文/劉本軍　黃健 (湖北三峽職業(yè)技術(shù)學(xué)院教研室主任、宜昌市公安局科技信息處網(wǎng)絡(luò)工程師）

　　摘　要

　　物聯(lián)網(wǎng)對(duì)于大多數(shù)人來(lái)說(shuō)可能還相對(duì)比較陌生，但事實(shí)上我們現(xiàn)在已經(jīng)進(jìn)入物聯(lián)網(wǎng)時(shí)代――以互聯(lián)網(wǎng)為基礎(chǔ)核心發(fā)展起來(lái)的新一代信息網(wǎng)絡(luò)時(shí)代。物聯(lián)網(wǎng)行業(yè)目前是一個(gè)新興產(chǎn)業(yè)，物聯(lián)網(wǎng)設(shè)備的廠商也都在還處于開(kāi)拓摸索階段，行業(yè)內(nèi)部還沒(méi)有比較完善的安全標(biāo)準(zhǔn)，設(shè)備系統(tǒng)安全漏洞比較好找，黑客控制起來(lái)相對(duì)容易一點(diǎn)，所以使用數(shù)量龐大的監(jiān)控攝像頭，就成了最好的選擇……

　　關(guān)鍵詞：DDNS　DDoS　DNS劫持

　　物聯(lián)網(wǎng)經(jīng)歷了從最初的概念化階段到熱炒階段，再到現(xiàn)如今的培育階段，其涉及的領(lǐng)域非常廣泛，相關(guān)技術(shù)更是數(shù)不勝數(shù)，工業(yè)物聯(lián)網(wǎng)、智能家居、車(chē)聯(lián)網(wǎng)、智慧城市、智能交通、智能安防等都是物聯(lián)網(wǎng)在垂直領(lǐng)域的熱門(mén)應(yīng)用。在經(jīng)歷了摸索與困頓之后，未來(lái)的物聯(lián)網(wǎng)行業(yè)注定不平凡，在過(guò)去我們的物理世界和信息世界（互聯(lián)網(wǎng)）是獨(dú)立發(fā)展的，現(xiàn)如今要將這兩者融合起來(lái)，這將是一個(gè)很大的跨越，將造福全人類(lèi)。然而物聯(lián)網(wǎng)的安全問(wèn)題卻始終是物聯(lián)網(wǎng)落地的最大障礙，本文主要討論的不是物聯(lián)網(wǎng)安全，而是從現(xiàn)有物聯(lián)網(wǎng)中數(shù)量眾多的網(wǎng)絡(luò)攝像頭出發(fā)，從互聯(lián)網(wǎng)最基礎(chǔ)的服務(wù)DNS談起，從側(cè)面來(lái)了解下物聯(lián)網(wǎng)時(shí)代網(wǎng)絡(luò)攝像頭的安全問(wèn)題。

　　近幾年傳統(tǒng)的模擬監(jiān)控?cái)z像頭被網(wǎng)絡(luò)攝像頭逐步替代，在加入物聯(lián)網(wǎng)特性之后，網(wǎng)絡(luò)攝像頭變得更加智能、方便、高效，也從專(zhuān)業(yè)領(lǐng)域走向消費(fèi)市場(chǎng)，全球監(jiān)控?cái)z像機(jī)市場(chǎng)在未來(lái)五年內(nèi)將保持穩(wěn)步增長(zhǎng)，2013年全球監(jiān)控?cái)z像機(jī)的出貨量約為8560萬(wàn)臺(tái)，到2017年這一數(shù)據(jù)將上升到1.145億臺(tái)。

　　眾所周知，在網(wǎng)絡(luò)中唯一能夠用來(lái)標(biāo)識(shí)計(jì)算機(jī)身份和定位計(jì)算機(jī)位置的方式就是IP地址，但網(wǎng)絡(luò)中往往存在許多服務(wù)器，如E-mail服務(wù)器、Web服務(wù)器、FTP服務(wù)器等，記憶這些純數(shù)字的IP地址不僅枯燥無(wú)味，而且容易出錯(cuò)。通過(guò)DNS（Domain Name System，域名系統(tǒng)）服務(wù)器，將這些IP地址與形象易記的域名一一對(duì)應(yīng)，使得網(wǎng)絡(luò)服務(wù)的訪問(wèn)更加簡(jiǎn)單，而且可以完美地實(shí)現(xiàn)與Internet的融合，對(duì)于網(wǎng)絡(luò)的推廣發(fā)布起到極其重要的作用，而且許多重要網(wǎng)絡(luò)服務(wù)（如E-mail服務(wù)）的實(shí)現(xiàn)，也需要借助于DNS服務(wù)，因此DNS服務(wù)可視為互聯(lián)網(wǎng)服務(wù)的基礎(chǔ)。

　　很多安防行業(yè)的從業(yè)人員看到這里笑了，我們的網(wǎng)絡(luò)攝像頭僅僅只是視頻瀏覽服務(wù)，不需要Web、E-mail、FTP等服務(wù)，難道也需要進(jìn)行DNS服務(wù)的配置？雖然從技術(shù)的層面上直觀來(lái)看，很多環(huán)境下網(wǎng)絡(luò)攝像頭確實(shí)可以不需要DNS服務(wù)，但在物聯(lián)網(wǎng)時(shí)代人們對(duì)視頻遠(yuǎn)程訪問(wèn)的需求越來(lái)越高，已經(jīng)離不開(kāi)這個(gè)最基礎(chǔ)的互聯(lián)網(wǎng)服務(wù)了。下面筆者從三個(gè)關(guān)鍵字入手講述網(wǎng)絡(luò)攝像頭和DNS之間的故事……

　　網(wǎng)絡(luò)攝像頭與DNS三部曲之一：《霧——DDNS》

　　目前很多家庭使用PPPOE撥號(hào)方式上網(wǎng)，每次上網(wǎng)獲得的IP都是隨機(jī)變換的，但是家里的網(wǎng)絡(luò)監(jiān)控、智能設(shè)備需要通過(guò)網(wǎng)絡(luò)訪問(wèn)，每次使用前都需要先知道IP，這是非常麻煩的。

　　DDNS（Dynamic Domain Name Server，動(dòng)態(tài)域名服務(wù)）是將用戶的動(dòng)態(tài)IP地址映射到一個(gè)固定的域名解析服務(wù)上，用戶每次連接網(wǎng)絡(luò)的時(shí)候客戶端程序就會(huì)通過(guò)信息傳遞把該主機(jī)的動(dòng)態(tài)IP地址傳送給位于服務(wù)商主機(jī)上的服務(wù)器程序，服務(wù)器程序負(fù)責(zé)提供DNS服務(wù)并實(shí)現(xiàn)動(dòng)態(tài)域名解析。也就是說(shuō)DDNS捕獲用戶每次變化的IP地址，然后將其與域名相對(duì)應(yīng)，這樣其他上網(wǎng)用戶就可以通過(guò)域名來(lái)進(jìn)行交流。而最終客戶所要記憶的全部，就是記住動(dòng)態(tài)域名商給予的域名即可，而不用去管他們是如何實(shí)現(xiàn)的，如圖1所示。

圖1　DDNS原理示意圖

　　動(dòng)態(tài)域名服務(wù)的對(duì)象是指IP是動(dòng)態(tài)的，是變動(dòng)的，隨機(jī)的。普通的DNS服務(wù)都是基于靜態(tài)IP的，有可能是一對(duì)多或多對(duì)多，IP都是固定的一個(gè)或多個(gè)。

　　DDNS的注冊(cè)過(guò)程并不像DNS解析一樣有標(biāo)準(zhǔn)的規(guī)定，而是由各DDNS服務(wù)提供商自己制定私有協(xié)議，所以若要使用特定DDNS服務(wù)商的DDNS服務(wù)，客戶端就必須支持對(duì)應(yīng)的私有協(xié)議。注冊(cè)客戶端可以是一臺(tái)PC，在該P(yáng)C上運(yùn)行DDNS服務(wù)商提供的客戶端軟件，也可以是企業(yè)出口路由器，或者用戶服務(wù)器直接集成DDNS服務(wù)商的客戶端。這些DDNS客戶端不能斷電，否則無(wú)法及時(shí)地將公網(wǎng)IP地址變動(dòng)情況上報(bào)給DDNS服務(wù)器。目前，使用較多的國(guó)內(nèi)DDNS服務(wù)商有花生殼oray.com和pubyun.com，國(guó)外的有no-ip.com和dyndns.com。

　　免費(fèi)的通用DDNS服務(wù)穩(wěn)定性差，經(jīng)常出現(xiàn)故障及掉線，嚴(yán)重影響客戶對(duì)遠(yuǎn)程監(jiān)控的體驗(yàn)，而相對(duì)穩(wěn)定的收費(fèi)DDNS服務(wù)每年要收取一定的費(fèi)用，讓客戶難以接受，于是部分安防監(jiān)控廠商搭建了遠(yuǎn)程監(jiān)控DDNS服務(wù)器，為自家的安防監(jiān)控設(shè)備做DDNS服務(wù)。與互聯(lián)網(wǎng)的DDNS服務(wù)相比，安防行業(yè)DDNS服務(wù)控制力度更加細(xì)致，可以精確到服務(wù)端口號(hào)，當(dāng)然此服務(wù)只適合廠商自己的設(shè)備，無(wú)法適用于所有通用設(shè)備。目前安防行業(yè)海康威視、大華、宇視等均推出了自己的DDNS服務(wù)器，我們以?？低暤腄DNS配置為例進(jìn)行介紹。

　　網(wǎng)絡(luò)攝像機(jī)DDNS一般無(wú)法在本地直接配置，可以通過(guò)IE遠(yuǎn)程配置實(shí)現(xiàn)，IE輸入設(shè)備當(dāng)前IP地址登錄設(shè)備，登錄設(shè)備后進(jìn)入【配置】界面，【高級(jí)配置】→【網(wǎng)絡(luò)】→【DDNS】中查看DDNS參數(shù)。在配置之前設(shè)備必須連入互聯(lián)網(wǎng)，否則將無(wú)法成功完成相關(guān)配置，成功接入網(wǎng)絡(luò)之后，網(wǎng)絡(luò)攝像機(jī)會(huì)自動(dòng)啟用DDNS服務(wù)，并且注冊(cè)一個(gè)和其序列號(hào)一樣的域名，如圖2所示。

　　圖2　DDNS配置

　　按以上步驟配置好，設(shè)備就可以注冊(cè)到海康威視的DDNS服務(wù)器，在IE上可以通過(guò)“http://www.hik-online.com/自定義域名”來(lái)訪問(wèn)設(shè)備，例如設(shè)置為“videolive365”，則IE上輸入“http://www.hik-online.com/videolive365”即可訪問(wèn)該設(shè)備。不過(guò)該公司近日宣布計(jì)劃逐步停止DDNS服務(wù)器的部分服務(wù)，逐步構(gòu)建以互聯(lián)網(wǎng)視頻應(yīng)用和物聯(lián)傳感應(yīng)用為核心的云服務(wù)平臺(tái)――螢石云平臺(tái)來(lái)替代DDNS，筆者認(rèn)為螢石云平臺(tái)提供的服務(wù)將更加全面、安全、穩(wěn)定。

　　在使用DDNS服務(wù)的過(guò)程中我們要特別注意，國(guó)內(nèi)個(gè)別攝像頭廠商DDNS協(xié)議存在安全漏洞，攻擊者利用漏洞可隨意更改、刪除服務(wù)器上攝像頭的DNS記錄，致使用戶在使用域名進(jìn)行攝像頭訪問(wèn)時(shí)，進(jìn)行釣魚(yú)網(wǎng)站攻擊。我們需要對(duì)網(wǎng)絡(luò)攝像頭設(shè)備定期進(jìn)行升級(jí)，同時(shí)通過(guò)修改設(shè)備的默認(rèn)密碼、弱密碼等手段，來(lái)保證設(shè)備的DDNS請(qǐng)求不可偽造。

　　網(wǎng)絡(luò)攝像頭與DNS三部曲之二：《雨——DDoS》

　　DDoS(Distributed Denial of Service，分布式拒絕服務(wù))是指攻擊借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力，它本身與DNS沒(méi)有關(guān)系，但是它的攻擊目標(biāo)是DNS的話麻煩就大了。2016年10月22日凌晨，美國(guó)域名服務(wù)器管理服務(wù)供應(yīng)商Dyn（故事一曾提及此公司）稱(chēng)其公司遭遇了DDoS攻擊，包括Twitter、Tumblr、Netflix、亞馬遜、Shopify、Reddit、Airbnb、PayPal和Yelp等諸多網(wǎng)站無(wú)一幸免。DDoS攻擊支持dns、udp、vse、syn、ack、http等洪水攻擊方式，黑客攻擊了Dyn管理的DNS服務(wù)器，從而導(dǎo)致DNS服務(wù)器癱瘓，無(wú)法解析各大網(wǎng)站的 IP 地址，就這樣用戶們不管訪問(wèn)那個(gè)網(wǎng)站都找不到 IP地址，這就造成了美國(guó)近半個(gè)國(guó)家的網(wǎng)絡(luò)大癱瘓，如圖3所示，紅色部分是此次網(wǎng)絡(luò)癱瘓影響的地區(qū)。

　　圖3　美國(guó)2016年DDoS攻擊網(wǎng)絡(luò)癱瘓影響的地區(qū)

　　事后國(guó)內(nèi)安防監(jiān)控?cái)z像頭廠商雄邁科技表示，在此次大規(guī)模網(wǎng)絡(luò)攻擊中，其產(chǎn)品無(wú)意中成為黑客“幫兇”，產(chǎn)品中默認(rèn)密碼強(qiáng)度不高等有關(guān)的安全缺陷，是引發(fā)此次美國(guó)大規(guī)?；ヂ?lián)網(wǎng)DDoS攻擊的部分原因。被稱(chēng)作Mirai的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒一直在利用雄邁產(chǎn)品中的缺陷，在其中注入惡意代碼，并利用它們發(fā)動(dòng)大規(guī)模分布式拒絕服務(wù)攻擊。這是一款基于Linux的ELF類(lèi)型木馬，主要針對(duì)物聯(lián)網(wǎng)設(shè)備，其中包含但不限于網(wǎng)絡(luò)攝像頭、路由器等設(shè)備。它可以高效掃描物聯(lián)網(wǎng)系統(tǒng)設(shè)備，感染采用出廠密碼設(shè)置或弱密碼加密的脆弱物聯(lián)網(wǎng)設(shè)備。被病毒感染后，該設(shè)備成為僵尸網(wǎng)絡(luò)機(jī)器人，并可在黑客命令下發(fā)動(dòng)高強(qiáng)度僵尸網(wǎng)絡(luò)攻擊。

　　物聯(lián)網(wǎng)時(shí)代分布在全世界各地?cái)?shù)量寵大的網(wǎng)絡(luò)攝像頭，普遍存在各種安全問(wèn)題，主要表現(xiàn)在弱口令、系統(tǒng)后門(mén)和遠(yuǎn)程代碼可執(zhí)行漏洞三個(gè)方面：

　　（1）大量部分網(wǎng)絡(luò)攝像頭及視頻監(jiān)控系統(tǒng)設(shè)備的登錄密碼使用默認(rèn)密碼，這些默認(rèn)密碼大部分是簡(jiǎn)單的弱口令，甚至一些設(shè)備就沒(méi)有設(shè)置缺省密碼，登錄不需要任何的驗(yàn)證, 就可直接看到監(jiān)控視頻，例如用戶名admin，密碼設(shè)置為123456。另外很多攝像頭設(shè)備生產(chǎn)商使用通用固件，導(dǎo)致這些初始密碼在不同品牌或者同品牌不同類(lèi)型設(shè)備上是共用的，互聯(lián)網(wǎng)上很容易查到這些設(shè)備的初始密碼。

　　（2）部分網(wǎng)絡(luò)攝像頭及視頻監(jiān)控系統(tǒng)設(shè)備存在后門(mén)，可以進(jìn)入設(shè)備直接獲取系統(tǒng)的shell權(quán)限，執(zhí)行shell命令來(lái)獲取root權(quán)限，這些設(shè)備的網(wǎng)絡(luò)世界大門(mén)朝你打開(kāi)。

　?。?）部分網(wǎng)絡(luò)攝像頭及視頻監(jiān)控系統(tǒng)設(shè)備存在一些系統(tǒng)安全的漏洞，在安防行業(yè)，除了部分一流廠商能自主研發(fā)系統(tǒng)平臺(tái)外，大多數(shù)企業(yè)都在這些平臺(tái)上進(jìn)行微創(chuàng)新或者抄襲，這就導(dǎo)致了一個(gè)問(wèn)題：當(dāng)主流平臺(tái)產(chǎn)生了漏洞，業(yè)界內(nèi)監(jiān)控系統(tǒng)就基本上全是漏洞了，所以這些設(shè)備一旦接入網(wǎng)絡(luò)，就給黑客入侵提供了機(jī)會(huì)。綠盟科技曾曝光某款網(wǎng)絡(luò)攝像頭存在遠(yuǎn)程代碼可執(zhí)行漏洞，該漏洞最后涉及到多達(dá)70 多個(gè)不同品牌的攝像頭，因?yàn)檫@些廠家都使用了同一個(gè)公司的產(chǎn)品進(jìn)行貼牌生產(chǎn)。這些設(shè)備的 HTTP頭部Server帶均有“Cross Web Server”特征，利用該漏洞可獲大量含有此漏洞設(shè)備的shell權(quán)限。

　　為保證網(wǎng)絡(luò)攝像頭的使用安全，筆者有以下建議：

　?。?）對(duì)于提供PC 客戶端或云存儲(chǔ)功能的網(wǎng)絡(luò)攝像頭，在背后往往印有攝像頭的序列號(hào)和驗(yàn)證碼，以便PC端和云存儲(chǔ)時(shí)添加攝像頭使用，一旦疏忽其序列號(hào)和驗(yàn)證碼，很容易造成監(jiān)控視頻外泄。同時(shí)在設(shè)置監(jiān)控設(shè)備用戶名和密碼時(shí)，注意密碼一定要有足夠的強(qiáng)度，建議密碼長(zhǎng)度大于12位，包括大小寫(xiě)字符和數(shù)字。對(duì)于設(shè)備的序列號(hào)和驗(yàn)證碼，建議是配置連接完畢后，將貼紙撕下妥善保管。

　?。?）由于很多網(wǎng)絡(luò)攝像頭的系統(tǒng)存在后門(mén)、漏洞以及兼容性等問(wèn)題，各大品牌的網(wǎng)絡(luò)攝像機(jī)廠家實(shí)際上還是很重視安全問(wèn)題的，都會(huì)在第一時(shí)間發(fā)布新固件升級(jí)程序，建議廣大用戶及時(shí)升級(jí)到最新版本的固件，這樣可以把已曝光漏洞補(bǔ)上，也可以設(shè)置設(shè)備遠(yuǎn)程自動(dòng)更新,允許用戶遠(yuǎn)程或自動(dòng)升級(jí)補(bǔ)丁或固件

　?。?）遵循網(wǎng)絡(luò)設(shè)備使用安全使用規(guī)范，盡量不要把攝像頭的IP暴露在互聯(lián)網(wǎng)之上，推薦放在路由器的NAT之后，或者通過(guò) VPN 連接訪問(wèn)。盡管有一些VPN廠商號(hào)稱(chēng)能夠提供足夠的安全和隱私保護(hù)，但是實(shí)際情況并不令人樂(lè)觀，有很多VPN存在潛在的危害性，在使用時(shí)注意甄別，中國(guó)政府現(xiàn)在已開(kāi)始屏蔽境外VPN服務(wù)。

　?。?）關(guān)閉設(shè)備不使用的端口和服務(wù)，例如關(guān)閉Telnet服務(wù)和禁用TCP/48101端口可以有效預(yù)防物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒Mirai，同時(shí)使用多種加密手段來(lái)保護(hù)網(wǎng)絡(luò)攝像頭數(shù)據(jù)傳輸?shù)?，減少網(wǎng)絡(luò)攝像頭被入侵的機(jī)率。

　　網(wǎng)絡(luò)攝像頭與DNS三部曲之三：《電——DNS劫持》

　　DNS劫持又稱(chēng)域名劫持，是指在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請(qǐng)求，分析請(qǐng)求的域名，把審查范圍以外的請(qǐng)求放行，否則返回假的IP地址或者什么都不做使請(qǐng)求失去響應(yīng)，其效果就是對(duì)特定的網(wǎng)絡(luò)不能反應(yīng)或訪問(wèn)的是假網(wǎng)址。DNS被劫持后的表現(xiàn)有很多，例如：打開(kāi)一個(gè)正常的網(wǎng)站電腦右下角會(huì)莫名的彈窗一些小廣告，打開(kāi)一個(gè)下載鏈接下載的并不是所需要的東西或者瀏覽器輸入一個(gè)網(wǎng)址后回車(chē)網(wǎng)頁(yè)跳轉(zhuǎn)到其他網(wǎng)址的頁(yè)面。

　　可以借助軟媒DNS助手軟件，檢測(cè)到網(wǎng)絡(luò)配置中DNS服務(wù)器是否存在劫持行為(可能有部分DNS服務(wù)器地址還未收錄到數(shù)據(jù)庫(kù)中)，如圖4所示。

　　圖4　檢測(cè)DNS是否有劫持行為

 　　網(wǎng)絡(luò)攝像頭在配置遠(yuǎn)程訪問(wèn)時(shí)，必須要配置DNS的選項(xiàng)，否則就無(wú)法進(jìn)行DDNS解析，如圖5所示：

　

圖5 攝像頭DNS配置

　　DNS劫持是網(wǎng)絡(luò)十分常見(jiàn)和兇猛的一種攻擊手段，且不輕易被人察覺(jué)，曾導(dǎo)致巴西最大銀行巴西銀行近1%客戶受到攻擊而導(dǎo)致賬戶被盜，黑客們利用缺陷對(duì)用戶的DNS進(jìn)行篡改，成功后可躲過(guò)安全軟件檢測(cè)，讓用戶被釣魚(yú)網(wǎng)站詐騙。為預(yù)防攝像頭DNS查詢被劫持，在配置DNS時(shí)盡量選擇未被污染或是較安全的DNS服務(wù)器。

　　國(guó)內(nèi)公共DNS服務(wù)器：

　　DNSPod DNS+（119.29.29.29，182.254.116.116）

　　114DNS服務(wù)器(114.114.114.114，114.114.115.115)

　　阿里DNS（223.5.5.5,223.6.6.6）

　　國(guó)外公共DNS服務(wù)器：

　　Google Public DNS (8.8.8.8, 8.8.4.4)

　　Norton DNS (198.153.192.1, 198.153.194.1)

　　OpenDNS (208.67.222.222, 208.67.220.220)

　　建議使用運(yùn)營(yíng)商提供的DNS服務(wù)器，如果檢測(cè)被污染或是有問(wèn)題，推薦使用DNSPod DNS+、114DNS、阿里DNS，其節(jié)點(diǎn)都遍布全國(guó)各省份和地區(qū)，電信、聯(lián)通、移動(dòng)、教育網(wǎng)都有節(jié)點(diǎn)分布，延遲率較低。不推薦使用國(guó)外的DNS服務(wù)器，如果要訪問(wèn)國(guó)外網(wǎng)站以及國(guó)外有服務(wù)器等情況，可以考慮使用谷歌DNS，它在國(guó)內(nèi)無(wú)節(jié)點(diǎn)，僅在香港有節(jié)點(diǎn)。

　　在互聯(lián)網(wǎng)早期，DNS的設(shè)計(jì)受到當(dāng)時(shí)條件限制，因而存在許多設(shè)計(jì)缺陷問(wèn)題，現(xiàn)有的DNS系統(tǒng)暴露出了越來(lái)越多的問(wèn)題，針對(duì)DNS的攻擊愈演愈烈，運(yùn)營(yíng)商的Local DNS存在著大量的DNS劫持，NAT導(dǎo)致解析結(jié)果跨網(wǎng)、穩(wěn)定性不高等問(wèn)題，在物聯(lián)網(wǎng)時(shí)代我們得高度重視DNS的安全問(wèn)題，才能讓物聯(lián)網(wǎng)發(fā)展無(wú)后顧之憂。