网络摄像头与DNS三部曲之一:《雾——DDNS》
目前很多家庭使用PPPOE拨号方式上网,每次上网获得的IP都是随机变换的,但是家里的网络监控、智能设备需要通过网络访问,每次使用前都需要先知道IP,这是非常麻烦的。
DDNS(DynamicDomainNameServer,动态域名服务)是将用户的动态IP地址映射到一个固定的域名解析服务上,用户每次连接网络的时候客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序,服务器程序负责提供DNS服务并实现动态域名解析。也就是说DDNS捕获用户每次变化的IP地址,然后将其与域名相对应,这样其他上网用户就可以通过域名来进行交流。而最终客户所要记忆的全部,就是记住动态域名商给予的域名即可,而不用去管他们是如何实现的。
动态域名服务的对象是指IP是动态的,是变动的,随机的。普通的DNS服务都是基于静态IP的,有可能是一对多或多对多,IP都是固定的一个或多个。DDNS的注册过程并不像DNS解析一样有标准的规定,而是由各DDNS服务提供商自己制定私有协议,所以若要使用特定DDNS服务商的DDNS服务,客户端就必须支持对应的私有协议。注册客户端可以是一台PC,在该PC上运行DDNS服务商提供的客户端软件,也可以是企业出口路由器,或者用户服务器直接集成DDNS服务商的客户端。这些DDNS客户端不能断电,否则无法及时地将公网IP地址变动情况上报给DDNS服务器。目前,使用较多的国内DDNS服务商有花生壳oray.com和pubyun.com,国外的有no-ip.com和dyndns.com。
免费的通用DDNS服务稳定性差,经常出现故障及掉线,严重影响客户对远程监控的体验,而相对稳定的收费DDNS服务每年要收取一定的费用,让客户难以接受,于是部分安防监控厂商搭建了远程监控DDNS服务器,为自家的安防监控设备做DDNS服务。与互联网的DDNS服务相比,安防行业DDNS服务控制力度更加细致,可以精确到服务端口号,当然此服务只适合厂商自己的设备,无法适用于所有通用设备。目前安防行业海康威视、大华、宇视等均推出了自己的DDNS服务器,我们以海康威视的DDNS配置为例进行介绍。
网络摄像机DDNS一般无法在本地直接配置,可以通过IE远程配置实现,IE输入设备当前IP地址登录设备,登录设备后进入【配置】界面,【高级配置】→【网络】→【DDNS】中查看DDNS参数。在配置之前设备必须连入互联网,否则将无法成功完成相关配置,成功接入网络之后,网络摄像机会自动启用DDNS服务,并且注册一个和其序列号一样的域名。
按以上步骤配置好,设备就可以注册到海康威视的DDNS服务器,在IE上可以通过“http://www.hik-online.com/自定义域名”来访问设备,例如设置为“videolive365”,则IE上输入“http://www.hik-online.com/videolive365”即可访问该设备。不过该公司近日宣布计划逐步停止DDNS服务器的部分服务,逐步构建以互联网视频应用和物联传感应用为核心的云服务平台――萤石云平台来替代DDNS,笔者认为萤石云平台提供的服务将更加全面、安全、稳定。
在使用DDNS服务的过程中我们要特别注意,国内个别摄像头厂商DDNS协议存在安全漏洞,攻击者利用漏洞可随意更改、删除服务器上摄像头的DNS记录,致使用户在使用域名进行摄像头访问时,进行钓鱼网站攻击。我们需要对网络摄像头设备定期进行升级,同时通过修改设备的默认密码、弱密码等手段,来保证设备的DDNS请求不可伪造。
网络摄像头与DNS三部曲之二:《雨——DDoS》
DDoS(DistributedDenialofService,分布式拒绝服务)是指攻击借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动攻击,从而成倍地提高拒绝服务攻击的威力,它本身与DNS没有关系,但是它的攻击目标是DNS的话麻烦就大了。2016年10月22日凌晨,美国域名服务器管理服务供应商Dyn(故事一曾提及此公司)称其公司遭遇了DDoS攻击,包括Twitter、Tumblr、Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal和Yelp等诸多网站无一幸免。DDoS攻击支持dns、udp、vse、syn、ack、http等洪水攻击方式,黑客攻击了Dyn管理的DNS服务器,从而导致DNS服务器瘫痪,无法解析各大网站的IP地址,就这样用户们不管访问那个网站都找不到IP地址,这就造成了美国近半个国家的网络大瘫痪。
事后国内安防监控摄像头厂商雄迈科技表示,在此次大规模网络攻击中,其产品无意中成为黑客“帮凶”,产品中默认密码强度不高等有关的安全缺陷,是引发此次美国大规模互联网DDoS攻击的部分原因。被称作Mirai的物联网僵尸网络病毒一直在利用雄迈产品中的缺陷,在其中注入恶意代码,并利用它们发动大规模分布式拒绝服务攻击。这是一款基于Linux的ELF类型木马,主要针对物联网设备,其中包含但不限于网络摄像头、路由器等设备。它可以高效扫描物联网系统设备,感染采用出厂密码设置或弱密码加密的脆弱物联网设备。被病毒感染后,该设备成为僵尸网络机器人,并可在黑客命令下发动高强度僵尸网络攻击。
物联网时代分布在全世界各地数量宠大的网络摄像头,普遍存在各种安全问题,主要表现在弱口令、系统后门和远程代码可执行漏洞三个方面:
(1)大量部分网络摄像头及视频监控系统设备的登录密码使用默认密码,这些默认密码大部分是简单的弱口令,甚至一些设备就没有设置缺省密码,登录不需要任何的验证,就可直接看到监控视频,例如用户名admin,密码设置为123456。另外很多摄像头设备生产商使用通用固件,导致这些初始密码在不同品牌或者同品牌不同类型设备上是共用的,互联网上很容易查到这些设备的初始密码。
(2)部分网络摄像头及视频监控系统设备存在后门,可以进入设备直接获取系统的shell权限,执行shell命令来获取root权限,这些设备的网络世界大门朝你打开。
(3)部分网络摄像头及视频监控系统设备存在一些系统安全的漏洞,在安防行业,除了部分一流厂商能自主研发系统平台外,大多数企业都在这些平台上进行微创新或者抄袭,这就导致了一个问题:当主流平台产生了漏洞,业界内监控系统就基本上全是漏洞了,所以这些设备一旦接入网络,就给黑客入侵提供了机会。绿盟科技曾曝光某款网络摄像头存在远程代码可执行漏洞,该漏洞最后涉及到多达70多个不同品牌的摄像头,因为这些厂家都使用了同一个公司的产品进行贴牌生产。这些设备的HTTP头部Server带均有“CrossWebServer”特征,利用该漏洞可获大量含有此漏洞设备的shell权限。
网络摄像头与DNS三部曲之三:《电——DNS劫持》
DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能反应或访问的是假网址。DNS被劫持后的表现有很多,例如:打开一个正常的网站电脑右下角会莫名的弹窗一些小广告,打开一个下载链接下载的并不是所需要的东西或者浏览器输入一个网址后回车网页跳转到其他网址的页面。
可以借助软媒DNS助手软件,检测到网络配置中DNS服务器是否存在劫持行为(可能有部分DNS服务器地址还未收录到数据库中)。
网络摄像头在配置远程访问时,必须要配置DNS的选项,否则就无法进行DDNS解析:
DNS劫持是网络十分常见和凶猛的一种攻击手段,且不轻易被人察觉,曾导致巴西最大银行巴西银行近1%客户受到攻击而导致账户被盗,黑客们利用缺陷对用户的DNS进行篡改,成功后可躲过安全软件检测,让用户被钓鱼网站诈骗。为预防摄像头DNS查询被劫持,在配置DNS时尽量选择未被污染或是较安全的DNS服务器。
国内公共DNS服务器:
DNSPodDNS+(119.29.29.29,182.254.116.116)
114DNS服务器(114.114.114.114,114.114.115.115)
阿里DNS(223.5.5.5,223.6.6.6)
国外公共DNS服务器:
GooglePublicDNS(8.8.8.8,8.8.4.4)
NortonDNS(198.153.192.1,198.153.194.1)
OpenDNS(208.67.222.222,208.67.220.220)
建议使用运营商提供的DNS服务器,如果检测被污染或是有问题,推荐使用DNSPodDNS+、114DNS、阿里DNS,其节点都遍布全国各省份和地区,电信、联通、移动、教育网都有节点分布,延迟率较低。不推荐使用国外的DNS服务器,如果要访问国外网站以及国外有服务器等情况,可以考虑使用谷歌DNS,它在国内无节点,仅在香港有节点。
在互联网早期,DNS的设计受到当时条件限制,因而存在许多设计缺陷问题,现有的DNS系统暴露出了越来越多的问题,针对DNS的攻击愈演愈烈,运营商的LocalDNS存在着大量的DNS劫持,NAT导致解析结果跨网、稳定性不高等问题,在物联网时代我们得高度重视DNS的安全问题,才能让物联网发展无后顾之忧。