今日頭條
官方微信
官方抖音
資訊頻道國內工業物聯網發展迅速,無線數據采集與傳輸是工業物聯網數據通信中重要的采集方式和組網方式,DTU在無線數據采集所涉及到的供熱、燃氣、氣象等市政重點工業領域應用及其廣泛。最近燈塔實驗室對國內暴露在互聯網的DTU數據中心(DSC)進行了全網掃描,并對已發現的DTU中心站進行了深入的行業應用和用戶所屬單位分析。
一、關鍵詞定義
DTU:數據終端單元(Data Transfer unit)。
DSC:數據服務中心(Data Service Center),即DTU中心站,DTU通過無線GPRS/CDMA網絡將數據上傳至中心站監聽的某個端口。
DDP:DTU和數據服務中心(DSC)之間的通訊協議。
二、應用場景
在工業現場中,存在許多現場是有線無法到達的場景,DTU無線數據終端基于GPRS/CDMA數據通信網絡,可專門用于將串口數據轉換為IP數據或將IP數據轉換為串口數據,并通過無線通信網絡進行傳輸,目前廣泛應用在電力、環保監測、車載、水利、金融、路燈監控、熱力管網、煤礦、油田等行業。
三、DTU數據中心指紋特征分析
DTU與DSC中心站通信可使用TCP/UDP方式,DTU會根據配置主動連接DSC中心站IP和開放的數據服務端口進行數據上傳。
通信端口
根據廠家和應用的不同,DSC開放的數據上傳端口也不盡相同,我們根據廠商官方提供的一些解決方案和文檔,搜集了一些知名廠商的默認端口,具體如下:
協議介紹
DDP協議(DTU DSC Protocol)是DTU與DSC之間的通訊協議,DDP是一種廠商定義的私有公開性質的通信協議,用于數據的傳輸和DTU管理,對于DDP協議廠商一般會提供協議文檔和SDK開發包,用戶可以通過組態軟件或開發包,將數據中心集成到自己的平臺軟件中,國內的組態王、三維力控、昆侖通態、紫金橋等著名組態軟件公司也均可以對接DTU實現數據采集。
以DTU市場占有量較高的宏電公司的DTU為例,宏電DDP協議官方提供了通信協議文檔和數據中心SDK樣例可供用戶進行二次開發和集成。
宏電DDP協議數據幀格式
起始標志 包類型 包長度 DTU 身份識別 數據 結束標志
(1B) (1B) (2B) (11B) (0~1024B) (1B)
0x7B 0x7B
宏電DDP協議DTU請求功能類型
指紋構造
通過構造符合DDP協議的DTU“注冊”請求發送到DSC中心站,可以作為識別中心站的一種手段,如果目標應用的端口運行有中心站服務將會返回符合DDP協議標準的數據包。
四、安全隱患分析
DTU與DSC中心站之間通信使用的DDP協議構造簡單,通信時一般使用DTU中插入的SIM卡的11位手機號碼作為“身份識別”的手段,DTU主動鏈接DSC中心站開放的TCP/UDP端口上傳數據,并且以明文方式傳輸,從目前DTU無線數據遠傳的通信模型上來看,最易受攻擊的攻擊面主要在DSC中心站上。
根據我們的本地分析與測試,暴露在互聯網的DTU中心站易受到如下攻擊:
終端偽造風險
根據DTU與DSC中心站的通信協議,攻擊者可以構造任意手機號碼(11個字節的DTU身份識別標識)的“注冊”請求,如果用戶的應用邏輯上沒有判斷該手機號碼是否可信,該設備將可以被注冊到DSC中心站。
數據偽造風險
攻擊者可以構造任意手機號碼(11個字節的DTU身份識別標識)的“注冊”請求,并在同一時間或一段時間內發送大量“注冊”登錄請求到DSC中心站,對于未做身份標識驗證和判斷的DSC中心站應用將會消耗大量系統資源,甚至導致中心站的采集應用崩潰,所有DTU設備無法鏈接至DSC中心站,使數據采集中斷。
終端枚舉風險
DTU與DSC中心站之間使用11位手機號碼作為“身份識別”,攻擊者如果知道DTU終端的11位手機號碼,即可以偽造對應的終端進行數據上傳或將終端請求注銷,如果確定了該應用場景或準確的地市區,針對終端號碼的枚舉或爆破將會縮小到較小的嘗試范圍。
五、DTU數據中心聯網分布
鑒于DSC中心站各家應用開放端口不一致的情況,我們實驗室對國內3億IP超過160個常用于發布DDP服務的端口進行了識別掃描,其中發現運行有DDP協議服務的主機超過了8800個,具體分布如下:
廣東 1998
香港 1052
浙江 710
上海 676
北京 631
廣西 556
江蘇 500
山東 427
福建 251
河北 212
天津 208
四川 171
湖北 164
遼寧 144
安徽 125
河南 119
云南 99
新疆 88
中國 84
甘肅 81
湖南 80
陜西 73
黑龍江 71
吉林 66
江西 58
山西 57
重慶 48
內蒙古 41
貴州 41
青海 22
西藏 17
海南 17
寧夏 9
總計 8896
發布DDP服務最多的前30個端口:
排行 端口 暴露數量
1 5060 1302
2 9999 1248
3 5002 802
4 60000 575
5 55555 547
6 50123 537
7 51960 418
8 65000 392
9 61697 385
10 2000 296
11 3000 234
12 8000 204
13 6000 108
14 1025 92
15 5001 88
16 6004 87
17 33333 81
18 10001 76
19 5000 75
20 60001 69
21 5007 67
22 5003 61
23 5005 61
24 8001 60
25 4000 56
26 6002 45
27 7001 41
28 7000 40
29 5004 39
30 8888 32
六、聯網企業與應用分析
根據對掃描到的數據,我們實驗室通過IP開放服務、IP位置,分析驗證了運行公網的DSC中心站所屬的企業和單位,具體行業分布如下,我們目前已經準確驗證了超過300家公司和單位的DDP服務暴露情況。
七、解決方案與應對策略
在本次針對DSC數據中心站的安全分析的過程中,像終端使用GPRS/CDMA直接經過互聯網與中心站的固定/動態IP進行通信,這種快捷、廉價的組網應用廣泛,目前雖然沒有出現專門針對此類系統公開的攻擊事件,但根據我們的判斷,對于DDP協議這種ICS協議暴露將縮短攻擊者發現重要工業控制系統入口的時間,隨著DDP服務的開放易導致該IP目標成為針對性的被攻擊對象,我們建議使用此類組網的用戶,尤其應該做好邊界入口的安全防護、應用服務(Web、Telnet、SSH)的安全加固、主機安全配置。
燈塔實驗室依據工信部《工業控制系統信息安全防護指南》以及相關國家標準,給出如下具體應對建議:
身份認證
我們建議在互聯網開放DDP服務的用戶,應檢查除DDP服務以外,如Telnet、SSH、Web服務等服務配置的安全性,避免使用默認口令或弱口令,合理分類設置賬戶權限,以最小特權原則分配賬戶權限,對于關鍵系統和平臺的訪問采用多因素認證。
遠程訪問安全
我們推薦有條件的用戶在中心與終端之間使用電信運營商提供的APN專網進行組網,DTU的SIM卡開通專用APN接入,使用APN專線后所有終端及數據中心分配的IP地址均為電信運營商的內網IP地址,通過APN專網終端與數據中心的數據通信無需通過公網進行傳輸,專網實現了端到端加密,避免了中心在互聯網開放網絡端口。
文章來源:燈塔實驗室
北京市公安局海淀分局備案號:11010802023656號