被告人于贵成使用，共获利人民币18800元。

本院认为，被告人蔡洪强非法控制计算机信息系统100台以上，情节特别严重，其行为已构成非法控制计算机信息系统罪，应予惩处。

（2）开设非法网站或为他人租用服务器

第二百八十七条之二 【帮助信息网络犯罪活动罪】明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。

（2020）京0108刑初417号

2019年7月至9月间，被告人林富搭建www.DDoSicp.cn网站后，在该网站发布链接实施DDOS攻击的上游网站的API，并帮助“1115363012”、“a2069690522”、“aa830419”等多名用户对指定IP地址进行DDOS攻击，违法所得人民币共计15367.55元。

本院认为，被告人林富明知他人利用信息网络实施犯罪，为他人犯罪提供技术支持，情节严重，其行为已构成帮助信息网络犯罪活动罪，应予惩处。

（3）为他人提供DDoS攻击软件工具

第二百八十五条第三款 【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。

（2019）苏05刑终140号

2016年底至2017年10月期间，被告人余文兵从网站下载软件后，重新编译了具有非法控制计算机信息系统功能的“冰河DDOS压力测试系统”程序，采用网站宣传等手段，向被告人张秋生、王建彬、陈国辉、钱浩等人销售上述程序，并从中获利人民币10万余元。

经鉴定，“冰河DDOS压力测试系统”可以生成被控制端程序，具有控制被安装了被控制端程序的电脑，使其执行DDOS攻击、远程下载、远程弹窗等指令。

本院认为，上诉人余文兵明知他人实施非法控制计算机信息系统的行为，而为其提供程序，情节特别严重，其行为已构成提供非法控制计算机信息系统程序罪

由上可见，工具软件/网站提供者（技术从业者）——DDoS攻击资源持有者（控制肉鸡者）——DDoS攻击发起者，该网络黑灰产的任一环节均有刑法罪名可以做到覆盖打击

（二）非法占有目的：敲诈勒索/强迫交易的适用

一般而言，不法分子通过DDoS攻击击溃服务器的目的即在于谋求财产性利益，通过与受害企业谈判，强迫企业接收其合作服务等不平等交易或直接支付费用平息事端。相比于互联网犯罪，财产性犯罪的入罪难度相对较小，涉案金额达到5000元即可入罪，证明难度更低，只需要提供受到攻击与敲诈事实即可满足构成要件。但是相对的，由于本罪的保护法益仅为被害人的财产性利益，因此在要求赔偿时一般也既能够支持被害人受勒索而支付的直接经济损失，无法获得因DDOS攻击活动造成的次生损失赔偿。

（2017）吉0802刑初430号

2017年3月17日8时许，被告人沙某以DDOS（分布式拒绝服务）方式对吉林A网络科技股份有限公司运营的网络游戏服务器进行了持续数分钟的网络攻击，致使A公司服务器陷入半瘫痪状态。之后沙某添加A游戏公司的官方微信，称其可向A公司出售“防护策略”，如果A公司不给沙某钱，沙某还会对A公司的服务器进行网络攻击，A公司被迫购买两个月“防护策略”，通过支付宝向沙某转账53，500.00元人民币。

本院认为，被告人沙某以非法占有为目的，对他人实行威胁并索取财物，价值53，500.00元，数额巨大，其行为已构成敲诈勒索罪，应依法予以惩处

注：上述法条中反复提及的“违反国家规定”可以指《计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《网络安全法》等