國內工業(yè)物聯(lián)網(wǎng)發(fā)展迅速，無(wú)線(xiàn)數據采集與傳輸是工業(yè)物聯(lián)網(wǎng)數據通信中重要的采集方式和組網(wǎng)方式，DTU在無(wú)線(xiàn)數據采集所涉及到的供熱、燃氣、氣象等市政重點(diǎn)工業(yè)領(lǐng)域應用及其廣泛。最近燈塔實(shí)驗室對國內暴露在互聯(lián)網(wǎng)的DTU數據中心（DSC）進(jìn)行了全網(wǎng)掃描，并對已發(fā)現的DTU中心站進(jìn)行了深入的行業(yè)應用和用戶(hù)所屬單位分析。

一、關(guān)鍵詞定義

DTU：數據終端單元（Data Transfer unit）。

DSC：數據服務(wù)中心（Data Service Center），即DTU中心站，DTU通過(guò)無(wú)線(xiàn)GPRS/CDMA網(wǎng)絡(luò )將數據上傳至中心站監聽(tīng)的某個(gè)端口。

DDP：DTU和數據服務(wù)中心（DSC）之間的通訊協(xié)議。

二、應用場(chǎng)景

在工業(yè)現場(chǎng)中，存在許多現場(chǎng)是有線(xiàn)無(wú)法到達的場(chǎng)景，DTU無(wú)線(xiàn)數據終端基于GPRS/CDMA數據通信網(wǎng)絡(luò )，可專(zhuān)門(mén)用于將串口數據轉換為IP數據或將IP數據轉換為串口數據，并通過(guò)無(wú)線(xiàn)通信網(wǎng)絡(luò )進(jìn)行傳輸，目前廣泛應用在電力、環(huán)保監測、車(chē)載、水利、金融、路燈監控、熱力管網(wǎng)、煤礦、油田等行業(yè)。

三、DTU數據中心指紋特征分析

DTU與DSC中心站通信可使用TCP/UDP方式，DTU會(huì )根據配置主動(dòng)連接DSC中心站IP和開(kāi)放的數據服務(wù)端口進(jìn)行數據上傳。

通信端口

根據廠(chǎng)家和應用的不同，DSC開(kāi)放的數據上傳端口也不盡相同，我們根據廠(chǎng)商官方提供的一些解決方案和文檔，搜集了一些知名廠(chǎng)商的默認端口，具體如下：

協(xié)議介紹

DDP協(xié)議（DTU DSC Protocol）是DTU與DSC之間的通訊協(xié)議，DDP是一種廠(chǎng)商定義的私有公開(kāi)性質(zhì)的通信協(xié)議，用于數據的傳輸和DTU管理，對于DDP協(xié)議廠(chǎng)商一般會(huì )提供協(xié)議文檔和SDK開(kāi)發(fā)包，用戶(hù)可以通過(guò)組態(tài)軟件或開(kāi)發(fā)包，將數據中心集成到自己的平臺軟件中，國內的組態(tài)王、三維力控、昆侖通態(tài)、紫金橋等著(zhù)名組態(tài)軟件公司也均可以對接DTU實(shí)現數據采集。

以DTU市場(chǎng)占有量較高的宏電公司的DTU為例，宏電DDP協(xié)議官方提供了通信協(xié)議文檔和數據中心SDK樣例可供用戶(hù)進(jìn)行二次開(kāi)發(fā)和集成。

宏電DDP協(xié)議數據幀格式

起始標志    包類(lèi)型    包長(cháng)度    DTU 身份識別       數據          結束標志    

（1B）      （1B）    （2B）       （11B）    （0~1024B）    （1B）    

 0x7B                                                                                 0x7B   

宏電DDP協(xié)議DTU請求功能類(lèi)型

指紋構造

通過(guò)構造符合DDP協(xié)議的DTU“注冊”請求發(fā)送到DSC中心站，可以作為識別中心站的一種手段，如果目標應用的端口運行有中心站服務(wù)將會(huì )返回符合DDP協(xié)議標準的數據包。

四、安全隱患分析

DTU與DSC中心站之間通信使用的DDP協(xié)議構造簡(jiǎn)單，通信時(shí)一般使用DTU中插入的SIM卡的11位手機號碼作為“身份識別”的手段，DTU主動(dòng)鏈接DSC中心站開(kāi)放的TCP/UDP端口上傳數據，并且以明文方式傳輸，從目前DTU無(wú)線(xiàn)數據遠傳的通信模型上來(lái)看，最易受攻擊的攻擊面主要在DSC中心站上。

根據我們的本地分析與測試，暴露在互聯(lián)網(wǎng)的DTU中心站易受到如下攻擊：

終端偽造風(fēng)險

根據DTU與DSC中心站的通信協(xié)議，攻擊者可以構造任意手機號碼（11個(gè)字節的DTU身份識別標識）的“注冊”請求，如果用戶(hù)的應用邏輯上沒(méi)有判斷該手機號碼是否可信，該設備將可以被注冊到DSC中心站。

數據偽造風(fēng)險

攻擊者可以構造任意手機號碼（11個(gè)字節的DTU身份識別標識）的“注冊”請求，并在同一時(shí)間或一段時(shí)間內發(fā)送大量“注冊”登錄請求到DSC中心站，對于未做身份標識驗證和判斷的DSC中心站應用將會(huì )消耗大量系統資源，甚至導致中心站的采集應用崩潰，所有DTU設備無(wú)法鏈接至DSC中心站，使數據采集中斷。

終端枚舉風(fēng)險

DTU與DSC中心站之間使用11位手機號碼作為“身份識別”，攻擊者如果知道DTU終端的11位手機號碼，即可以偽造對應的終端進(jìn)行數據上傳或將終端請求注銷(xiāo)，如果確定了該應用場(chǎng)景或準確的地市區，針對終端號碼的枚舉或爆破將會(huì )縮小到較小的嘗試范圍。

五、DTU數據中心聯(lián)網(wǎng)分布

鑒于DSC中心站各家應用開(kāi)放端口不一致的情況，我們實(shí)驗室對國內3億IP超過(guò)160個(gè)常用于發(fā)布DDP服務(wù)的端口進(jìn)行了識別掃描，其中發(fā)現運行有DDP協(xié)議服務(wù)的主機超過(guò)了8800個(gè)，具體分布如下：

廣東    1998    

香港    1052    

浙江    710    

上海    676    

北京    631    

廣西    556    

江蘇    500    

山東    427    

福建    251    

河北    212    

天津    208    

四川    171    

湖北    164    

遼寧    144    

安徽    125    

河南    119    

云南    99    

新疆    88    

中國    84    

甘肅    81    

湖南    80    

陜西    73    

黑龍江 71    

吉林    66    

江西    58    

山西    57    

重慶    48    

內蒙古 41    

貴州    41    

青海    22    

西藏    17    

海南    17    

寧夏    9    

總計    8896   

發(fā)布DDP服務(wù)最多的前30個(gè)端口：

排行    端口    暴露數量    

1    5060      1302    

2    9999      1248    

3    5002      802    

4    60000    575    

5    55555    547    

6    50123    537    

7    51960    418    

8    65000    392    

9    61697    385    

10    2000    296    

11    3000    234    

12    8000    204    

13    6000    108    

14    1025    92    

15    5001    88    

16    6004    87    

17    33333  81    

18    10001  76    

19    5000    75    

20    60001  69    

21    5007    67    

22    5003    61    

23    5005    61    

24    8001    60    

25    4000    56    

26    6002    45    

27    7001    41    

28    7000    40    

29    5004    39    

30    8888    32   

六、聯(lián)網(wǎng)企業(yè)與應用分析

根據對掃描到的數據，我們實(shí)驗室通過(guò)IP開(kāi)放服務(wù)、IP位置，分析驗證了運行公網(wǎng)的DSC中心站所屬的企業(yè)和單位，具體行業(yè)分布如下，我們目前已經(jīng)準確驗證了超過(guò)300家公司和單位的DDP服務(wù)暴露情況。

七、解決方案與應對策略

在本次針對DSC數據中心站的安全分析的過(guò)程中，像終端使用GPRS/CDMA直接經(jīng)過(guò)互聯(lián)網(wǎng)與中心站的固定/動(dòng)態(tài)IP進(jìn)行通信，這種快捷、廉價(jià)的組網(wǎng)應用廣泛，目前雖然沒(méi)有出現專(zhuān)門(mén)針對此類(lèi)系統公開(kāi)的攻擊事件，但根據我們的判斷，對于DDP協(xié)議這種ICS協(xié)議暴露將縮短攻擊者發(fā)現重要工業(yè)控制系統入口的時(shí)間，隨著(zhù)DDP服務(wù)的開(kāi)放易導致該IP目標成為針對性的被攻擊對象，我們建議使用此類(lèi)組網(wǎng)的用戶(hù)，尤其應該做好邊界入口的安全防護、應用服務(wù)（Web、Telnet、SSH）的安全加固、主機安全配置。

燈塔實(shí)驗室依據工信部《工業(yè)控制系統信息安全防護指南》以及相關(guān)國家標準，給出如下具體應對建議：

身份認證

我們建議在互聯(lián)網(wǎng)開(kāi)放DDP服務(wù)的用戶(hù)，應檢查除DDP服務(wù)以外，如Telnet、SSH、Web服務(wù)等服務(wù)配置的安全性，避免使用默認口令或弱口令，合理分類(lèi)設置賬戶(hù)權限，以最小特權原則分配賬戶(hù)權限，對于關(guān)鍵系統和平臺的訪(fǎng)問(wèn)采用多因素認證。

遠程訪(fǎng)問(wèn)安全

我們推薦有條件的用戶(hù)在中心與終端之間使用電信運營(yíng)商提供的APN專(zhuān)網(wǎng)進(jìn)行組網(wǎng)，DTU的SIM卡開(kāi)通專(zhuān)用APN接入，使用APN專(zhuān)線(xiàn)后所有終端及數據中心分配的IP地址均為電信運營(yíng)商的內網(wǎng)IP地址，通過(guò)APN專(zhuān)網(wǎng)終端與數據中心的數據通信無(wú)需通過(guò)公網(wǎng)進(jìn)行傳輸，專(zhuān)網(wǎng)實(shí)現了端到端加密，避免了中心在互聯(lián)網(wǎng)開(kāi)放網(wǎng)絡(luò )端口。

文章來(lái)源：燈塔實(shí)驗室

附：工業(yè)物聯(lián)網(wǎng)安全態(tài)勢分析報告