文/劉本軍　黃健 (湖北三峽職業(yè)技術(shù)學(xué)院教研室主任、宜昌市公安局科技信息處網(wǎng)絡(luò)工程師）

　　摘　要

　　物聯(lián)網(wǎng)對于大多數(shù)人來說可能還相對比較陌生，但事實(shí)上我們現(xiàn)在已經(jīng)進(jìn)入物聯(lián)網(wǎng)時(shí)代――以互聯(lián)網(wǎng)為基礎(chǔ)核心發(fā)展起來的新一代信息網(wǎng)絡(luò)時(shí)代。物聯(lián)網(wǎng)行業(yè)目前是一個(gè)新興產(chǎn)業(yè)，物聯(lián)網(wǎng)設(shè)備的廠商也都在還處于開拓摸索階段，行業(yè)內(nèi)部還沒有比較完善的安全標(biāo)準(zhǔn)，設(shè)備系統(tǒng)安全漏洞比較好找，黑客控制起來相對容易一點(diǎn)，所以使用數(shù)量龐大的監(jiān)控攝像頭，就成了最好的選擇……

　　關(guān)鍵詞：DDNS　DDoS　DNS劫持

　　物聯(lián)網(wǎng)經(jīng)歷了從最初的概念化階段到熱炒階段，再到現(xiàn)如今的培育階段，其涉及的領(lǐng)域非常廣泛，相關(guān)技術(shù)更是數(shù)不勝數(shù)，工業(yè)物聯(lián)網(wǎng)、智能家居、車聯(lián)網(wǎng)、智慧城市、智能交通、智能安防等都是物聯(lián)網(wǎng)在垂直領(lǐng)域的熱門應(yīng)用。在經(jīng)歷了摸索與困頓之后，未來的物聯(lián)網(wǎng)行業(yè)注定不平凡，在過去我們的物理世界和信息世界（互聯(lián)網(wǎng)）是獨(dú)立發(fā)展的，現(xiàn)如今要將這兩者融合起來，這將是一個(gè)很大的跨越，將造福全人類。然而物聯(lián)網(wǎng)的安全問題卻始終是物聯(lián)網(wǎng)落地的最大障礙，本文主要討論的不是物聯(lián)網(wǎng)安全，而是從現(xiàn)有物聯(lián)網(wǎng)中數(shù)量眾多的網(wǎng)絡(luò)攝像頭出發(fā)，從互聯(lián)網(wǎng)最基礎(chǔ)的服務(wù)DNS談起，從側(cè)面來了解下物聯(lián)網(wǎng)時(shí)代網(wǎng)絡(luò)攝像頭的安全問題。

　　近幾年傳統(tǒng)的模擬監(jiān)控?cái)z像頭被網(wǎng)絡(luò)攝像頭逐步替代，在加入物聯(lián)網(wǎng)特性之后，網(wǎng)絡(luò)攝像頭變得更加智能、方便、高效，也從專業(yè)領(lǐng)域走向消費(fèi)市場，全球監(jiān)控?cái)z像機(jī)市場在未來五年內(nèi)將保持穩(wěn)步增長，2013年全球監(jiān)控?cái)z像機(jī)的出貨量約為8560萬臺，到2017年這一數(shù)據(jù)將上升到1.145億臺。

　　眾所周知，在網(wǎng)絡(luò)中唯一能夠用來標(biāo)識計(jì)算機(jī)身份和定位計(jì)算機(jī)位置的方式就是IP地址，但網(wǎng)絡(luò)中往往存在許多服務(wù)器，如E-mail服務(wù)器、Web服務(wù)器、FTP服務(wù)器等，記憶這些純數(shù)字的IP地址不僅枯燥無味，而且容易出錯(cuò)。通過DNS（Domain Name System，域名系統(tǒng)）服務(wù)器，將這些IP地址與形象易記的域名一一對應(yīng)，使得網(wǎng)絡(luò)服務(wù)的訪問更加簡單，而且可以完美地實(shí)現(xiàn)與Internet的融合，對于網(wǎng)絡(luò)的推廣發(fā)布起到極其重要的作用，而且許多重要網(wǎng)絡(luò)服務(wù)（如E-mail服務(wù)）的實(shí)現(xiàn)，也需要借助于DNS服務(wù)，因此DNS服務(wù)可視為互聯(lián)網(wǎng)服務(wù)的基礎(chǔ)。

　　很多安防行業(yè)的從業(yè)人員看到這里笑了，我們的網(wǎng)絡(luò)攝像頭僅僅只是視頻瀏覽服務(wù)，不需要Web、E-mail、FTP等服務(wù)，難道也需要進(jìn)行DNS服務(wù)的配置？雖然從技術(shù)的層面上直觀來看，很多環(huán)境下網(wǎng)絡(luò)攝像頭確實(shí)可以不需要DNS服務(wù)，但在物聯(lián)網(wǎng)時(shí)代人們對視頻遠(yuǎn)程訪問的需求越來越高，已經(jīng)離不開這個(gè)最基礎(chǔ)的互聯(lián)網(wǎng)服務(wù)了。下面筆者從三個(gè)關(guān)鍵字入手講述網(wǎng)絡(luò)攝像頭和DNS之間的故事……

　　網(wǎng)絡(luò)攝像頭與DNS三部曲之一：《霧——DDNS》

　　目前很多家庭使用PPPOE撥號方式上網(wǎng)，每次上網(wǎng)獲得的IP都是隨機(jī)變換的，但是家里的網(wǎng)絡(luò)監(jiān)控、智能設(shè)備需要通過網(wǎng)絡(luò)訪問，每次使用前都需要先知道IP，這是非常麻煩的。

　　DDNS（Dynamic Domain Name Server，動態(tài)域名服務(wù)）是將用戶的動態(tài)IP地址映射到一個(gè)固定的域名解析服務(wù)上，用戶每次連接網(wǎng)絡(luò)的時(shí)候客戶端程序就會通過信息傳遞把該主機(jī)的動態(tài)IP地址傳送給位于服務(wù)商主機(jī)上的服務(wù)器程序，服務(wù)器程序負(fù)責(zé)提供DNS服務(wù)并實(shí)現(xiàn)動態(tài)域名解析。也就是說DDNS捕獲用戶每次變化的IP地址，然后將其與域名相對應(yīng)，這樣其他上網(wǎng)用戶就可以通過域名來進(jìn)行交流。而最終客戶所要記憶的全部，就是記住動態(tài)域名商給予的域名即可，而不用去管他們是如何實(shí)現(xiàn)的，如圖1所示。

圖1　DDNS原理示意圖

　　動態(tài)域名服務(wù)的對象是指IP是動態(tài)的，是變動的，隨機(jī)的。普通的DNS服務(wù)都是基于靜態(tài)IP的，有可能是一對多或多對多，IP都是固定的一個(gè)或多個(gè)。

　　DDNS的注冊過程并不像DNS解析一樣有標(biāo)準(zhǔn)的規(guī)定，而是由各DDNS服務(wù)提供商自己制定私有協(xié)議，所以若要使用特定DDNS服務(wù)商的DDNS服務(wù)，客戶端就必須支持對應(yīng)的私有協(xié)議。注冊客戶端可以是一臺PC，在該P(yáng)C上運(yùn)行DDNS服務(wù)商提供的客戶端軟件，也可以是企業(yè)出口路由器，或者用戶服務(wù)器直接集成DDNS服務(wù)商的客戶端。這些DDNS客戶端不能斷電，否則無法及時(shí)地將公網(wǎng)IP地址變動情況上報(bào)給DDNS服務(wù)器。目前，使用較多的國內(nèi)DDNS服務(wù)商有花生殼oray.com和pubyun.com，國外的有no-ip.com和dyndns.com。

　　免費(fèi)的通用DDNS服務(wù)穩(wěn)定性差，經(jīng)常出現(xiàn)故障及掉線，嚴(yán)重影響客戶對遠(yuǎn)程監(jiān)控的體驗(yàn)，而相對穩(wěn)定的收費(fèi)DDNS服務(wù)每年要收取一定的費(fèi)用，讓客戶難以接受，于是部分安防監(jiān)控廠商搭建了遠(yuǎn)程監(jiān)控DDNS服務(wù)器，為自家的安防監(jiān)控設(shè)備做DDNS服務(wù)。與互聯(lián)網(wǎng)的DDNS服務(wù)相比，安防行業(yè)DDNS服務(wù)控制力度更加細(xì)致，可以精確到服務(wù)端口號，當(dāng)然此服務(wù)只適合廠商自己的設(shè)備，無法適用于所有通用設(shè)備。目前安防行業(yè)?？低暋⒋笕A、宇視等均推出了自己的DDNS服務(wù)器，我們以?？低暤腄DNS配置為例進(jìn)行介紹。

　　網(wǎng)絡(luò)攝像機(jī)DDNS一般無法在本地直接配置，可以通過IE遠(yuǎn)程配置實(shí)現(xiàn)，IE輸入設(shè)備當(dāng)前IP地址登錄設(shè)備，登錄設(shè)備后進(jìn)入【配置】界面，【高級配置】→【網(wǎng)絡(luò)】→【DDNS】中查看DDNS參數(shù)。在配置之前設(shè)備必須連入互聯(lián)網(wǎng)，否則將無法成功完成相關(guān)配置，成功接入網(wǎng)絡(luò)之后，網(wǎng)絡(luò)攝像機(jī)會自動啟用DDNS服務(wù)，并且注冊一個(gè)和其序列號一樣的域名，如圖2所示。

　　圖2　DDNS配置

　　按以上步驟配置好，設(shè)備就可以注冊到?？低暤腄DNS服務(wù)器，在IE上可以通過“http://www.hik-online.com/自定義域名”來訪問設(shè)備，例如設(shè)置為“videolive365”，則IE上輸入“http://www.hik-online.com/videolive365”即可訪問該設(shè)備。不過該公司近日宣布計(jì)劃逐步停止DDNS服務(wù)器的部分服務(wù)，逐步構(gòu)建以互聯(lián)網(wǎng)視頻應(yīng)用和物聯(lián)傳感應(yīng)用為核心的云服務(wù)平臺――螢石云平臺來替代DDNS，筆者認(rèn)為螢石云平臺提供的服務(wù)將更加全面、安全、穩(wěn)定。

　　在使用DDNS服務(wù)的過程中我們要特別注意，國內(nèi)個(gè)別攝像頭廠商DDNS協(xié)議存在安全漏洞，攻擊者利用漏洞可隨意更改、刪除服務(wù)器上攝像頭的DNS記錄，致使用戶在使用域名進(jìn)行攝像頭訪問時(shí)，進(jìn)行釣魚網(wǎng)站攻擊。我們需要對網(wǎng)絡(luò)攝像頭設(shè)備定期進(jìn)行升級，同時(shí)通過修改設(shè)備的默認(rèn)密碼、弱密碼等手段，來保證設(shè)備的DDNS請求不可偽造。

　　網(wǎng)絡(luò)攝像頭與DNS三部曲之二：《雨——DDoS》

　　DDoS(Distributed Denial of Service，分布式拒絕服務(wù))是指攻擊借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺，對一個(gè)或多個(gè)目標(biāo)發(fā)動攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力，它本身與DNS沒有關(guān)系，但是它的攻擊目標(biāo)是DNS的話麻煩就大了。2016年10月22日凌晨，美國域名服務(wù)器管理服務(wù)供應(yīng)商Dyn（故事一曾提及此公司）稱其公司遭遇了DDoS攻擊，包括Twitter、Tumblr、Netflix、亞馬遜、Shopify、Reddit、Airbnb、PayPal和Yelp等諸多網(wǎng)站無一幸免。DDoS攻擊支持dns、udp、vse、syn、ack、http等洪水攻擊方式，黑客攻擊了Dyn管理的DNS服務(wù)器，從而導(dǎo)致DNS服務(wù)器癱瘓，無法解析各大網(wǎng)站的 IP 地址，就這樣用戶們不管訪問那個(gè)網(wǎng)站都找不到 IP地址，這就造成了美國近半個(gè)國家的網(wǎng)絡(luò)大癱瘓，如圖3所示，紅色部分是此次網(wǎng)絡(luò)癱瘓影響的地區(qū)。

　　圖3　美國2016年DDoS攻擊網(wǎng)絡(luò)癱瘓影響的地區(qū)

　　事后國內(nèi)安防監(jiān)控?cái)z像頭廠商雄邁科技表示，在此次大規(guī)模網(wǎng)絡(luò)攻擊中，其產(chǎn)品無意中成為黑客“幫兇”，產(chǎn)品中默認(rèn)密碼強(qiáng)度不高等有關(guān)的安全缺陷，是引發(fā)此次美國大規(guī)模互聯(lián)網(wǎng)DDoS攻擊的部分原因。被稱作Mirai的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒一直在利用雄邁產(chǎn)品中的缺陷，在其中注入惡意代碼，并利用它們發(fā)動大規(guī)模分布式拒絕服務(wù)攻擊。這是一款基于Linux的ELF類型木馬，主要針對物聯(lián)網(wǎng)設(shè)備，其中包含但不限于網(wǎng)絡(luò)攝像頭、路由器等設(shè)備。它可以高效掃描物聯(lián)網(wǎng)系統(tǒng)設(shè)備，感染采用出廠密碼設(shè)置或弱密碼加密的脆弱物聯(lián)網(wǎng)設(shè)備。被病毒感染后，該設(shè)備成為僵尸網(wǎng)絡(luò)機(jī)器人，并可在黑客命令下發(fā)動高強(qiáng)度僵尸網(wǎng)絡(luò)攻擊。

　　物聯(lián)網(wǎng)時(shí)代分布在全世界各地?cái)?shù)量寵大的網(wǎng)絡(luò)攝像頭，普遍存在各種安全問題，主要表現(xiàn)在弱口令、系統(tǒng)后門和遠(yuǎn)程代碼可執(zhí)行漏洞三個(gè)方面：

　?。?）大量部分網(wǎng)絡(luò)攝像頭及視頻監(jiān)控系統(tǒng)設(shè)備的登錄密碼使用默認(rèn)密碼，這些默認(rèn)密碼大部分是簡單的弱口令，甚至一些設(shè)備就沒有設(shè)置缺省密碼，登錄不需要任何的驗(yàn)證, 就可直接看到監(jiān)控視頻，例如用戶名admin，密碼設(shè)置為123456。另外很多攝像頭設(shè)備生產(chǎn)商使用通用固件，導(dǎo)致這些初始密碼在不同品牌或者同品牌不同類型設(shè)備上是共用的，互聯(lián)網(wǎng)上很容易查到這些設(shè)備的初始密碼。

　?。?）部分網(wǎng)絡(luò)攝像頭及視頻監(jiān)控系統(tǒng)設(shè)備存在后門，可以進(jìn)入設(shè)備直接獲取系統(tǒng)的shell權(quán)限，執(zhí)行shell命令來獲取root權(quán)限，這些設(shè)備的網(wǎng)絡(luò)世界大門朝你打開。

　?。?）部分網(wǎng)絡(luò)攝像頭及視頻監(jiān)控系統(tǒng)設(shè)備存在一些系統(tǒng)安全的漏洞，在安防行業(yè)，除了部分一流廠商能自主研發(fā)系統(tǒng)平臺外，大多數(shù)企業(yè)都在這些平臺上進(jìn)行微創(chuàng)新或者抄襲，這就導(dǎo)致了一個(gè)問題：當(dāng)主流平臺產(chǎn)生了漏洞，業(yè)界內(nèi)監(jiān)控系統(tǒng)就基本上全是漏洞了，所以這些設(shè)備一旦接入網(wǎng)絡(luò)，就給黑客入侵提供了機(jī)會。綠盟科技曾曝光某款網(wǎng)絡(luò)攝像頭存在遠(yuǎn)程代碼可執(zhí)行漏洞，該漏洞最后涉及到多達(dá)70 多個(gè)不同品牌的攝像頭，因?yàn)檫@些廠家都使用了同一個(gè)公司的產(chǎn)品進(jìn)行貼牌生產(chǎn)。這些設(shè)備的 HTTP頭部Server帶均有“Cross Web Server”特征，利用該漏洞可獲大量含有此漏洞設(shè)備的shell權(quán)限。

　　為保證網(wǎng)絡(luò)攝像頭的使用安全，筆者有以下建議：

　?。?）對于提供PC 客戶端或云存儲功能的網(wǎng)絡(luò)攝像頭，在背后往往印有攝像頭的序列號和驗(yàn)證碼，以便PC端和云存儲時(shí)添加攝像頭使用，一旦疏忽其序列號和驗(yàn)證碼，很容易造成監(jiān)控視頻外泄。同時(shí)在設(shè)置監(jiān)控設(shè)備用戶名和密碼時(shí)，注意密碼一定要有足夠的強(qiáng)度，建議密碼長度大于12位，包括大小寫字符和數(shù)字。對于設(shè)備的序列號和驗(yàn)證碼，建議是配置連接完畢后，將貼紙撕下妥善保管。

　　（2）由于很多網(wǎng)絡(luò)攝像頭的系統(tǒng)存在后門、漏洞以及兼容性等問題，各大品牌的網(wǎng)絡(luò)攝像機(jī)廠家實(shí)際上還是很重視安全問題的，都會在第一時(shí)間發(fā)布新固件升級程序，建議廣大用戶及時(shí)升級到最新版本的固件，這樣可以把已曝光漏洞補(bǔ)上，也可以設(shè)置設(shè)備遠(yuǎn)程自動更新,允許用戶遠(yuǎn)程或自動升級補(bǔ)丁或固件

　?。?）遵循網(wǎng)絡(luò)設(shè)備使用安全使用規(guī)范，盡量不要把攝像頭的IP暴露在互聯(lián)網(wǎng)之上，推薦放在路由器的NAT之后，或者通過 VPN 連接訪問。盡管有一些VPN廠商號稱能夠提供足夠的安全和隱私保護(hù)，但是實(shí)際情況并不令人樂觀，有很多VPN存在潛在的危害性，在使用時(shí)注意甄別，中國政府現(xiàn)在已開始屏蔽境外VPN服務(wù)。

　　（4）關(guān)閉設(shè)備不使用的端口和服務(wù)，例如關(guān)閉Telnet服務(wù)和禁用TCP/48101端口可以有效預(yù)防物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒Mirai，同時(shí)使用多種加密手段來保護(hù)網(wǎng)絡(luò)攝像頭數(shù)據(jù)傳輸?shù)?，減少網(wǎng)絡(luò)攝像頭被入侵的機(jī)率。

　　網(wǎng)絡(luò)攝像頭與DNS三部曲之三：《電——DNS劫持》

　　DNS劫持又稱域名劫持，是指在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則返回假的IP地址或者什么都不做使請求失去響應(yīng)，其效果就是對特定的網(wǎng)絡(luò)不能反應(yīng)或訪問的是假網(wǎng)址。DNS被劫持后的表現(xiàn)有很多，例如：打開一個(gè)正常的網(wǎng)站電腦右下角會莫名的彈窗一些小廣告，打開一個(gè)下載鏈接下載的并不是所需要的東西或者瀏覽器輸入一個(gè)網(wǎng)址后回車網(wǎng)頁跳轉(zhuǎn)到其他網(wǎng)址的頁面。

　　可以借助軟媒DNS助手軟件，檢測到網(wǎng)絡(luò)配置中DNS服務(wù)器是否存在劫持行為(可能有部分DNS服務(wù)器地址還未收錄到數(shù)據(jù)庫中)，如圖4所示。

　　圖4　檢測DNS是否有劫持行為

 　　網(wǎng)絡(luò)攝像頭在配置遠(yuǎn)程訪問時(shí)，必須要配置DNS的選項(xiàng)，否則就無法進(jìn)行DDNS解析，如圖5所示：

　

圖5 攝像頭DNS配置

　　DNS劫持是網(wǎng)絡(luò)十分常見和兇猛的一種攻擊手段，且不輕易被人察覺，曾導(dǎo)致巴西最大銀行巴西銀行近1%客戶受到攻擊而導(dǎo)致賬戶被盜，黑客們利用缺陷對用戶的DNS進(jìn)行篡改，成功后可躲過安全軟件檢測，讓用戶被釣魚網(wǎng)站詐騙。為預(yù)防攝像頭DNS查詢被劫持，在配置DNS時(shí)盡量選擇未被污染或是較安全的DNS服務(wù)器。

　　國內(nèi)公共DNS服務(wù)器：

　　DNSPod DNS+（119.29.29.29，182.254.116.116）

　　114DNS服務(wù)器(114.114.114.114，114.114.115.115)

　　阿里DNS（223.5.5.5,223.6.6.6）

　　國外公共DNS服務(wù)器：

　　Google Public DNS (8.8.8.8, 8.8.4.4)

　　Norton DNS (198.153.192.1, 198.153.194.1)

　　OpenDNS (208.67.222.222, 208.67.220.220)

　　建議使用運(yùn)營商提供的DNS服務(wù)器，如果檢測被污染或是有問題，推薦使用DNSPod DNS+、114DNS、阿里DNS，其節(jié)點(diǎn)都遍布全國各省份和地區(qū)，電信、聯(lián)通、移動、教育網(wǎng)都有節(jié)點(diǎn)分布，延遲率較低。不推薦使用國外的DNS服務(wù)器，如果要訪問國外網(wǎng)站以及國外有服務(wù)器等情況，可以考慮使用谷歌DNS，它在國內(nèi)無節(jié)點(diǎn)，僅在香港有節(jié)點(diǎn)。

　　在互聯(lián)網(wǎng)早期，DNS的設(shè)計(jì)受到當(dāng)時(shí)條件限制，因而存在許多設(shè)計(jì)缺陷問題，現(xiàn)有的DNS系統(tǒng)暴露出了越來越多的問題，針對DNS的攻擊愈演愈烈，運(yùn)營商的Local DNS存在著大量的DNS劫持，NAT導(dǎo)致解析結(jié)果跨網(wǎng)、穩(wěn)定性不高等問題，在物聯(lián)網(wǎng)時(shí)代我們得高度重視DNS的安全問題，才能讓物聯(lián)網(wǎng)發(fā)展無后顧之憂。