黑客少年攻击南航购票系统被判四年，航司系统真那么脆弱？

8月16日，广州市中级人民法院官方公众号发布了一个17岁少年利用DDOS攻击某航司的案例判决。该案件披露的部分信息引起了公众对航空公司计算机信息安全的质疑。

DDOS攻击下，南航购票系统崩溃4小时

根据法院公众号中披露的案件细节，2020年6月初，小陈因新冠疫情滞留在国外疫情重区，因无法买到回国机票而产生不满情绪。他向国内某航空公司发送威胁邮件，并在境外网站购买攻击套餐，利用DDOS（黑客通过远程控制服务器或计算机等资源，对目标发动高频服务请求，使目标服务器因来不及处理海量请求而瘫痪）等攻击手段，多次、持续攻击某航空公司客票等计算机系统。

判决结果显示，考虑到小陈犯罪时已满十六周岁不满十八周岁，依法应当减轻或者从轻处罚。综合考虑小陈犯罪行为的性质、情节、危害后果及认罪态度，判决小陈犯破坏计算机信息系统罪，判处有期徒刑四年；缴获的作案工具笔记本电脑一台予以没收。

黑客非法入侵航司系统

法院在公众号中表示，此次黑客入侵，造成某航空公司对外服务网络全部瘫痪，包括客票业务、微信直播平台销售、机场旅客服务、飞行、运控等系统无法正常运作，导致为5000余万用户提供服务的客票等计算机系统不能正常运行达4小时，给某航空公司造成了巨大经济损失与负面网络舆论评价。

就在去年6月10日，南航就曾遭遇官网购票系统接近几个小时的崩溃，但在飞行、运控、旅客服务等系统，并没有受到明显的攻击影响。而目前对于该案件的判处结果以及相关情况，南航暂时没有回应。

民航数据分析公司李及李创始人李瀚明向澎湃新闻记者表示，该案件披露的信息中提供的图片显示攻击者只访问了该航空公司的直销网关和支付网关。李瀚明推断，该事件中DDOS对航司的影响，主要是官网客票业务崩溃上，而机场旅客服务、飞行、运控等系统等基本没有受到影响。

对于DDOS的轰炸攻击，无解？

那这个使大航司接近几小时票价系统崩溃的DDOS攻击究竟是什么？多家航空公司向澎湃新闻记者表示，DDOS这种黑客攻击方式，就是利用海量数据访问企业IP，服务器处理不过来就能导致系统崩溃。“不是航空公司不给力，这种攻击方式比较歹毒，虽说这招对中小型的企业比较好使，但其实不管是哪家一家企业，遇到DDOS攻击，都会比较头大。”

多位业内信息安全领域专家向澎湃新闻记者表示，任何系统都有被攻破的可能性，只要黑客舍得花钱购买攻击套餐，甚至对方不精通计算机技能，也可以花钱请人来进行DDOS攻击，没有太大的技术门槛。但唯一的问题是，很容易被锁定身份被抓到，对于企业和黑客而言是一件两败俱伤的事情。

一家航司信息安全部的总经理刘青向澎湃新闻记者表示，“目前各航司遭遇黑客的情况都挺普遍的，攻击数据触目惊心。通常目的是获取旅客数据、薅羊毛等，其中大部分攻击都已被阻止掉。如果公司是部署在云上的应用，也会降低风险。南航的技术上应该是比较强的，这个案件中的攻击事件还是要看具体的案件信息和具体描述，有可能是互联网带宽被占满了。”

刘青向记者介绍，黑客采用DDOS针对占带宽的攻击，会导致航司互联网出口带宽被占满，间接导致各种面向互联网的服务受到影响。如果航司没有购买运营商流量清洗服务，是没有办法抵御的，可以说是一击致命。需要每年提前向电信、联通等运营商购买服务，或是受到攻击再买也可以，没有什么难度，只是比较贵，几十万左右的价钱。

企业系统安全如何预防攻击？

面对DDOS的攻击，一般企业有几个战术防范的策略。“国内许多网站禁止国外IP段访问或者只允许家庭宽带IP段访问，就是其中一种称为‘黑白名单’的策略。”李瀚明这样介绍道。此外，还可以通过对客户端向服务器发送的请求使用自定义的加密算法的形式，筛选攻击者制作的重复请求。

在应对DDOS这样用量来轰炸系统的攻击手法时，目前航司还存在有误封的可能。刘青举例称，例如在一个小区有很多人要订票，这个小区用的是同一个IP地址，航司的安全设备或购买的安全服务看到这个IP有大量购票行为，也会认为不正常从而触发安全规则。“但对于航司而言，误封也比无法提供服务好。”

企业在面对DDOS攻击的预防机制上，刘青向澎湃新闻记者介绍，除了针对占带宽的攻击外，对于官网本身的DDOS攻击下，购买流量清洗服务可能也没有用，要对安全设备做相应的规则抵御。需要部署waf（web应用防火墙）配合人工流量分析解决，安全设备厂商会持续更新安全规则，航司也会自行升级更新，以此来应对DDOS的攻击升级。

目前常见的短信验证码登录、扫码登录、人脸识别以及支付时用手机扫码代替直接输入信用卡等，都是典型的防范DDOS的机制。李瀚明表示，“这些功能提高用户体验的功能在无形上也帮助降低了公司整体的信息安全风险。”

李瀚明表示，除了这些战略上防范的技术以外，航司也会有很多架设在不同地方的系统，避免单一系统被攻破的风险。“比如票务系统可能在北京、上海和广州各有一个备份，这样应对DDOS的能力会更强。”李瀚明还介绍道，“而在面对DDOS已经发起的攻击时，最稳妥的方法是直接像这次一样停‘机’维修，先暂停提供服务，加强应对DDOS的处理能力，在能力增强以后再上线。”

（应受访者要求，文中刘青为化名）