2007年4月，愛沙尼亞國(guó)防部長(zhǎng)雅克·阿維克索登錄本國(guó)主要新聞媒體《郵差報(bào)》網(wǎng)站時(shí)，卻發(fā)現(xiàn)網(wǎng)頁(yè)根本無法打開。然后他又試圖瀏覽其他網(wǎng)站，情況同樣如此。國(guó)防部長(zhǎng)的助手帶著報(bào)告沖了進(jìn)來——事實(shí)上并非只是新聞媒體，整個(gè)政府的通訊都癱瘓了。

幾乎同時(shí)，愛沙尼亞全國(guó)主要的銀行機(jī)構(gòu)遭到攻擊，政府網(wǎng)站和警察通訊網(wǎng)絡(luò)被“擊穿”，黑客發(fā)送的大量垃圾郵件導(dǎo)致移動(dòng)通信線路被堵塞。當(dāng)時(shí)媒體這樣評(píng)論道：“愛沙尼亞正處在龐大的僵尸網(wǎng)絡(luò)攻擊中，它們已經(jīng)滲透突破了國(guó)家的互聯(lián)網(wǎng)防線?！?/p>

這是世界軍事史上第一次直接對(duì)一個(gè)主權(quán)國(guó)家發(fā)動(dòng)的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)。那么，到底是誰(shuí)干的?

“紀(jì)念碑戰(zhàn)爭(zhēng)”

2007年4月27日拂曉，愛沙尼亞政府將一尊兩公尺高的銅像遷離首都塔林市中心，這尊銅像是蘇聯(lián)于1947年為紀(jì)念在衛(wèi)國(guó)戰(zhàn)爭(zhēng)中犧牲的人們而建造的。獨(dú)立16年后，愛沙尼亞人不顧俄國(guó)政府的抗議，將銅像移到了郊區(qū)軍人墓地。

在銅像搬遷前，塔林的街頭發(fā)生了暴亂。一千多名俄裔種族主義者(俄羅斯裔人口占愛沙尼亞總?cè)丝?／4)掠奪商鋪、砸毀汽車，與警察展開激烈對(duì)抗，數(shù)百人被捕。塔林街頭在經(jīng)過了兩個(gè)晚上的抗議活動(dòng)后才逐漸平靜，但愛沙尼亞的“電子馬奇諾”卻在此時(shí)突然崩潰。

愛沙尼亞的整個(gè)國(guó)土被無線網(wǎng)絡(luò)所覆蓋。該國(guó)130萬(wàn)人口中約有40％每天都上網(wǎng)閱讀新聞，超過90％的銀行交易在網(wǎng)上完成，就連政府選舉也采用網(wǎng)絡(luò)投票；手機(jī)可以用來支付停車或是午餐，全球著名的無線網(wǎng)絡(luò)信息服務(wù)提供商skype也在塔林設(shè)立了國(guó)際分部?？梢哉f，這個(gè)波羅的海小國(guó)是世界上無線信息程度最高的國(guó)家之一。

《郵差報(bào)》網(wǎng)站的技術(shù)負(fù)責(zé)人阿格·瓦爾西在報(bào)警聲中看著他的服務(wù)器淹沒在230萬(wàn)次網(wǎng)頁(yè)訪問請(qǐng)求中，服務(wù)器已經(jīng)死機(jī)了20余次。辦公室墻上的顯示器監(jiān)視著從愛沙尼亞和全球各地流向服務(wù)器的數(shù)據(jù)量及帶寬消耗情況。一般情況下，服務(wù)器處于綠色安全區(qū)域時(shí)會(huì)有20％-30％的系統(tǒng)冗余，現(xiàn)在這個(gè)數(shù)字急劇下降：20％、10％、5％……自動(dòng)執(zhí)行的計(jì)算機(jī)程序在不停地向網(wǎng)站評(píng)論頁(yè)面提交數(shù)據(jù)。瓦爾西發(fā)現(xiàn)攻擊者不斷的變換代理服務(wù)器的訪問請(qǐng)求，以繞過他編寫的數(shù)據(jù)過濾器，由此可知這些攻擊者絕對(duì)不是簡(jiǎn)單的“網(wǎng)絡(luò)憤青”。

在接下來的五天里，瓦爾西設(shè)法讓服務(wù)器重新恢復(fù)了運(yùn)行。但在5月2日網(wǎng)站流量再次陡然上升，瓦爾西最初以為這是因?yàn)閲?guó)際社會(huì)關(guān)注銅像遷移事件造成的，但在查看了訪問來源后卻發(fā)現(xiàn)主要來自埃及、越南和秘魯，而這些國(guó)家是代理服務(wù)器使用者最好的代理資源提供地。到當(dāng)天中午，有效帶寬資源被占用殆盡，網(wǎng)站再次癱瘓。

現(xiàn)在他只有一個(gè)選擇：中斷服務(wù)器的國(guó)際線路。即刻，網(wǎng)絡(luò)帶寬監(jiān)測(cè)儀回到綠色，愛沙尼亞境內(nèi)的網(wǎng)站訪問得到恢復(fù)，但代價(jià)是顯而易見的：《郵差報(bào)》網(wǎng)站作為愛沙尼亞主要的對(duì)外新聞發(fā)布窗口，卻無法告訴全世界自己國(guó)家正在發(fā)生著什么。這一時(shí)期，好像整個(gè)愛沙尼亞都被從地球上抹去了。

餐廳里的反擊同盟

就在愛沙尼亞“消失”的同一天，塔林的一家豪華餐廳里，希拉·阿里萊德和庫(kù)爾迪斯-林德奎斯特正在談?wù)撝罱木W(wǎng)絡(luò)襲擊事件。阿里萊德是愛沙尼亞計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急小組(即愛沙尼亞的“網(wǎng)軍”)主管人員，剛被經(jīng)濟(jì)部召人以協(xié)調(diào)處理此次事件；林德奎斯特則是全球13個(gè)根域名服務(wù)器之一斯德哥爾摩站的主管，擁有切斷全球互聯(lián)網(wǎng)數(shù)據(jù)流的權(quán)利，并深受各大互聯(lián)網(wǎng)服務(wù)提供商信任，他可以通知服務(wù)商將大量的“僵尸電腦”隔離。

阿里萊德認(rèn)為要擊退這些“僵尸”首先要跟蹤它們的來源，然后說服網(wǎng)絡(luò)服務(wù)商將攻擊地址列入黑名單?？墒悄切┚W(wǎng)絡(luò)公司cE0們根本就沒聽說過阿里萊德，說不定他還會(huì)被當(dāng)作黑客，所以他需要林德奎斯特的幫助。此外，來自美國(guó)和瑞典的兩位互聯(lián)網(wǎng)安全專家比爾·伍德考克和帕特里克·弗爾特斯多姆也會(huì)加入到此次行動(dòng)中。

戰(zhàn)爭(zhēng)升級(jí)

接下來的一個(gè)星期，愛沙尼亞所受到的網(wǎng)絡(luò)攻擊是多兵種、全方位的。步兵是那些“腳本小子，’——一群?jiǎn)渭兊穆闊┲圃煺?，拷貝一行又一行的命令來攻擊網(wǎng)站。他們主要的武器是“ping攻擊”，即向Web服務(wù)器發(fā)送一個(gè)簡(jiǎn)單的報(bào)文請(qǐng)求并監(jiān)聽其回應(yīng)，每秒重復(fù)數(shù)百次。一旦有大量的攻擊者同時(shí)行動(dòng)，服務(wù)器便會(huì)淹沒在洪水般的Ping攻擊當(dāng)中。

“腳本小子”們聚集在俄語(yǔ)聊天室里，熱情高漲地談?wù)撝鴳?zhàn)爭(zhēng)紀(jì)念碑遷移事件。一周以后，數(shù)百?gòu)執(zhí)犹?hào)召大家在5月9日(俄衛(wèi)國(guó)戰(zhàn)爭(zhēng)勝利日)零時(shí)統(tǒng)一行動(dòng)，帖子上還列出了對(duì)指定網(wǎng)站實(shí)施攻擊的詳細(xì)操作指令。

接下來是“空軍”——僵尸網(wǎng)絡(luò)。龐大的“僵尸隊(duì)伍”由成百上千臺(tái)被黑客劫持的計(jì)算機(jī)構(gòu)成，那些被控制的“僵尸”向指定網(wǎng)絡(luò)地址發(fā)送大量垃圾數(shù)據(jù)包。這是數(shù)字形式的地毯轟炸，技術(shù)術(shù)語(yǔ)叫“分布式拒絕服務(wù)攻擊”。

最后上場(chǎng)的是一支特種部隊(duì)——那些可對(duì)網(wǎng)站進(jìn)行滲透攻擊的黑客，他們刪除掉網(wǎng)頁(yè)上原來的內(nèi)容，然后留下自己的信息。這些人在BBS上隱約表明了攻擊意圖，一個(gè)名為SIB的黑客寫道：“更有影響力的事情馬上就要發(fā)生，愛沙尼亞將在5月9日崩潰。”

決戰(zhàn)5月9日

2007年5月8日，星期二，22點(diǎn)。林德奎斯特、弗爾特斯多姆和伍德考克來到網(wǎng)絡(luò)應(yīng)急小組總部，這是支應(yīng)對(duì)“僵尸攻擊”的“奇客夢(mèng)之隊(duì)”。弗爾特斯多姆是前瑞典海軍程序員，目前任職政府官方互聯(lián)網(wǎng)安全顧問。他們已經(jīng)做好準(zhǔn)備，然后按照預(yù)定的計(jì)劃打一場(chǎng)漂亮的反擊戰(zhàn)。

網(wǎng)絡(luò)狀況一切正常，此時(shí)進(jìn)入愛沙尼亞的數(shù)據(jù)包流量約是20000個(gè)／秒，或許SIB發(fā)布的攻擊消息是個(gè)惡作劇，也許什么都不會(huì)發(fā)生。晚上11點(diǎn)，猛然間有每秒超過400萬(wàn)個(gè)數(shù)據(jù)包進(jìn)入愛沙尼亞，激增200倍之多。全球范圍的100萬(wàn)臺(tái)電腦突然間被導(dǎo)向至愛沙尼亞國(guó)內(nèi)的許多網(wǎng)站，范圍遍及外交部及各大銀行。

阿里萊德和他的團(tuán)隊(duì)開始反向追蹤數(shù)據(jù)來源。他們發(fā)現(xiàn)組成僵尸網(wǎng)絡(luò)的一部分計(jì)算機(jī)來自美國(guó)。確認(rèn)來源地址后，伍德考克和林德奎斯特開始發(fā)送一連串郵件通知全世界網(wǎng)管所要封鎖的IP，他們逐個(gè)隔離屏蔽掉了那些“僵尸”，到黎明時(shí)分已經(jīng)扭轉(zhuǎn)了不利局面，流入愛沙尼亞的數(shù)據(jù)量也趨于正常。

5月9日上午，莫斯科紅場(chǎng)舉行了盛大閱兵儀式，普京總統(tǒng)當(dāng)天嚴(yán)厲譴責(zé)那種褻瀆二戰(zhàn)英雄紀(jì)念碑的行為，并警告這將在國(guó)家和人民之間播下仇恨和敵意的種子，制造新的不信任。這一天有另外58個(gè)獨(dú)立的“僵尸”雨點(diǎn)般襲擊了愛沙尼亞。盡管有兩個(gè)攻擊源被查明在俄羅斯，其中一個(gè)就位于克里姆林宮外的總統(tǒng)行政辦公室，但是俄方否認(rèn)與事件有關(guān)。據(jù)伍德考克稱，那些已被接管的美國(guó)主機(jī)被劫持的方式如出一轍——用戶打開了被病毒感染的附件或是訪問了自動(dòng)安裝惡意軟件的網(wǎng)站。

俄羅斯IP地址的浮出水面大大激怒了愛沙尼亞人。從一開始，愛沙尼亞外長(zhǎng)烏瑪斯·帕依特(這位外長(zhǎng)本人就是個(gè)網(wǎng)游迷)就指控普京政府直接卷入了此事。一周前他就宣稱：“歐盟正在遭受攻擊，因?yàn)槎砹_斯侵略了愛沙尼亞。這次攻擊雖然是以網(wǎng)絡(luò)的虛擬形式，但卻是真實(shí)存在的，并且給人們的精神和心理造成了極大傷害，

就在幾星期前，某些人對(duì)國(guó)際象棋大師卡斯帕羅夫領(lǐng)導(dǎo)的俄羅斯反對(duì)派聯(lián)盟網(wǎng)站實(shí)施了類似攻擊。當(dāng)局要求反對(duì)派聯(lián)盟更改集會(huì)示威的地點(diǎn)，可是由于網(wǎng)站關(guān)閉導(dǎo)致示威者無法及時(shí)獲悉更改地點(diǎn)的通知，最終警方以非法集會(huì)為由逮捕了卡斯帕羅夫。到5月中旬，“僵尸”洪水終于消退。

莫斯科的試驗(yàn)品?

諸多跡象似乎表明了此次網(wǎng)絡(luò)攻擊的源頭：從有人在俄語(yǔ)論壇上發(fā)布公告動(dòng)員網(wǎng)民們保衛(wèi)祖國(guó)，到多個(gè)遭黑客攻陷的愛沙尼亞網(wǎng)站主頁(yè)被纂改，上面寫有“俄國(guó)黑客到此一游”。俄方表示，不會(huì)協(xié)助愛方追蹤犯罪嫌疑人。

2007年6月，本文原作者到莫斯科拜訪了莫斯科國(guó)立大學(xué)信息安全學(xué)院副主任瓦列里·雅申科，他曾向克里姆林宮提出過網(wǎng)絡(luò)恐怖主義概念。但雅申科卻表示：“我對(duì)此絲毫不感興趣，對(duì)此也沒什么研究，這是個(gè)無關(guān)緊要的話題。”

《Hakcer》是本專門描述俄國(guó)黑客團(tuán)體的俄語(yǔ)小刊物，該雜志編輯派了一位名叫埃明·阿吉佐夫的21歲黑客來向作者解釋了發(fā)生在愛沙尼亞的一切：黑客們?cè)诿孛軙?huì)議上制定計(jì)劃，并強(qiáng)調(diào)所有行為并非政府參與。這些人的父親和祖父在二戰(zhàn)中為國(guó)家做出了巨大犧牲。所有的主要“僵尸網(wǎng)絡(luò)”在此次事件中是被免費(fèi)租用的，這不是錢的問題，而是關(guān)系到俄羅斯人的尊嚴(yán)。

阿吉佐夫說；“俄國(guó)IT專家的知識(shí)和經(jīng)驗(yàn)足以摧毀一個(gè)國(guó)家，他們是全世界最優(yōu)秀的?！逼鋵?shí)早在2006年12月，愛沙尼亞法院就曾判定一名俄羅斯族青年德米特里·賈魯什凱維奇對(duì)愛沙尼亞改革黨的網(wǎng)站進(jìn)行了攻擊，并對(duì)其罰款1600美元。

愛沙尼亞議長(zhǎng)恩娜·愛爾瑪則質(zhì)疑這是次帶有測(cè)試性質(zhì)的事件，她說：“愛沙尼亞是北約成員國(guó)，對(duì)我們進(jìn)行攻擊很可能是在檢測(cè)北約的協(xié)防能力?！睈蹱柆斣缒暝诙韲?guó)進(jìn)修天體物理學(xué)，見證了核技術(shù)的出現(xiàn)給全球帶來的巨變。她認(rèn)為，信息戰(zhàn)一樣能改變世界：“5月份爆發(fā)的網(wǎng)絡(luò)戰(zhàn)如同核爆炸一樣可怕。就像核輻射，信息戰(zhàn)爭(zhēng)不會(huì)讓你流血，但它可以摧毀一切?！?/p>