國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析

1、國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析目 錄 HYPERLINK l _bookmark0 . 簡(jiǎn)介2 HYPERLINK l _bookmark1 研究方法3 HYPERLINK l _bookmark1 關(guān)鍵性發(fā)現(xiàn)3 HYPERLINK l _bookmark2 二 . 常見物聯(lián)網(wǎng)設(shè)備在國內(nèi)的暴露情況5 HYPERLINK l _bookmark2 引言5 HYPERLINK l _bookmark2 視頻監(jiān)控設(shè)備5 HYPERLINK l _bookmark2 總體情況5 HYPERLINK l _bookmark3 特定廠商7 HYPERLINK l _bookmark4 家用路由器8 HYPE

2、RLINK l _bookmark4 總體情況8 HYPERLINK l _bookmark5 特定廠商10 HYPERLINK l _bookmark6 其它發(fā)現(xiàn)14 HYPERLINK l _bookmark7 打印機(jī)15 HYPERLINK l _bookmark7 總體情況15 HYPERLINK l _bookmark8 特定廠商17 HYPERLINK l _bookmark9 2.5 小結(jié)19 HYPERLINK l _bookmark10 三 . 物聯(lián)網(wǎng)操作系統(tǒng)在國內(nèi)的暴露情況20 HYPERLINK l _bookmark10 3.1 引言20 HYPERLINK l _bo

3、okmark10 操作系統(tǒng)列表20 HYPERLINK l _bookmark11 物聯(lián)網(wǎng)操作系統(tǒng)設(shè)備信息暴露情況與分析21 HYPERLINK l _bookmark11 Nucleus21 HYPERLINK l _bookmark12 OpenWrt/DD-WRT/LEDE22 HYPERLINK l _bookmark13 Raspbian/Raspberry Pi24 HYPERLINK l _bookmark14 uClinux25 HYPERLINK l _bookmark15 VxWorks/ WindRiver26 HYPERLINK l _bookmark16 物聯(lián)網(wǎng)操作系

4、統(tǒng)分析小結(jié)27 HYPERLINK l _bookmark17 四 . 總結(jié)28 HYPERLINK l _bookmark18 參考資料29國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析 . 簡(jiǎn)介隨著傳感、計(jì)算、通信等技術(shù)的成熟，物聯(lián)網(wǎng)在各行業(yè)將會(huì)出現(xiàn)越來越多的應(yīng)用。市場(chǎng)研究機(jī)構(gòu) Gartner 預(yù)測(cè) 12，自 2015 年至 2020 年，物聯(lián)網(wǎng)終端年均復(fù)合增長率為 33%，裝機(jī)量高達(dá) 204 億，其中三分之二為消費(fèi)者應(yīng)用。在聯(lián)網(wǎng)的消費(fèi)者和企業(yè)終端的投資的年均復(fù)合增長率為20%，高達(dá)2.9 萬億美元，將取代非聯(lián)網(wǎng)設(shè)備的投資。2016 年，物聯(lián)網(wǎng)被寫進(jìn)“十三五”規(guī)劃，規(guī)劃指出要積極推進(jìn)云計(jì)算和物聯(lián)網(wǎng)發(fā)展，推進(jìn)

5、物聯(lián)網(wǎng)感知設(shè)施規(guī)劃布局，發(fā)展物聯(lián)網(wǎng)開環(huán)應(yīng)用。這顯示了國家在戰(zhàn)略層面非常重視各類物聯(lián)網(wǎng)基礎(chǔ)設(shè)施和應(yīng)用。與此同時(shí)，眾多物聯(lián)網(wǎng)設(shè)備和應(yīng)用面臨嚴(yán)峻的安全挑戰(zhàn)。2016 年 9 月 20 日，著名的安全新聞工作者 BrianKrebs 的網(wǎng)站 KrebsOnS 受到大規(guī)模的 DDoS 攻擊，其攻擊峰值達(dá)到 665Gbps，Brian Krebs 推測(cè)此次攻擊由 Mirai 僵尸網(wǎng)絡(luò)發(fā)動(dòng)。2016 年 9 月 20 日，Mirai 僵尸網(wǎng)絡(luò)針對(duì)法國網(wǎng)站主機(jī) OVH 的攻擊突破 DDoS 攻擊記錄，其攻擊量達(dá)到 1.1Tpbs，最大達(dá)到 1.5Tpbs。2016 年 10 月 21 日，美國域名服務(wù)商 Dy

6、n 遭受大規(guī)模DDoS 攻擊，其中重要的攻擊源確認(rèn)來自于 Mirai 僵尸網(wǎng)絡(luò)，美國東海岸地區(qū)遭受大面積網(wǎng)絡(luò)癱瘓。2016 年 11 月 28 日，德國電信遭遇斷網(wǎng)時(shí)間，攻擊源來自 Mirai 僵尸網(wǎng)絡(luò)的新變種。而 Mirai 僵尸網(wǎng)絡(luò)的廣泛傳播，則是因?yàn)楸┞对诨ヂ?lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備存在安全問題，如弱口令等。值得注意的是，很大一部分的受 Mirai 惡意代碼感染的物聯(lián)網(wǎng)設(shè)備是直接暴露在互聯(lián)網(wǎng)上。因而，掌握物聯(lián)網(wǎng)資產(chǎn)在全互聯(lián)網(wǎng)中的暴露情況是一個(gè)非常值得關(guān)注的研究點(diǎn)，一種可行的研究方法是通過網(wǎng)絡(luò)空間搜索引擎發(fā)現(xiàn)相關(guān)的物聯(lián)網(wǎng)設(shè)備。不同于互聯(lián)網(wǎng)搜索引擎 Google、百度，網(wǎng)絡(luò)空間搜索引擎（如 NTI 1

7、、Shodan 2、ZoomEye 3）關(guān)注于 IP 地址以及其所對(duì)應(yīng)的設(shè)備、其上運(yùn)行的服務(wù)，其中 NTI 是綠盟科技的威脅情報(bào)平臺(tái)。對(duì)于安全研究人員，借助其所探測(cè)到的結(jié)果，在發(fā)現(xiàn)漏洞時(shí)，可快速了解其在全球的分布情況。2016 年，趨勢(shì)科技發(fā)布了一份基于 Shodan 的數(shù)據(jù)的研究報(bào)告 9，報(bào)告分析了美國六大關(guān)鍵行業(yè)（政府、緊急服務(wù)、醫(yī)療、公共事業(yè)、金融和教育）在互聯(lián)網(wǎng)上的暴露情況。在 RSA2017 上，趨勢(shì)科技的研究人員對(duì)研究報(bào)告的內(nèi)容做了主題演講 10。在物聯(lián)網(wǎng)相關(guān)分析中，該報(bào)告主要集中于工業(yè)控制系統(tǒng)，視頻監(jiān)控設(shè)備、路由器等雖有提及，但并非關(guān)注的重點(diǎn)，只是作為某一行業(yè)探測(cè)到的產(chǎn)品出現(xiàn)。在

8、物聯(lián)網(wǎng)相關(guān)的安全問題越來越引發(fā)人們的關(guān)注的背景下，對(duì)在互聯(lián)網(wǎng)上暴露的廣義物聯(lián)網(wǎng)資產(chǎn)進(jìn)行分析和梳理是有必要的，在獲得相關(guān)數(shù)據(jù)后，可對(duì)物聯(lián)網(wǎng)安全態(tài)勢(shì)分析、政策和方案決策，以及技術(shù)上做進(jìn)一步脆弱性和風(fēng)險(xiǎn)評(píng)估。在技術(shù)路線方面，考慮到國內(nèi)外的物聯(lián)網(wǎng)系統(tǒng)和產(chǎn)品有較大的差異，本文中我們主要對(duì)位于中國的物聯(lián)網(wǎng)資產(chǎn)進(jìn)行了分析，通過展示物聯(lián)網(wǎng)設(shè)備的暴露情況，如城市分布、端口分布，來說明有哪些服務(wù)是可以被互聯(lián)網(wǎng)訪問到的，以及服務(wù)潛在的安全問題，目的是使公眾提高物聯(lián)網(wǎng)威脅的防范意識(shí)。在第二章和第三章，我們分別從物聯(lián)網(wǎng)設(shè)備維度和物聯(lián)網(wǎng)操作系統(tǒng)維度進(jìn)行了分析。第二章展示了都有哪些物聯(lián)網(wǎng)設(shè)備暴露在互聯(lián)網(wǎng)上以及其有怎樣的分布

9、情況。第三章我們對(duì)常見的物聯(lián)網(wǎng)操作系統(tǒng)進(jìn)行了搜索，以期使讀者對(duì)暴露在互聯(lián)網(wǎng)的操作系統(tǒng)的情況有一定的認(rèn)識(shí)。需要說明的是，一個(gè)物聯(lián)網(wǎng)設(shè)備暴露在互聯(lián)網(wǎng)并不一定意味著這個(gè)設(shè)備存在問題，只能說明該設(shè)備存在被攻擊甚至被利用的風(fēng)險(xiǎn)。比如一個(gè)設(shè)備通過用戶名和密碼可以被登錄，如果用戶使用了安全強(qiáng)度比較高的密碼，則該設(shè)備便不存在弱口令的風(fēng)險(xiǎn)。但一旦設(shè)備暴露在互聯(lián)網(wǎng)上，就增加了其攻擊面，一旦在突發(fā)的安全事件中（如2國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析心臟出血等）其暴露的相關(guān)服務(wù)被發(fā)現(xiàn)漏洞，就存在被攻破的風(fēng)險(xiǎn)。研究方法本次分析工作基于 NTI、ZoomEye 和 Shodan 的數(shù)據(jù)進(jìn)行。數(shù)據(jù)主要有兩類來源方式：第一類是搜索

10、引擎本身已經(jīng)識(shí)別出的設(shè)備，若我們認(rèn)為沒有問題，則會(huì)直接采用，如在 NTI 的搜索欄輸入“service:DAHUA-DVR”， 可查看浙江大華 DVR 的信息；第二類是通過廠商、型號(hào)等信息直接在搜索欄進(jìn)行搜索，對(duì)搜索到的結(jié)果進(jìn)行觀察， 來調(diào)整搜索信息，直至搜索到滿意的結(jié)果。以路由器為例，我們對(duì)主流家用路由器的絕大多數(shù)型號(hào)進(jìn)行了搜索； 以?？低暈槔?，我們發(fā)現(xiàn)?？低暤臄z像頭的某些服務(wù)的 BANNER 信息中包含“Server: Hikvision-Webs”字符串，所以可以直接以該字符串請(qǐng)求搜索引擎就能搜索到?？低暤臄z像頭。聲明：本報(bào)告的所有數(shù)據(jù)均來自公開的網(wǎng)絡(luò)空間搜索引擎NTI、Shoda

11、n 和ZoomEye。關(guān)鍵性發(fā)現(xiàn)我們對(duì)常見的物聯(lián)網(wǎng)設(shè)備和操作系統(tǒng)進(jìn)行了分析，關(guān)鍵性發(fā)現(xiàn)如下：海康威視和大華兩大廠商的網(wǎng)絡(luò)監(jiān)控設(shè)備暴露數(shù)量最多，東南沿海為國內(nèi)網(wǎng)絡(luò)監(jiān)控設(shè)備暴露最嚴(yán)重的區(qū)域。暴露在國內(nèi)互聯(lián)網(wǎng)上的路由器以國產(chǎn)品牌為主，暴露出來的端口所對(duì)應(yīng)的協(xié)議以 UPnP 和 FTP 協(xié)議為主。互聯(lián)網(wǎng)廠商的路由器銷量增長迅猛但暴露較少。國內(nèi)有上萬臺(tái)路由器感染惡意軟件 Linux.Wifatch，路由器安全現(xiàn)狀不容樂觀。港臺(tái)地區(qū)為網(wǎng)絡(luò)打印機(jī)暴露的重災(zāi)區(qū)，暴露數(shù)量達(dá)總暴露量的 95% 以上。大部分搭載操作系統(tǒng)的設(shè)備未經(jīng)更改默認(rèn)配置就被部署到互聯(lián)網(wǎng)上，這也是它們被探測(cè)到的主要原因。如：運(yùn)行 DD-WRT

12、的設(shè)備開啟的 7924 個(gè) HTTP 服務(wù)中，有 22.6% 是由于 title 中具有“DD-WRT (build xxxxx=infopage”信 息而被暴露。98.6% 運(yùn)行 uClinux 的設(shè)備都會(huì)帶有“Server: uClinux/0 UPnP/1.0 MiniUPnPd/1.3”的 banner 信息。運(yùn)行 DD-WRT 和 uClinux 的具有路由器功能的設(shè)備，在做了 NAT 的情況下，會(huì)使它本身的 IP 具有多個(gè)設(shè)備的融合屬性。3國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析二. 常見物聯(lián)網(wǎng)設(shè)備在國內(nèi)的暴露情況引言智能設(shè)備的應(yīng)用已經(jīng)漸漸成為了日常生活不可或缺的一部分，可是便利之余，物聯(lián)網(wǎng)設(shè)

13、備中暗藏的安全問題也不容小覷。 通過數(shù)據(jù)收集與分析，了解到國內(nèi)有十幾種物聯(lián)網(wǎng)設(shè)備存在數(shù)量較多的暴露情況，根據(jù)數(shù)量排序依次列出。由圖 2.1 可以看出，用于接入互聯(lián)網(wǎng)的設(shè)備暴露情況嚴(yán)重，國內(nèi)的路由器和調(diào)制解碼器（Modem）設(shè)備暴露數(shù)量較多，二者總數(shù)量達(dá)到 500 萬以上。圖 2.1 全球和國內(nèi)物聯(lián)網(wǎng)相關(guān)設(shè)備暴露情況當(dāng)然物聯(lián)網(wǎng)設(shè)備不僅僅這些，還有一些比較小眾（比如：門禁設(shè)備、溫度監(jiān)控系統(tǒng)和車輛調(diào)度系統(tǒng)等等）或者某些工業(yè)領(lǐng)域的設(shè)備并未列出，我們可能會(huì)視情況在后續(xù)的報(bào)告中進(jìn)行補(bǔ)充或更新；其次有很大一部分物聯(lián)網(wǎng)設(shè)備接入的是局域網(wǎng)，通過NAT 方式與物聯(lián)網(wǎng)應(yīng)用通信，隱藏在網(wǎng)關(guān)設(shè)備后面，這類設(shè)備不會(huì)暴露在

14、互聯(lián)網(wǎng)上。視頻監(jiān)控設(shè)備視頻監(jiān)控設(shè)備是一類非常重要的物聯(lián)網(wǎng)設(shè)備，而且近年一些國際上的物聯(lián)網(wǎng)安全事件很多與之有關(guān)，所以本節(jié)主要對(duì)國內(nèi)的視頻監(jiān)控設(shè)備暴露情況進(jìn)行統(tǒng)計(jì)及分析?？傮w情況權(quán)威研究機(jī)構(gòu) IHS 發(fā)布2014 全球 CCTV 與視頻監(jiān)控設(shè)備市場(chǎng)研究報(bào)告顯示，全球視頻監(jiān)控市場(chǎng)份額前15 位廠家分別為：?？怠⒋笕A、安訊士、松下、三星泰科、博世安防、派爾高、霍尼韋爾、威智倫、泰科安防、索尼、宇視、Aventura、UTC、英飛拓。?？低暤谝弧⒋笕A股份第二，不過第一和第一之間差距較大 19。圖 2.2 為 HIS2013 年的中國監(jiān)控設(shè)備市場(chǎng)份額的統(tǒng)計(jì)。4國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析圖 2.2 20

15、13 年中國監(jiān)控設(shè)備的市場(chǎng)份額大致情況我們對(duì)以上及其他部分視頻監(jiān)控設(shè)備廠商暴露情況進(jìn)行搜索，得出以下觀點(diǎn)：觀點(diǎn) 1： ?？低暫痛笕A兩大廠商暴露數(shù)量較多時(shí)至今日國內(nèi)大概有 10 幾家網(wǎng)絡(luò)監(jiān)控設(shè)備（網(wǎng)絡(luò)硬盤攝像機(jī)、網(wǎng)絡(luò)攝像頭和視頻服務(wù)器等）廠商的產(chǎn)品存在不同程度的暴露情況，其中?？低暫驼憬笕A兩大廠商暴露數(shù)量較多。圖 2.3 國內(nèi)網(wǎng)絡(luò)監(jiān)控設(shè)備暴露概況5國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析圖 2.4 暴露的網(wǎng)絡(luò)監(jiān)控設(shè)備廠商分布由以上兩張圖表可以看出，國內(nèi)大概有一百多萬臺(tái)以上的監(jiān)控設(shè)備存在暴露情況，其中網(wǎng)絡(luò)硬盤攝像機(jī)設(shè)備暴露最為嚴(yán)重，而?？岛痛笕A兩個(gè)廠商的產(chǎn)品占了約一百萬臺(tái)。特定廠商據(jù)圖 2.4 可知，大

16、華和海康兩個(gè)廠商的網(wǎng)絡(luò)監(jiān)控設(shè)備暴露最多，所以接下來我們將這二者作為主要的分析對(duì)象，主要對(duì)其開放端口和地理位置進(jìn)行了統(tǒng)計(jì)和分析。開放端口分析觀點(diǎn) 2： 網(wǎng)絡(luò)監(jiān)控設(shè)備暴露的端口很多是默認(rèn)端口如圖 2.5 所示，整理了暴露設(shè)備出現(xiàn)次數(shù)較多的端口和常用的端口及其對(duì)應(yīng)的協(xié)議。根據(jù)查閱資料了解到不同的監(jiān)控設(shè)備廠商會(huì)開放的默認(rèn)端口有一定的差異性，比如 : 大華監(jiān)控設(shè)備視頻數(shù)據(jù)服務(wù)的默認(rèn)端口是 37777， ?？低晹?shù)據(jù)服務(wù)的默認(rèn)端口是 8000。攻擊者同樣也可以根據(jù)上述資料找到相關(guān)設(shè)備的默認(rèn)端口，從而通過掃描定位設(shè)備，故建議修改設(shè)備各項(xiàng)服務(wù)的默認(rèn)端口，降低被攻擊者通過廣譜掃描而發(fā)現(xiàn)的風(fēng)險(xiǎn)。圖 2.5 網(wǎng)絡(luò)視

17、頻監(jiān)控設(shè)備端口總暴露情況6國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析端協(xié)口議80554443491528080HTTPRSTPHTTPSUPnPHTTP城市分布分析表 2.1 視頻監(jiān)控設(shè)備端口和協(xié)議的對(duì)應(yīng)關(guān)系觀點(diǎn) 3： 網(wǎng)絡(luò)監(jiān)控設(shè)備東南沿海地區(qū)暴露現(xiàn)象較明顯由圖 2.6 可知，網(wǎng)絡(luò)監(jiān)控設(shè)備主要分布在省會(huì)城市，大部分分布在廣州、南京和福州東南沿海等商業(yè)較發(fā)達(dá)的地區(qū)，這跟網(wǎng)絡(luò)視頻監(jiān)控設(shè)備的市場(chǎng)分布是相匹配的 15。但北京上海排名并不靠前，可能是因?yàn)闁|南沿海的制造業(yè)相對(duì)發(fā)達(dá)，作業(yè)線和倉庫等對(duì)網(wǎng)絡(luò)監(jiān)控設(shè)備需求量較多，也有可能這兩個(gè)城市雖然網(wǎng)絡(luò)監(jiān)控設(shè)備數(shù)量多， 但安全意識(shí)較好，所以才會(huì)出現(xiàn)暴露設(shè)備不多的現(xiàn)象。當(dāng)然這只

18、是我們的根據(jù)初步結(jié)果所做的分析猜想，具體原因還需進(jìn)一步的數(shù)據(jù)支撐和分析得出。圖 2.6 網(wǎng)絡(luò)視頻監(jiān)控設(shè)備暴露城市分布情況家用路由器我們對(duì)主流的家用路由器進(jìn)行了搜索，如迅捷、水星、TP-LINK、小米等。企業(yè)級(jí)路由器的使用場(chǎng)景、性能要求與家用路由器相差很大，因此我們?cè)谶@一節(jié)主要關(guān)注家用路由器 1?？傮w情況觀點(diǎn) 4： 暴露在國內(nèi)互聯(lián)網(wǎng)上的路由器以國產(chǎn)品牌為主從圖 2.7 可以看出，迅捷、水星的路由器基本都位于國內(nèi)，友訊、騰達(dá)的大部分路由器也都位于國內(nèi)。迅捷、水星、友訊（臺(tái)灣）、TP-LINK、華碩（臺(tái)灣）、騰達(dá)等均為國內(nèi)廠商。1 由于路由器廠商、型號(hào)眾多，在數(shù)據(jù)中可能也會(huì)包含一些企業(yè)級(jí)的路由器。7

19、國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析圖 2.7 各路由器廠商的暴露情況觀點(diǎn) 5： 互聯(lián)網(wǎng)廠商的路由器銷量增長迅猛但暴露較少互聯(lián)網(wǎng)廠商的路由器銷量增長迅猛，2017 年 1 月，小米路由器銷量突破 1000 萬臺(tái) 17。根據(jù)艾媒咨詢的數(shù)據(jù)顯示 18，2016 年上半年，360 安全路由器以 51.5% 的占比位列智能路由器銷量排行榜第一。從圖 2.7 中我們還可以看出，暴露數(shù)量比較多的廠商均為傳統(tǒng)路由器廠商，而小米 2、3603、極路由 4 等新興路由器品牌暴露在互聯(lián)網(wǎng)的路由器數(shù)量較少。在城市分布上，我們選取了排名前 20 的城市。從圖中可以看出，數(shù)量最多的幾個(gè)城市均為二線城市。圖 2.8 家用路由器按

20、城市的分布情況觀點(diǎn) 6： 二線城市暴露出來的路由器數(shù)量最多23 小36米0 與路磊由科器成搜立索合到資的公數(shù)司量生很產(chǎn)少（安可全在路由NT器I 中，搜在索N“TIX中ia搜om索i 搜Mi索ni”“、ne“tcMorieW”iF可i”搜）到，磊與科36路0由安器全，路從由型器號(hào)、信極息路判由斷等并均非歸合于資其公它司類別推。出的4 安在全N路T由I 中器搜。索“hiwifi”可搜到極路由。8國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析觀點(diǎn) 7： 家用路由器端口分布廣泛，但大多位于 1900、21、80、8080 端口圖 2.9 家用路由器按端口的分布情況在端口分布上，我們發(fā)現(xiàn)一共有 39 個(gè)不同的端口出現(xiàn)，圖

21、 2.9 中選取了排名前 20 的端口，排名 20 之后的端口出現(xiàn)總數(shù)為 364 個(gè)。從圖中可以看出，雖然端口號(hào)有很多，但其分布很集中。觀點(diǎn) 8： 路由器暴露端口所對(duì)應(yīng)的協(xié)議以 UPnP 和 FTP 協(xié)議為主表 2.2 中顯示了出現(xiàn)次數(shù)較多的端口和常用的端口（如 22、23）及其對(duì)應(yīng)的協(xié)議。暴露在互聯(lián)網(wǎng)中的路由器中使用最多的協(xié)議是 UPnP 協(xié)議，其次是 FTP 協(xié)議。1900212223UPnPFTPHTTPSSHTelnet表 2.2 路由器端口和協(xié)議的對(duì)應(yīng)關(guān)系端協(xié)口議80、8080UPnP（Universal Plug and Play，通用即插即用）協(xié)議允許應(yīng)用程序（或主機(jī)設(shè)備）自動(dòng)發(fā)

22、現(xiàn)前端的 NAT 設(shè)備，并根據(jù)需要自動(dòng)請(qǐng)求 NAT 設(shè)備打開相應(yīng)的端口，啟用 UPnP 后 NAT 兩端的應(yīng)用程序（或主機(jī)設(shè)備）間可以自主交換信息，以實(shí)現(xiàn)設(shè)備間網(wǎng)絡(luò)的無縫連接。當(dāng)用戶使用多人游戲，點(diǎn)對(duì)點(diǎn)連接，實(shí)時(shí)通信（如 Internet 電話、電話會(huì)議）或遠(yuǎn)程協(xié)助等應(yīng)用程序的時(shí)候，可能需要啟用 UPnP 功能。由于很多路由器默認(rèn)開啟 UPnP 功能，所以因該功能造成暴露的路由器數(shù)量是最多的。暴露 21 端口的設(shè)備有 80 多萬臺(tái)。TP-LINK 的官網(wǎng) 8 中提到帶 USB 接口的雙頻無線路由器系列產(chǎn)品接上移動(dòng)存儲(chǔ)設(shè)備后，可實(shí)現(xiàn) FTP 服務(wù)器功能。用戶可通過 FTP 服務(wù)向他人分享照片、電

23、影、音樂等。有些路由器（如水星）也會(huì)支持用戶通過互聯(lián)網(wǎng)遠(yuǎn)程管理路由器，所以，會(huì)有一些 HTTP 協(xié)議被檢測(cè)到。不過， 一般用戶在配置好路由器之后不會(huì)輕易改變路由器的配置信息，而且也很少會(huì)有遠(yuǎn)程管理的需求，建議應(yīng)關(guān)閉遠(yuǎn)程管理路由器的功能。最后我們發(fā)現(xiàn)，運(yùn)行在 80、8080 等端口的 HTTP 協(xié)議通信數(shù)據(jù)沒有經(jīng)過加密傳輸，存在被劫持的風(fēng)險(xiǎn)。特定廠商我們?cè)诜治龅倪^程中發(fā)現(xiàn)有的廠商的設(shè)備分布展現(xiàn)出了其獨(dú)特性，因此，我們選取了迅捷、水星和 TP-LINK9國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析進(jìn)行分析。迅捷和水星觀點(diǎn) 9： 迅捷和水星兩個(gè)廠商的路由器的端口分布和 banner 信息非常相似在搜索的過程中，我們

24、發(fā)現(xiàn)迅捷和水星兩個(gè)廠商的路由器具有很強(qiáng)的相似性，其相似性主要體現(xiàn)在兩個(gè)方面， 一是端口以 1900 為主，二是 1900 端口對(duì)應(yīng)的內(nèi)容很相似。圖 2.10 迅捷路由器的端口分布圖 2.11 水星路由器的端口分布圖 2.10 和圖 2.11 分別展示了迅捷路由器和水星路由器的端口分布，從中可以看出，暴露在互聯(lián)網(wǎng)的端口均以 1900 為主。圖 2.12 和圖 2.13 分別是迅捷路由器（FW313R）和水星路由器（MW313R）在 1900 端口的 banner 信息?？梢钥吹絻烧叱诵吞?hào)不同外，其余均相同。需要說明的是，banner 信息中雖然有型號(hào)，但是并沒有廠商信息，我們?cè)谒阉饕嬷袑?duì)這兩

25、個(gè)型號(hào)進(jìn)行搜索，10國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析找到了其對(duì)應(yīng)的廠商，從而建立了型號(hào)與廠商的關(guān)聯(lián)。圖 2.12 迅捷路由器（FW313R）的 banner圖 2.13 水星路由器（MW313R）的 banner觀點(diǎn) 10： 三款迅捷路由器和四款水星路由器占暴露在互聯(lián)網(wǎng)上的各自廠商的路由器總數(shù)的 99% 以上雖然迅捷和水星路由器的型號(hào)眾多，但是暴露在互聯(lián)網(wǎng)的設(shè)備中大部分?jǐn)?shù)量集中在很少的型號(hào)上。迅捷路由器中的 FWR310、FW300R 和 FW313R 占據(jù)了所有被發(fā)現(xiàn)的迅捷路由器 5 的 99.76%，水星路由器中的 MW310R、圖 2.14 迅捷和水星路由器主要型號(hào)的數(shù)量MW300R、MW3

26、05R 和 MW313R 占據(jù)了所有被發(fā)現(xiàn)的水星路由器的 99.69%。TP-LINK觀點(diǎn) 11： 8.7% 的 TP-LINK 路由器位于國內(nèi)，八個(gè)型號(hào)的路由器占了國內(nèi) TP-LINK 路由器總數(shù)的 82%TP-LINK 路由器同樣也是型號(hào)眾多，但是暴露在互聯(lián)網(wǎng)的設(shè)備中大部分?jǐn)?shù)量集中在很少的型號(hào)上。與迅捷和水星路由器主要位于國內(nèi)的現(xiàn)象不同，只有 8.7% 的 TP-LINK 路由器位于國內(nèi)。5 我們對(duì)迅捷和水星官網(wǎng)的所有在售路由器的型號(hào)進(jìn)行了搜索。11國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析圖 2.15 TP-LINK 路由器主要型號(hào)的數(shù)量觀點(diǎn) 12： 暴露出來的 TP-LINK 路由器有 26% 位于

27、一線城市，18% 位于香港和臺(tái)灣圖 2.16 TP-LINK 路由器的城市分布TP-LINK 路由器的城市分布如下圖所示，可以看出，除香港外，排名前幾的城市均為一線城市。不過在上海我們只找到了 45 臺(tái)設(shè)備。臺(tái)灣的多個(gè)城市（臺(tái)北、臺(tái)中、桃園、臺(tái)南、高松）均有一定數(shù)量的 TP-LINK 路由器暴露出來。觀點(diǎn) 13： TP-LINK 路由器暴露出來的端口所對(duì)應(yīng)的協(xié)議以 UPnP 和 HTTP 為主TP-LINK 路由器所使用的端口主要有 1900、80、1080、8080、8888 等端口，在這 5 個(gè)端口中，除 1900 端口對(duì)應(yīng) UPnP 協(xié)議外，其余端口均對(duì)應(yīng) HTTP 協(xié)議。12國內(nèi)物聯(lián)網(wǎng)

28、資產(chǎn)的暴露情況分析圖 2.17 TP-LINK 路由器的端口分布觀點(diǎn) 14： TP-LINK 路由器不同型號(hào)暴露出來的協(xié)議分布有所不同W89941NWR740NWR842NWR841N協(xié)議均為 UPnP 協(xié)議主要為 HTTP 協(xié)議主要為 HTTP 協(xié)議主要為 HTTP 協(xié)議WR742N以 HTTP 協(xié)議為主，但是也有 UPnP 協(xié)議出現(xiàn)表 2.3 TP-LINK 路由器型號(hào)和主要協(xié)議的對(duì)應(yīng)關(guān)系型號(hào)不同型號(hào)的端口暴露情況也有明顯的差異，我們對(duì)分布數(shù)量在前 5 的 TP-LINK 路由器進(jìn)行分析，為了更容易體現(xiàn)差異性，這里用協(xié)議取代端口號(hào)來進(jìn)行分析。其它發(fā)現(xiàn)觀點(diǎn) 15： 國內(nèi)有上萬臺(tái)設(shè)備感染 Li

29、nux.Wifatch在對(duì)路由器的信息進(jìn)行分析的過程中，我們無意中發(fā)現(xiàn)有些路由器的 23 端口返回以下信息：圖 2.18 Linux.Wifatch 的 bannerLinux.Wifatch 是一款惡意軟件，出現(xiàn)于 2014 年 11 月，它利用遠(yuǎn)程登錄（Telnet）和其他協(xié)議感染使用弱密碼或默認(rèn)密碼的設(shè)備。一旦得手，Wifatch 就禁用 Telnet，并給出圖 2.18 所示的 banner 信息。2015 年 10 月，賽門鐵克研究員馬里奧 巴拉諾 13 詳細(xì)說明了這款惡意軟件，該惡意軟件感染了成千上萬臺(tái)路由器、網(wǎng)絡(luò)監(jiān)控?cái)z像頭和其他設(shè)備。國內(nèi)的安全媒體如 FreeBuf 4、安全牛

30、5 在當(dāng)時(shí)也都有相關(guān)的文章對(duì)其進(jìn)行介紹。有意思的是，Wifatch 雖然感染了物聯(lián)網(wǎng)設(shè)備，但并不執(zhí)行惡意行為，相反會(huì)掃描其他已知惡意軟件并將其他惡意軟件隔絕在外，似乎在“保護(hù)”該設(shè)備。Linux.Wifatch 代碼開源，可參見（/rav7teif/ linux.wifatch）。NTI 的數(shù)據(jù)顯示，目前全國有 14347 臺(tái)設(shè)備被該惡意軟件所感染，全球有 93480 臺(tái)設(shè)備被感染。13國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析圖 2.19 Linux.Wifatch 在 NTI 中的搜索結(jié)果圖 2.20 Linux.Wifatch 相關(guān)的設(shè)備端口暴露情況我們對(duì)相關(guān) IP 所暴露出的端口進(jìn)行了分析，如圖 2

31、.20 所示。很多設(shè)備在感染 Linux.Wifatch 后僅暴露 23 端口，或只暴露除 23 端口外的少數(shù)其他端口。因此很難確定出被感染的設(shè)備是什么，可能有很大一部分是路由器， 此外暴露端口 554 和 37777 一般是視頻監(jiān)控設(shè)備。對(duì)路由器恢復(fù)出廠設(shè)置及重新啟動(dòng)可以移除該惡意軟件，但若不對(duì)其固件進(jìn)行升級(jí)或者修改弱口令，設(shè)備很可能被重新感染。打印機(jī)眾所周知，打印機(jī)在商務(wù)場(chǎng)景中扮演著非常重要的作用，在互聯(lián)網(wǎng) + 時(shí)代，企業(yè)對(duì)移動(dòng)打印的需求越來越大， 這也催生了越來越多所謂的“智能”打印機(jī)，從功能上看，這些打印機(jī)和普通打印機(jī)有個(gè)顯著的區(qū)別是大多支持WiFi 直連、NFC 打印、云打印等移動(dòng)打

32、印功能 16。雖然智能化的打印機(jī)能給我們提供一定的便利性，但是否存在安全問題，同樣也不容忽視。接下來本節(jié)主要對(duì)國內(nèi)的打印機(jī)設(shè)備的暴露情況進(jìn)行統(tǒng)計(jì)及分析。總體情況2017 年 3 月，發(fā)生在臺(tái)灣的安全事件值得一提 7，臺(tái)灣多所學(xué)校的打印機(jī)被黑客攻擊，揚(yáng)言如果學(xué)校不按照14國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析其求付款就發(fā)動(dòng)攻擊來癱瘓學(xué)校網(wǎng)絡(luò)。事實(shí)上，大部分聯(lián)機(jī)打印機(jī)使用外網(wǎng) IP，其中部分學(xué)校打印機(jī)和物聯(lián)網(wǎng)設(shè)備使用默認(rèn)密碼，這些設(shè)備直接暴露給攻擊者，前述的安全事件可能會(huì)越來越多。觀點(diǎn) 16： 惠普和愛普生暴露數(shù)量較多，占暴露總量的 50% 以上作為聯(lián)網(wǎng)終端設(shè)備的打印機(jī)，其安全問題應(yīng)該受到用戶、廠商的重視。

33、根據(jù)前瞻產(chǎn)業(yè)研究院發(fā)布的2015-2020 年中國激光打印機(jī)行業(yè)市場(chǎng)前瞻與投資戰(zhàn)略規(guī)劃分析報(bào)告14 可知，2015 年打印機(jī)的市場(chǎng)占有率如圖 2.21 所示，圖 2.21 2015 年打印機(jī)市場(chǎng)占有率圖 2.22 網(wǎng)絡(luò)打印機(jī)暴露的品牌分布情況我們依照占有率的排名對(duì)不同品牌的打印機(jī)暴露情況進(jìn)行搜索。如圖 2.22 所示，目前有許多品牌打印機(jī)存在不同程度的暴露情況，惠普、愛普生和富士施樂暴露數(shù)量較多，占暴露總量的 75% 以上。觀點(diǎn) 17： 暴露的打印機(jī)主要分布在港臺(tái)地區(qū)，占總暴露量的 95% 以上。由圖 2.23 可以看出，網(wǎng)絡(luò)打印機(jī)暴露的城市中，除了北京以外，其他均為臺(tái)灣和香港地區(qū)。由圖 2.

34、24 端口的暴露情況可知，港臺(tái)地區(qū)的打印設(shè)備半數(shù)以上開放了 WEB 服務(wù)（80 端口為 WEB 服務(wù)的默認(rèn)端口）。出現(xiàn)這種情況可能會(huì)跟港臺(tái)的打印機(jī)的配置習(xí)慣有關(guān)。當(dāng)然這只是我們的根據(jù)初步結(jié)果所做的分析猜想，具體原因還需進(jìn)一步的數(shù)據(jù)支撐和分析得出。15國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析圖 2.23 網(wǎng)絡(luò)打印機(jī)暴露的城市分布情況圖 2.24 網(wǎng)絡(luò)打印機(jī)暴露的端口數(shù)量分布情況特定廠商開放端口分析下面主要對(duì) HP 打印機(jī)進(jìn)行研究分析，得到以下數(shù)據(jù)結(jié)果：16國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析端協(xié)口議圖 2.25 HP 打印機(jī)端口暴露情況表 2.4 打印機(jī)設(shè)備端口和協(xié)議的對(duì)應(yīng)關(guān)系2144363123FTPHTTPHT

35、TPSCUPSTelnet80、8080觀點(diǎn) 18： HP 打印設(shè)備提供 WEB 服務(wù)遠(yuǎn)程訪問打印機(jī)功能（ 如表 2.4 所示，我們整理了暴露設(shè)備出現(xiàn)次數(shù)較多的端口和常用的端口及其對(duì)應(yīng)的協(xié)議。其中 631 為 CUPSCommon UNIX Printing System）的默認(rèn)端口，CUPS 是為解決 Unix/Linux 打印限制的打印機(jī)軟件。由圖 2.25 可以看出，暴露的打印機(jī) 30% 左右都開放了 80 和 8080 端口用來提供 WEB 服務(wù)。建議如果沒必要 WEB 訪問進(jìn)行打印，應(yīng)關(guān)閉相關(guān)端口，局域網(wǎng)訪問即可。城市分布分析觀點(diǎn) 19： 暴露的 HP 打印機(jī)主要分布在港臺(tái)地區(qū)根據(jù)上

36、述統(tǒng)計(jì)可以發(fā)現(xiàn)，暴露的打印機(jī)主要分布在港臺(tái)地區(qū)，占總暴露數(shù)量的 90% 以上，這一現(xiàn)象可能跟港臺(tái)地區(qū)打印設(shè)備配置習(xí)慣有關(guān)。由圖 2.26 端口的暴露情況可知，港臺(tái)地區(qū)的打印設(shè)備半數(shù)以上開放了 WEB 服務(wù)，這樣的配置習(xí)慣會(huì)大大增加打印設(shè)備在互聯(lián)網(wǎng)上暴露的概率。當(dāng)然這只是我們的根據(jù)初步結(jié)果所做的分析猜想，具體原因還需進(jìn)一步的數(shù)據(jù)支撐和分析得出。17國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析圖 2.26 HP 打印機(jī)暴露城市分布情況打印機(jī)在過去是長期被忽視的領(lǐng)域，合規(guī)性更是無從談起，所以使用時(shí)更應(yīng)提高警惕，不給蓄意不軌的人有可乘之機(jī)。建議一方面關(guān)閉不必要的端口，減少在互聯(lián)網(wǎng)暴露現(xiàn)象；另一方面如果有相關(guān)的設(shè)置，可

37、以對(duì)打印機(jī)的訪問做一些限制，比如限制列表以外的 IP 訪問打印機(jī)。小結(jié)網(wǎng)絡(luò)監(jiān)控設(shè)備、路由器和打印機(jī)等物聯(lián)網(wǎng)設(shè)備大規(guī)模的暴露，會(huì)讓不法分子有可乘之機(jī)。當(dāng)初的 Mirai6 事件就是黑客利用網(wǎng)絡(luò)攝像設(shè)備的弱口令等安全漏洞，主要對(duì)網(wǎng)絡(luò)監(jiān)控設(shè)備實(shí)施入侵，并植入惡意軟件構(gòu)建僵尸網(wǎng)絡(luò)，致使網(wǎng)絡(luò)癱瘓等現(xiàn)象。如果有大量的物聯(lián)網(wǎng)設(shè)備暴露在互聯(lián)網(wǎng)上，像此類的安全事件隨時(shí)都有可能發(fā)生，不僅會(huì)讓我們無法正常使用這些設(shè)備，更重要的是某些重要信息也會(huì)被他人竊取。18國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析三. 物聯(lián)網(wǎng)操作系統(tǒng)在國內(nèi)的暴露情況引言中國信通院發(fā)布的物聯(lián)網(wǎng)白皮書（2016）11 指出：物聯(lián)網(wǎng)操作系統(tǒng)面向可伸縮、互通性實(shí)現(xiàn)創(chuàng)

38、新發(fā)展。書中把市場(chǎng)上現(xiàn)有的物聯(lián)網(wǎng)操作系統(tǒng)分為兩種，一種是由智能手機(jī)、PC 系統(tǒng)剪裁而來，用在嵌入式設(shè)備上，具備較強(qiáng)的應(yīng)用能力，但是底層的優(yōu)化能力差；另一種是由傳統(tǒng)的嵌入式操作系統(tǒng)演化而來，其基于傳統(tǒng)操作系統(tǒng)的任務(wù)調(diào)度等優(yōu)勢(shì)，加入了聯(lián)網(wǎng)等功能，有些還甚至集成了市場(chǎng)上常用的無線模組驅(qū)動(dòng)程序，以滿足物聯(lián)網(wǎng)設(shè)備穩(wěn)定工作和聯(lián)網(wǎng)的基本需求。本章搜集了常見的物聯(lián)網(wǎng)操作系統(tǒng)，并針對(duì)其中應(yīng)用較廣的操作系統(tǒng)進(jìn)行分析，希望可以對(duì)讀者有所幫助。操作系統(tǒng)列表本節(jié)列出了幾個(gè)比較常見的操作系統(tǒng)和固件，包括：uClinux、VxWorks、DD-Wrt、OpenWrt、Fuchsia、Raspbian、Nucleus、Tiz

39、en、Raspberry Pi、MICO、LEDE、Contiki、Zephyr、Brillo。我們對(duì)每個(gè)操作系統(tǒng)在圖 3.1 各操作系統(tǒng)數(shù)量對(duì)比NTI 中的暴露情況做了數(shù)量統(tǒng)計(jì)，其分布如圖 3.1 所示：在 NTI 中找到的數(shù)量差別比較大。數(shù)量較多的系統(tǒng)是 uClinux、VxWorks、DD-WRT、OpenWrt、Fuchsia、Raspbian/Raspberry Pi、Nucleus 和 Tizen。其中，搜索“Tizen”獲得的信息雖然數(shù)量多，但是大多數(shù)由于存在于設(shè)備的 banner 中的系統(tǒng)列表中而被搜索到（如 banner 中出現(xiàn)這樣的信息：,mac:MacOS,win:Win

40、do ws,tizen:Tizen,linux chrome），與 Tizen 操作系統(tǒng)本身和應(yīng)用并無關(guān)系，所以暫時(shí)不對(duì) Tizen 進(jìn)行分析。由于 OpenWrt、DD-WRT 和 LEDE 均源于 Linksys 的一款路由器的源碼，本次把這三款操作系統(tǒng)或固件集中在一個(gè)小節(jié)中分析。因此，接下來分別對(duì) uClinux、VxWorks、OpenWrt 系列（DD-WRT、OpenWrt、LEDE）、19國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析Raspbian/Raspberry Pi、Nucleus 分析。由于其余操作系統(tǒng)數(shù)量較少，所以暫不做分析。另外，對(duì)各個(gè)操作系統(tǒng)信息分析的過程中，會(huì)忽略一些數(shù)量較少的

41、服務(wù)或端口，例如：只對(duì)數(shù)量在 50 以上的端口或者服務(wù)做數(shù)量對(duì)比， 分析某些設(shè)備或操作系統(tǒng)的特征。物聯(lián)網(wǎng)操作系統(tǒng)設(shè)備信息暴露情況與分析Nucleus基于 Nucleus OS 的開發(fā)包名為 MTK，所以很多人容易聯(lián)想到國產(chǎn)的手機(jī)。在 2008 年，以 MTK 為平臺(tái)的山寨手機(jī)依靠奧運(yùn)直播風(fēng)靡一時(shí)，當(dāng)時(shí)山寨手機(jī)上用的就是 Nucleus 操作系統(tǒng)?，F(xiàn)在 Nucleus 也被 MentorGraphics 用于硬件系統(tǒng)的功耗控制（Power Limit），平常對(duì)硬件和底層關(guān)心較多的朋友可以關(guān)注一下。觀點(diǎn) 20： 運(yùn)行“Nucleus”的設(shè)備通常會(huì)開啟 HTTP 服務(wù)和 FTP 服務(wù)。平均每個(gè)主機(jī)開

42、啟了 1.59 個(gè)端口提供 HTTP 服務(wù)，開啟 21 端口的主機(jī)占到所有主機(jī)總數(shù)的 75.6%。圖 3.2 Nucleus 端口統(tǒng)計(jì)圖 3.3 Nucleus 協(xié)議統(tǒng)計(jì)在 NTI 找到了 604 條主機(jī) IP，對(duì)端口和上層協(xié)議統(tǒng)計(jì)信息如下：從圖 3.2 和圖 3.3 中可以分析得出：HTTP 服務(wù)數(shù)量是主機(jī)數(shù)量（604）的 1.587 倍。FTP 服務(wù)的數(shù)量占到主機(jī)數(shù)量的 75.6%。同時(shí)，針對(duì)此類設(shè)備，統(tǒng)計(jì)了 HTTP 協(xié)議中的 title 信息。如圖 3.4 所示：20國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析圖 3.4 Nucleus 中 HTTP 頁面非空白 title 統(tǒng)計(jì)有 在開放 HTTP

43、協(xié)議的主機(jī)中，具有 title 信息的總共有 513 個(gè)。這些設(shè)備不多，僅供參考，因?yàn)榭瞻?title 就在460 個(gè)，除去空白項(xiàng)之外，WebPro 占到了 43.4%，VoIP GateWay 占到了 22.6%。根據(jù)這些的信息，可以猜測(cè)，460 個(gè)空白項(xiàng)中，有一部分是網(wǎng)關(guān)類產(chǎn)品，如果 IP 被設(shè)置了訪問限制，知道開啟了端口卻無法訪問相應(yīng)服務(wù)就很正常，獲取的 title 字段自然為空。另外，有 441 條 FTP 的 banner 中出現(xiàn)這樣的信息：“220 Nucleus FTP Server (Version 1.7) ready”，這就意味著這些設(shè)備存在一定的共性，這種共性或者因?yàn)閺S商

44、而存在，或者因?yàn)橄到y(tǒng)本身的特性而存在。60 個(gè)主機(jī)出現(xiàn)這樣的 banner：“Nucleus/4.3 UPnP/1.0”，而且在圖 3.3 中找到的 SSDP 服務(wù)的數(shù)量為 62，可以證明一部分主機(jī)還開啟了和 UPnP、SSDP 等相關(guān)的服務(wù)。OpenWrt/DD-WRT/LEDECisco / Linksys 在 2003 年發(fā)行了 Linksys WRT54G 這款路由器，由于公司欲圖降低成本而使用了 Linux 內(nèi)核， 最終迫于壓力而公開了源碼。此后就有了一些基于 Linksys 源碼的第三方固件，OpenWrt 和 DD-WRT 就是其中的兩個(gè)，而 LEDE 是基于 OpenWrt 的

45、一款嵌入式 Linux 發(fā)行版。它們應(yīng)用的載體通常是路由器，其中，也不能排除某些愛好者將其移植到其他嵌入式設(shè)備（如網(wǎng)絡(luò)攝像頭、機(jī)器人等）上面。觀點(diǎn)21： 運(yùn)行“OpenWrt/DD-WRT/LEDE”的設(shè)備中，至少有13.0% 沒有修改默認(rèn)配置，做端口映射的現(xiàn)象也比較常見。圖 3.5 和圖 3.6 對(duì) OpenWrt 系列的端口和上層協(xié)議數(shù)據(jù)進(jìn)行了簡(jiǎn)單的統(tǒng)計(jì)：21國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析圖 3.5 OpenWrt 系列端口統(tǒng)計(jì)圖 3.6 OpenWrt 系列協(xié)議統(tǒng)計(jì)在 7150 臺(tái)主機(jī)中，HTTP、SSH、FTP 和 Telnet 服務(wù)開啟的數(shù)量較多。HTTP 協(xié)議的數(shù)量達(dá)到了 7924

46、個(gè)， 是主機(jī)數(shù)量的 1.108 倍，SSH、FTP 數(shù)據(jù)也都超過了 1000。如果以端口數(shù)據(jù)統(tǒng)計(jì)，開啟 21 端口的主機(jī)占到了16.5%，開啟 22 端口的主機(jī)占到了 13.2%，開啟 23 端口的主機(jī)占到了 15.6%。另外，一個(gè) IP 開啟了多個(gè)相同服務(wù)的現(xiàn)象在這類設(shè)備上很常見：圖 3.7 OpenWrt 系列部分 HTTP 服務(wù)信息統(tǒng)計(jì)圖 3.7 中，某個(gè)主機(jī)開啟了 6 個(gè) HTTP 服務(wù)，這 6 個(gè)服務(wù)的 title 信息出現(xiàn)了 4 種設(shè)備，由此可見，這一個(gè) IP背后至少有 5 臺(tái)設(shè)備，其中有兩臺(tái) VoIP Gateway。由此可知，簡(jiǎn)單掃描是無法確定設(shè)備類型的，因?yàn)?NAT 映射22

47、國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析會(huì)使得一個(gè) IP 具有多個(gè)設(shè)備的融合屬性。同時(shí)，發(fā)現(xiàn)它們的 banner 信息中有這樣的字符出現(xiàn)：DD-WRT (build xxxxx=infopage（xxxxx 表示 5 位數(shù)字，通常是 DD-WRT 固件編譯版本），也有這樣的字符出現(xiàn)：R6300 DD-WRT (build 。所以，以 build 為關(guān)鍵字進(jìn)行字符匹配檢索時(shí)，發(fā)現(xiàn)在 16583 個(gè)服務(wù)中，build 字段出現(xiàn)了 2148 次，約為 13.0%。Basic realm=DD-WRT 字符出現(xiàn)了 817 次，約為 4.9%。這說明了一部分人基于 DD-WRT 類固件或者操作系統(tǒng)開發(fā)時(shí)，并沒有改變

48、路由器的默認(rèn)配置。Raspbian/Raspberry PiRaspbian 是一個(gè)基于 Debian，為 Raspberry Pi（中文翻譯為“樹莓派”，下同）硬件優(yōu)化的免費(fèi)操作系統(tǒng)， 它提供超過 35,000 個(gè)軟件包。廣大智能硬件愛好者對(duì)這個(gè)系統(tǒng)再熟悉不過了。與傳統(tǒng)的嵌入式操作系統(tǒng)相比，Raspbian 只需要由愛好者通過諸如Win32DiskImager 這樣的軟件，把官方提供的 img 系統(tǒng)包直接燒入到 SD 卡， 即可運(yùn)行在樹莓派硬件之上。許多創(chuàng)客（Maker）都在基于樹莓派、Arduino 等開源硬件做一些有意義的事情。觀點(diǎn) 22： 運(yùn)行“Raspbian”的設(shè)備有一個(gè)很重要的特

49、征：67.9% 的設(shè)備上，SSH 服務(wù)是對(duì)外開放的。圖 3.8 Raspbian 協(xié)議統(tǒng)計(jì)圖 3.9 Raspbian 端口統(tǒng)計(jì)NTI 的數(shù)據(jù)中總共有 1390 個(gè)國內(nèi)主機(jī)。圖 3.8 和圖 3.9 統(tǒng)計(jì)了主機(jī)開啟的服務(wù)和端口：根據(jù)統(tǒng)計(jì)情況看，在 1390 個(gè)主機(jī)中，有 944 臺(tái)主機(jī)開放了 22 端口，占有率高達(dá) 67.9%。由于樹莓派是一個(gè)開源智能硬件，它的出現(xiàn)主要是方便開發(fā)者、智能硬件發(fā)燒友快速制作產(chǎn)品原型，所以大多數(shù)人并沒有修改Raspbian 默認(rèn)配置，保留了 SSH 服務(wù)?？梢哉f絕大部分這類設(shè)備（智能硬件樹莓派）SSH 服務(wù)是對(duì)外開放的。當(dāng)對(duì)端口分析時(shí)，發(fā)現(xiàn)暴露數(shù)量在 10-50

50、的端口大多數(shù)為 HTTP 服務(wù)，正好解答了圖 3.8 和圖 3.9 中 HTTP協(xié)議和 80、443 端口數(shù)量差距較大的問題。圖 3.10 中，8080、8000、81、8888、88、8081、82、8088、23國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析圖 3.10 暴露數(shù)量介于 10-50 的端口統(tǒng)計(jì)10000、8443、5000、83、10089、8090 這些經(jīng)常開啟 HTTP 服務(wù)的端口的個(gè)數(shù)為 307。加上 443 端口和 80 端口， 總數(shù)超過 800。uClinux一開始的 uClinux 是 Linux 2.0 內(nèi)核的衍生物，用于沒有內(nèi)存管理單元（MMU）的微控制器，而且 Linux 微

51、控制器項(xiàng)目在處理器架構(gòu)的品牌識(shí)別和覆蓋方面都有所增長。今天的 uClinux 作為操作系統(tǒng)包括了 2.0、2.4 和 2.6 的 Linux 內(nèi)核版本，以及用戶應(yīng)用程序，庫和工具鏈的集合。uClinux 是嵌入式 Linux 領(lǐng)域非常重要的分支，已應(yīng)用于路由器、機(jī)頂盒、PDA 等領(lǐng)域。觀點(diǎn) 23： 98.4% 運(yùn)行“uClinux”的設(shè)備都會(huì)開啟 SSDP 服務(wù)。圖 3.11 uClinux 協(xié)議統(tǒng)計(jì)在 NTI 中搜索到 18646 個(gè)主機(jī)。由于數(shù)量較大，直接統(tǒng)計(jì)了協(xié)議和端口信息。24國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析圖 3.12 uClinux 端口統(tǒng)計(jì)由于端口和協(xié)議種類較多，圖 3.11 和圖

52、3.12 中只顯示了數(shù)量大于或等于 300 的主機(jī)，縱向看，協(xié)議和對(duì)應(yīng)端口號(hào)從數(shù)量關(guān)系上基本對(duì)應(yīng)，如 SSDP 協(xié)議的 1900 端口號(hào)上傳輸數(shù)據(jù)，兩者數(shù)量差別不大。橫向看，特征就凸顯出來了，18646 個(gè)主機(jī)中有 18348 個(gè)主機(jī)開啟了 1900 端口，約占主機(jī)總數(shù)的 98.4%，幾乎全部的 SSDP 服務(wù)都在 1900 端口上，而且在 banner 信息中，Server: uClinux/0 UPnP/1.0 MiniUPnPd/1.3 出現(xiàn)了 18001 次。因此，可以猜測(cè)，這類設(shè)備往往會(huì)是路由器類設(shè)備，通過 UPnP 技術(shù)實(shí)現(xiàn)局域網(wǎng)內(nèi)多臺(tái)設(shè)備和服務(wù)的遠(yuǎn)程訪問。VxWorks/ Win

53、dRiverVxWorks 操作系統(tǒng)是美國 WindRiver 公司于 1983 年設(shè)計(jì)開發(fā)的一種嵌入式實(shí)時(shí)操作系統(tǒng)（RTOS），作為業(yè)界公認(rèn)的具有高實(shí)時(shí)性內(nèi)核操作系統(tǒng)，它的應(yīng)用領(lǐng)域甚廣，如交換機(jī)和路由器這些處理大量流量的設(shè)備，航天領(lǐng)域各種精密控制設(shè)備等。觀點(diǎn) 24： 運(yùn)行“VxWorks”的設(shè)備對(duì) HTTP、SSH 和 Telnet 開放較多，平均每個(gè)主機(jī)開啟了 1.08 個(gè)端口提供 HTTP 服務(wù)，21 端口和 22 端口占所有主機(jī)數(shù)量的 67.5% 和 66.9%。圖 3.13 VxWorks 端口統(tǒng)計(jì)由于 VxWorks 專用性較強(qiáng)，所以其指紋特征較為可信。NTI 中有 17368 個(gè)

54、主機(jī)，其端口和上層協(xié)議分布如圖 3.13 和圖 3.14 所示：25國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析HTTPTELNETFTPunknown SNMP PORTMAP RLOGIN圖 3.14 VxWorks 協(xié)議統(tǒng)計(jì)從端口分布上看，23 端口和 21 端口數(shù)量非常接近，占到了約全部主機(jī)的 67%。其他的端口中，HTTP 協(xié)議占了大部分。從協(xié)議統(tǒng)計(jì)的信息中可以看出，HTTP 服務(wù)的數(shù)量達(dá)到了 18736 個(gè)，是全部主機(jī)數(shù)量的 1.079 倍。所以，在 VxWorks 這類設(shè)備上，平均至少會(huì)開啟一個(gè) HTTP 服務(wù)。FTP 和 Telnet 服務(wù)的數(shù)量和對(duì)應(yīng)的端口號(hào)（21、22 端口）信息差距不大，

55、從結(jié)果上看，F(xiàn)TP 和 21 端口的數(shù)量是一樣的，Telnet 服務(wù)有一部分被映射到了其他的端口。另外，在 VxWorks 的 17368 主機(jī)中，有 9716 個(gè)主機(jī)的 banner 信息含有 220 VxWorks (VxWorks5.5.1) FTP server ready。在 4758 個(gè)主機(jī)中出現(xiàn)了 VxWorks SNMPv1/v2c AgentVxWorks SNMPv1/v2c Agent 或 VxWorks SNMPv1/v2c Agent 的 banner 信息。物聯(lián)網(wǎng)操作系統(tǒng)分析小結(jié)到此為止，我們分析了 Nucleus、OpenWrt、Raspbian、uClinux、

56、VxWorks 這幾種比較常見的操作系統(tǒng)。主要針對(duì)設(shè)備暴露的端口、應(yīng)用層協(xié)議?？梢哉f明：運(yùn)行以上 5 個(gè)操作系統(tǒng)的設(shè)備會(huì)暴露一些特性，這些特性會(huì)出現(xiàn)在服務(wù)的 banner 信息中。例如 VxWorks 的“220 VxWorks (VxWorks5.5.1) FTP server ready”、uClinux 的“Server: uClinux/0 UPnP/1.0 MiniUPnPd/1.3”等。有些設(shè)備未經(jīng)更改默認(rèn)配置，直接部署到了互聯(lián)網(wǎng)上。例如：DD-WRT 固件中 HTTP 協(xié)議的 title 字段中包含“DD-WRT (build xxxxx=infopage”。某些 IP（設(shè)備）背

57、后隱藏著很多內(nèi)網(wǎng) IP（設(shè)備）。往往有多個(gè)設(shè)備通過 UPnP 掛接到路由器上，表現(xiàn)為一個(gè)IP 的不同服務(wù)中會(huì)有多個(gè)設(shè)備的標(biāo)識(shí)出現(xiàn)，因?yàn)?NAT 映射會(huì)使得一個(gè) IP 具有多個(gè)設(shè)備的融合屬性。其他的操作系統(tǒng)（如 Brillo、TinyOS、LiteOS、Linino OS、Ostro、FreeRTOS、Contiki、MICO、Zephyr 等） 因?yàn)樵诰W(wǎng)絡(luò)空間搜索引擎中暴露數(shù)目較少，本文不在對(duì)其進(jìn)行深入分析。26國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析四. 總結(jié)借助于 NTI、Shodan 和 ZoomEye 的掃描數(shù)據(jù)，我們對(duì)位于中國的物聯(lián)網(wǎng)資產(chǎn)進(jìn)行了分析。分析維度分為兩類，一類著眼于設(shè)備，關(guān)注于不同種

58、類的設(shè)備在互聯(lián)網(wǎng)的分布情況；一類著眼于物聯(lián)網(wǎng)操作系統(tǒng)，關(guān)注于都有哪些操作系統(tǒng)暴露在互聯(lián)網(wǎng)上。由于精力有限，很難保證涵蓋到所有種類，對(duì)于所包含的類別，也很難保證數(shù)據(jù)百分之百的準(zhǔn)確性。但在分析過程中，我們通過對(duì)于三大搜索引擎的數(shù)據(jù)對(duì)比以及分析，盡可能確保了數(shù)據(jù)的全面性和準(zhǔn)確性。另外，我們的目的是通過展示物聯(lián)網(wǎng)設(shè)備在互聯(lián)網(wǎng)的暴露情況來揭示物聯(lián)網(wǎng)安全防護(hù)的必要性和緊迫性。從這個(gè)角度來講， 少量遺漏或噪聲數(shù)據(jù)并不影響文章的觀點(diǎn)。本次我們主要對(duì)物聯(lián)網(wǎng)設(shè)備中的視頻監(jiān)控設(shè)備、路由器和打印機(jī)進(jìn)行分析，未來我們將會(huì)分析更多設(shè)備的暴露情況，并對(duì)本文中的數(shù)據(jù)做必要更新。結(jié)合我們的分析，下面分別從用戶角度和廠商角度給出一些防護(hù)建議。用戶角度：（1）修改初始口令以及弱口令，加固用戶名和密碼的安全性；（2）關(guān)閉不用的端口，如 FTP（21 端口）、SSH（22 端口）、Telnet（23 端口）等；（3）及時(shí)升級(jí)設(shè)備固件。廠商角度：（1）對(duì)于設(shè)備的首次使