本研究报告为工业物联网安全态势分析报告的第一期,由灯塔实验室原创,转载请注明出处。 点击下载本报告的PDF版本 【PDF下载】
国内工业物联网发展迅速,无线数据采集与传输是工业物联网数据通信中重要的采集方式和组网方式,DTU在无线数据采集所涉及到的供热、燃气、气象等市政重点工业领域应用及其广泛。最近灯塔实验室对国内暴露在互联网的DTU数据中心(DSC)进行了全网扫描,并对已发现的DTU中心站进行了深入的行业应用和用户所属单位分析。
一、关键词定义
DTU:数据终端单元(Data Transfer unit)。
DSC:数据服务中心(Data Service Center),即DTU中心站,DTU通过无线GPRS/CDMA网络将数据上传至中心站监听的某个端口。
DDP:DTU和数据服务中心(DSC)之间的通讯协议。
二、应用场景
在工业现场中,存在许多现场是有线无法到达的场景,DTU无线数据终端基于GPRS/CDMA数据通信网络,可专门用于将串口数据转换为IP数据或将IP数据转换为串口数据,并通过无线通信网络进行传输,目前广泛应用在电力、环保监测、车载、水利、金融、路灯监控、热力管网、煤矿、油田等行业。
三、DTU数据中心指纹特征分析
DTU与DSC中心站通信可使用TCP/UDP方式,DTU会根据配置主动连接DSC中心站IP和开放的数据服务端口进行数据上传。
通信端口
根据厂家和应用的不同,DSC开放的数据上传端口也不尽相同,我们根据厂商官方提供的一些解决方案和文档,搜集了一些知名厂商的默认端口,具体如下:
| 厂商 | 默认端口 |
| 宏电DTU | 5002 |
| 深证汉科泰 | 5003 |
| 厦门才茂通信科技 | 5001 |
| 济南有人物联网 | 5007 |
| 聚英电子 | 5004 |
| 拓普瑞GPRS DTU | 5000 |
| TLINK | 5006 |
| 厦门锐谷通信 | 8002 |
| 蓝斯通信 | 10000 |
| 鑫芯物联 | 2009 |
| 四信科技 | 5020 |
| 山东力创 | 3030 |
协议介绍
DDP协议(DTU DSC Protocol)是DTU与DSC之间的通讯协议,DDP是一种厂商定义的私有公开性质的通信协议,用于数据的传输和DTU管理,对于DDP协议厂商一般会提供协议文档和SDK开发包,用户可以通过组态软件或开发包,将数据中心集成到自己的平台软件中,国内的组态王、三维力控、昆仑通态、紫金桥等著名组态软件公司也均可以对接DTU实现数据采集。
以DTU市场占有量较高的宏电公司的DTU为例,宏电DDP协议官方提供了通信协议文档和数据中心SDK样例可供用户进行二次开发和集成。
宏电DDP协议数据帧格式
| 起始标志 | 包类型 | 包长度 | DTU 身份识别 | 数据 | 结束标志 |
| (1B) | (1B) | (2B) | (11B) | (0~1024B) | (1B) |
| 0x7B | 0x7B |
宏电DDP协议DTU请求功能类型
| 包类型 | 包类型描述 | 传输类型 |
| 0x01 | 终端请求注册 | GPRS |
| 0x02 | 终端请求注销 | GPRS |
| 0x03 | 查询某一DTU IP 地址 | GPRS |
| 0x04 | 无效命令或协议包(一般在查询或设置指令时使用) | GPRS |
| 0x05 | DSC接收到用户数据的应答包 | GPRS |
| 0x09 | DSC发送给 的用户数据包 | GPRS |
| 0x0B | DTU查询参数的应答包 | GPRS |
| 0x0D | DTU设置参数的应答包 | GPRS/SMS |
| 0x0E | DTU提取日志的应答包 | GPRS |
| 0x0F | 远程升级的回应包 | GPRS/SMS |
指纹构造
通过构造符合DDP协议的DTU“注册”请求发送到DSC中心站,可以作为识别中心站的一种手段,如果目标应用的端口运行有中心站服务将会返回符合DDP协议标准的数据包。
四、安全隐患分析
DTU与DSC中心站之间通信使用的DDP协议构造简单,通信时一般使用DTU中插入的SIM卡的11位手机号码作为“身份识别”的手段,DTU主动链接DSC中心站开放的TCP/UDP端口上传数据,并且以明文方式传输,从目前DTU无线数据远传的通信模型上来看,最易受攻击的攻击面主要在DSC中心站上。
根据我们的本地分析与测试,暴露在互联网的DTU中心站易受到如下攻击:
终端伪造风险
根据DTU与DSC中心站的通信协议,攻击者可以构造任意手机号码(11个字节的DTU身份识别标识)的“注册”请求,如果用户的应用逻辑上没有判断该手机号码是否可信,该设备将可以被注册到DSC中心站。
数据伪造风险
攻击者可以构造任意手机号码(11个字节的DTU身份识别标识)的“注册”请求,并在同一时间或一段时间内发送大量“注册”登录请求到DSC中心站,对于未做身份标识验证和判断的DSC中心站应用将会消耗大量系统资源,甚至导致中心站的采集应用崩溃,所有DTU设备无法链接至DSC中心站,使数据采集中断。
终端枚举风险
DTU与DSC中心站之间使用11位手机号码作为“身份识别”,攻击者如果知道DTU终端的11位手机号码,即可以伪造对应的终端进行数据上传或将终端请求注销,如果确定了该应用场景或准确的地市区,针对终端号码的枚举或爆破将会缩小到较小的尝试范围。
五、DTU数据中心联网分布
鉴于DSC中心站各家应用开放端口不一致的情况,我们实验室对国内3亿IP超过160个常用于发布DDP服务的端口进行了识别扫描,其中发现运行有DDP协议服务的主机超过了8800个,具体分布如下:
| 广东 | 1998 |
| 香港 | 1052 |
| 浙江 | 710 |
| 上海 | 676 |
| 北京 | 631 |
| 广西 | 556 |
| 江苏 | 500 |
| 山东 | 427 |
| 福建 | 251 |
| 河北 | 212 |
| 天津 | 208 |
| 四川 | 171 |
| 湖北 | 164 |
| 辽宁 | 144 |
| 安徽 | 125 |
| 河南 | 119 |
| 云南 | 99 |
| 新疆 | 88 |
| 中国 | 84 |
| 甘肃 | 81 |
| 湖南 | 80 |
| 陕西 | 73 |
| 黑龙江 | 71 |
| 吉林 | 66 |
| 江西 | 58 |
| 山西 | 57 |
| 重庆 | 48 |
| 内蒙古 | 41 |
| 贵州 | 41 |
| 青海 | 22 |
| 西藏 | 17 |
| 海南 | 17 |
| 宁夏 | 9 |
| 总计 | 8896 |
发布DDP服务最多的前30个端口:
| 排行 | 端口 | 暴露数量 |
| 1 | 5060 | 1302 |
| 2 | 9999 | 1248 |
| 3 | 5002 | 802 |
| 4 | 60000 | 575 |
| 5 | 55555 | 547 |
| 6 | 50123 | 537 |
| 7 | 51960 | 418 |
| 8 | 65000 | 392 |
| 9 | 61697 | 385 |
| 10 | 2000 | 296 |
| 11 | 3000 | 234 |
| 12 | 8000 | 204 |
| 13 | 6000 | 108 |
| 14 | 1025 | 92 |
| 15 | 5001 | 88 |
| 16 | 6004 | 87 |
| 17 | 33333 | 81 |
| 18 | 10001 | 76 |
| 19 | 5000 | 75 |
| 20 | 60001 | 69 |
| 21 | 5007 | 67 |
| 22 | 5003 | 61 |
| 23 | 5005 | 61 |
| 24 | 8001 | 60 |
| 25 | 4000 | 56 |
| 26 | 6002 | 45 |
| 27 | 7001 | 41 |
| 28 | 7000 | 40 |
| 29 | 5004 | 39 |
| 30 | 8888 | 32 |
六、联网企业与应用分析
七、解决方案与应对策略
在本次针对DSC数据中心站的安全分析的过程中,像终端使用GPRS/CDMA直接经过互联网与中心站的固定/动态IP进行通信,这种快捷、廉价的组网应用广泛,目前虽然没有出现专门针对此类系统公开的攻击事件,但根据我们的判断,对于DDP协议这种ICS协议暴露将缩短攻击者发现重要工业控制系统入口的时间,随着DDP服务的开放易导致该IP目标成为针对性的被攻击对象,我们建议使用此类组网的用户,尤其应该做好边界入口的安全防护、应用服务(Web、Telnet、SSH)的安全加固、主机安全配置。
灯塔实验室依据工信部《工业控制系统信息安全防护指南》以及相关国家标准,给出如下具体应对建议:
身份认证
我们建议在互联网开放DDP服务的用户,应检查除DDP服务以外,如Telnet、SSH、Web服务等服务配置的安全性,避免使用默认口令或弱口令,合理分类设置账户权限,以最小特权原则分配账户权限,对于关键系统和平台的访问采用多因素认证。
远程访问安全
我们推荐有条件的用户在中心与终端之间使用电信运营商提供的APN专网进行组网,DTU的SIM卡开通专用APN接入,使用APN专线后所有终端及数据中心分配的IP地址均为电信运营商的内网IP地址,通过APN专网终端与数据中心的数据通信无需通过公网进行传输,专网实现了端到端加密,避免了中心在互联网开放网络端口。
