一、 事件背景

2013年底至2014年10月，被告人付宣豪、黄子超等人租赁多台服务器，使用恶意代码修改互联网用户路由器的DNS设置，进而使用户登录“2345.com”等导航网站时跳转至其设置的“5w.com”导航网站，被告人付宣豪、黄子超等人再将获取的互联网用户流量出售给杭州久尚科技有限公司（系“5w.com”导航网站所有者），违法所得合计人民币754,762.34元。

根据《中华人民共和国刑法》第二百八十六条的规定，对计算机信息系统功能进行破坏，造成计算机信息系统不能正常运行，后果严重的，构成破坏计算机信息系统罪。

根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》，破坏计算机信息系统，违法所得人民币二万五千元以上或者造成经济损失人民币五万元以上的，应当认定为“后果特别严重”。本案中，二被告人的违法所得达人民币754,762.34元，属于“后果特别严重”。

上海市浦东新区人民法院于2015年5月20日作出（2015）浦刑初字第1460号刑事判决：一、被告人付宣豪犯破坏计算机信息系统罪，判处有期徒刑三年，缓刑三年。二、被告人黄子超犯破坏计算机信息系统罪，判处有期徒刑三年，缓刑三年。三、扣押在案的作案工具以及退缴在案的违法所得予以没收，上缴国库。一审宣判后，二被告人均未上诉，公诉机关未抗诉，判决已发生法律效力。

二、 DNS劫持原理

DNS劫持 就是通过劫持了 DNS 服务器，通过某些手段取得某域名的解析记录控制权，进而修改此域名的解析结果，导致对该域名的访问由原 IP 地址转入到修改后的指定 IP，其结果就是对特定的网址不能访问或访问的是假网址，从而实现窃取资料或者破坏原有正常服务的目的。DNS劫持 通过篡改 DNS 服务器上的数据返回给用户一个错误的查询结果来实现的。如图所示：

三、 安全小建议

1、 各企事业单位可准备一个备用域名，一旦遭受DNS攻击，用户还可以访问备用域名，保障业务正常运行。

2、 每年积极开展内部和外部的风险评估工作，落实整改计划

3、 可通过部署威胁态势感知平台，通过威胁情报实时推送通报，发现网络中未知威胁。

4、 各企事业单位可采取威胁托管服务，对网络中的威胁进行实时发现、监控、溯源及处理。实现损失最小化

5、 各企事业单位可对应急预案进一步修正，对威胁事件及时处理及加固

6、 通过加强内部人员安全意识、优化及完善安全管理制度，制定应急响应预案，提高安全防护水平

7、 建设企业自身的威胁情报中心，实现内部风险、早预防、早发现、早处理。