今日頭條
官方微信
官方抖音
資訊頻道國內(nèi)工業(yè)物聯(lián)網(wǎng)發(fā)展迅速,無線數(shù)據(jù)采集與傳輸是工業(yè)物聯(lián)網(wǎng)數(shù)據(jù)通信中重要的采集方式和組網(wǎng)方式,DTU在無線數(shù)據(jù)采集所涉及到的供熱、燃?xì)狻庀蟮仁姓攸c工業(yè)領(lǐng)域應(yīng)用及其廣泛。最近燈塔實驗室對國內(nèi)暴露在互聯(lián)網(wǎng)的DTU數(shù)據(jù)中心(DSC)進(jìn)行了全網(wǎng)掃描,并對已發(fā)現(xiàn)的DTU中心站進(jìn)行了深入的行業(yè)應(yīng)用和用戶所屬單位分析。
一、關(guān)鍵詞定義
DTU:數(shù)據(jù)終端單元(Data Transfer unit)。
DSC:數(shù)據(jù)服務(wù)中心(Data Service Center),即DTU中心站,DTU通過無線GPRS/CDMA網(wǎng)絡(luò)將數(shù)據(jù)上傳至中心站監(jiān)聽的某個端口。
DDP:DTU和數(shù)據(jù)服務(wù)中心(DSC)之間的通訊協(xié)議。
二、應(yīng)用場景
在工業(yè)現(xiàn)場中,存在許多現(xiàn)場是有線無法到達(dá)的場景,DTU無線數(shù)據(jù)終端基于GPRS/CDMA數(shù)據(jù)通信網(wǎng)絡(luò),可專門用于將串口數(shù)據(jù)轉(zhuǎn)換為IP數(shù)據(jù)或?qū)P數(shù)據(jù)轉(zhuǎn)換為串口數(shù)據(jù),并通過無線通信網(wǎng)絡(luò)進(jìn)行傳輸,目前廣泛應(yīng)用在電力、環(huán)保監(jiān)測、車載、水利、金融、路燈監(jiān)控、熱力管網(wǎng)、煤礦、油田等行業(yè)。
三、DTU數(shù)據(jù)中心指紋特征分析
DTU與DSC中心站通信可使用TCP/UDP方式,DTU會根據(jù)配置主動連接DSC中心站IP和開放的數(shù)據(jù)服務(wù)端口進(jìn)行數(shù)據(jù)上傳。
通信端口
根據(jù)廠家和應(yīng)用的不同,DSC開放的數(shù)據(jù)上傳端口也不盡相同,我們根據(jù)廠商官方提供的一些解決方案和文檔,搜集了一些知名廠商的默認(rèn)端口,具體如下:
協(xié)議介紹
DDP協(xié)議(DTU DSC Protocol)是DTU與DSC之間的通訊協(xié)議,DDP是一種廠商定義的私有公開性質(zhì)的通信協(xié)議,用于數(shù)據(jù)的傳輸和DTU管理,對于DDP協(xié)議廠商一般會提供協(xié)議文檔和SDK開發(fā)包,用戶可以通過組態(tài)軟件或開發(fā)包,將數(shù)據(jù)中心集成到自己的平臺軟件中,國內(nèi)的組態(tài)王、三維力控、昆侖通態(tài)、紫金橋等著名組態(tài)軟件公司也均可以對接DTU實現(xiàn)數(shù)據(jù)采集。
以DTU市場占有量較高的宏電公司的DTU為例,宏電DDP協(xié)議官方提供了通信協(xié)議文檔和數(shù)據(jù)中心SDK樣例可供用戶進(jìn)行二次開發(fā)和集成。
宏電DDP協(xié)議數(shù)據(jù)幀格式
起始標(biāo)志 包類型 包長度 DTU 身份識別 數(shù)據(jù) 結(jié)束標(biāo)志
(1B) (1B) (2B) (11B) (0~1024B) (1B)
0x7B 0x7B
宏電DDP協(xié)議DTU請求功能類型
指紋構(gòu)造
通過構(gòu)造符合DDP協(xié)議的DTU“注冊”請求發(fā)送到DSC中心站,可以作為識別中心站的一種手段,如果目標(biāo)應(yīng)用的端口運(yùn)行有中心站服務(wù)將會返回符合DDP協(xié)議標(biāo)準(zhǔn)的數(shù)據(jù)包。
四、安全隱患分析
DTU與DSC中心站之間通信使用的DDP協(xié)議構(gòu)造簡單,通信時一般使用DTU中插入的SIM卡的11位手機(jī)號碼作為“身份識別”的手段,DTU主動鏈接DSC中心站開放的TCP/UDP端口上傳數(shù)據(jù),并且以明文方式傳輸,從目前DTU無線數(shù)據(jù)遠(yuǎn)傳的通信模型上來看,最易受攻擊的攻擊面主要在DSC中心站上。
根據(jù)我們的本地分析與測試,暴露在互聯(lián)網(wǎng)的DTU中心站易受到如下攻擊:
終端偽造風(fēng)險
根據(jù)DTU與DSC中心站的通信協(xié)議,攻擊者可以構(gòu)造任意手機(jī)號碼(11個字節(jié)的DTU身份識別標(biāo)識)的“注冊”請求,如果用戶的應(yīng)用邏輯上沒有判斷該手機(jī)號碼是否可信,該設(shè)備將可以被注冊到DSC中心站。
數(shù)據(jù)偽造風(fēng)險
攻擊者可以構(gòu)造任意手機(jī)號碼(11個字節(jié)的DTU身份識別標(biāo)識)的“注冊”請求,并在同一時間或一段時間內(nèi)發(fā)送大量“注冊”登錄請求到DSC中心站,對于未做身份標(biāo)識驗證和判斷的DSC中心站應(yīng)用將會消耗大量系統(tǒng)資源,甚至導(dǎo)致中心站的采集應(yīng)用崩潰,所有DTU設(shè)備無法鏈接至DSC中心站,使數(shù)據(jù)采集中斷。
終端枚舉風(fēng)險
DTU與DSC中心站之間使用11位手機(jī)號碼作為“身份識別”,攻擊者如果知道DTU終端的11位手機(jī)號碼,即可以偽造對應(yīng)的終端進(jìn)行數(shù)據(jù)上傳或?qū)⒔K端請求注銷,如果確定了該應(yīng)用場景或準(zhǔn)確的地市區(qū),針對終端號碼的枚舉或爆破將會縮小到較小的嘗試范圍。
五、DTU數(shù)據(jù)中心聯(lián)網(wǎng)分布
鑒于DSC中心站各家應(yīng)用開放端口不一致的情況,我們實驗室對國內(nèi)3億IP超過160個常用于發(fā)布DDP服務(wù)的端口進(jìn)行了識別掃描,其中發(fā)現(xiàn)運(yùn)行有DDP協(xié)議服務(wù)的主機(jī)超過了8800個,具體分布如下:
廣東 1998
香港 1052
浙江 710
上海 676
北京 631
廣西 556
江蘇 500
山東 427
福建 251
河北 212
天津 208
四川 171
湖北 164
遼寧 144
安徽 125
河南 119
云南 99
新疆 88
中國 84
甘肅 81
湖南 80
陜西 73
黑龍江 71
吉林 66
江西 58
山西 57
重慶 48
內(nèi)蒙古 41
貴州 41
青海 22
西藏 17
海南 17
寧夏 9
總計 8896
發(fā)布DDP服務(wù)最多的前30個端口:
排行 端口 暴露數(shù)量
1 5060 1302
2 9999 1248
3 5002 802
4 60000 575
5 55555 547
6 50123 537
7 51960 418
8 65000 392
9 61697 385
10 2000 296
11 3000 234
12 8000 204
13 6000 108
14 1025 92
15 5001 88
16 6004 87
17 33333 81
18 10001 76
19 5000 75
20 60001 69
21 5007 67
22 5003 61
23 5005 61
24 8001 60
25 4000 56
26 6002 45
27 7001 41
28 7000 40
29 5004 39
30 8888 32
六、聯(lián)網(wǎng)企業(yè)與應(yīng)用分析
根據(jù)對掃描到的數(shù)據(jù),我們實驗室通過IP開放服務(wù)、IP位置,分析驗證了運(yùn)行公網(wǎng)的DSC中心站所屬的企業(yè)和單位,具體行業(yè)分布如下,我們目前已經(jīng)準(zhǔn)確驗證了超過300家公司和單位的DDP服務(wù)暴露情況。
七、解決方案與應(yīng)對策略
在本次針對DSC數(shù)據(jù)中心站的安全分析的過程中,像終端使用GPRS/CDMA直接經(jīng)過互聯(lián)網(wǎng)與中心站的固定/動態(tài)IP進(jìn)行通信,這種快捷、廉價的組網(wǎng)應(yīng)用廣泛,目前雖然沒有出現(xiàn)專門針對此類系統(tǒng)公開的攻擊事件,但根據(jù)我們的判斷,對于DDP協(xié)議這種ICS協(xié)議暴露將縮短攻擊者發(fā)現(xiàn)重要工業(yè)控制系統(tǒng)入口的時間,隨著DDP服務(wù)的開放易導(dǎo)致該IP目標(biāo)成為針對性的被攻擊對象,我們建議使用此類組網(wǎng)的用戶,尤其應(yīng)該做好邊界入口的安全防護(hù)、應(yīng)用服務(wù)(Web、Telnet、SSH)的安全加固、主機(jī)安全配置。
燈塔實驗室依據(jù)工信部《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》以及相關(guān)國家標(biāo)準(zhǔn),給出如下具體應(yīng)對建議:
身份認(rèn)證
我們建議在互聯(lián)網(wǎng)開放DDP服務(wù)的用戶,應(yīng)檢查除DDP服務(wù)以外,如Telnet、SSH、Web服務(wù)等服務(wù)配置的安全性,避免使用默認(rèn)口令或弱口令,合理分類設(shè)置賬戶權(quán)限,以最小特權(quán)原則分配賬戶權(quán)限,對于關(guān)鍵系統(tǒng)和平臺的訪問采用多因素認(rèn)證。
遠(yuǎn)程訪問安全
我們推薦有條件的用戶在中心與終端之間使用電信運(yùn)營商提供的APN專網(wǎng)進(jìn)行組網(wǎng),DTU的SIM卡開通專用APN接入,使用APN專線后所有終端及數(shù)據(jù)中心分配的IP地址均為電信運(yùn)營商的內(nèi)網(wǎng)IP地址,通過APN專網(wǎng)終端與數(shù)據(jù)中心的數(shù)據(jù)通信無需通過公網(wǎng)進(jìn)行傳輸,專網(wǎng)實現(xiàn)了端到端加密,避免了中心在互聯(lián)網(wǎng)開放網(wǎng)絡(luò)端口。
文章來源:燈塔實驗室
北京市公安局海淀分局備案號:11010802023656號