专栏名称: 云技术实践

关注云计算，云技术，云运维，云存储，存储，分布式，OpenStack，SDN，Ceph，虚拟化，运维，分享在云计算/虚拟化/运维项目实施中的资讯、经验、技术，坚持干货。

超过8800个工业物联网云中心暴露于公网-DTU数据中心态势感知报告

云技术实践 · 公众号 · 架构 · 2017-06-06 11:32

正文

国内工业物联网发展迅速，无线数据采集与传输是工业物联网数据通信中重要的采集方式和组网方式，DTU在无线数据采集所涉及到的供热、燃气、气象等市政重点工业领域应用及其广泛。最近灯塔实验室对国内暴露在互联网的DTU数据中心（DSC）进行了全网扫描，并对已发现的DTU中心站进行了深入的行业应用和用户所属单位分析。

一、关键词定义

DTU：数据终端单元（Data Transfer unit）。

DSC：数据服务中心（Data Service Center），即DTU中心站，DTU通过无线GPRS/CDMA网络将数据上传至中心站监听的某个端口。

DDP：DTU和数据服务中心（DSC）之间的通讯协议。

二、应用场景

在工业现场中，存在许多现场是有线无法到达的场景，DTU无线数据终端基于GPRS/CDMA数据通信网络，可专门用于将串口数据转换为IP数据或将IP数据转换为串口数据，并通过无线通信网络进行传输，目前广泛应用在电力、环保监测、车载、水利、金融、路灯监控、热力管网、煤矿、油田等行业。

三、DTU数据中心指纹特征分析

DTU与DSC中心站通信可使用TCP/UDP方式，DTU会根据配置主动连接DSC中心站IP和开放的数据服务端口进行数据上传。

通信端口

根据厂家和应用的不同，DSC开放的数据上传端口也不尽相同，我们根据厂商官方提供的一些解决方案和文档，搜集了一些知名厂商的默认端口，具体如下：

厂商	默认端口
宏电DTU	5002
深证汉科泰	5003
厦门才茂通信科技	5001
济南有人物联网	5007
聚英电子	5004
拓普瑞GPRS DTU	5000
TLINK	5006
厦门锐谷通信	8002
蓝斯通信	10000
鑫芯物联	2009
四信科技	5020
山东力创	3030

协议介绍

DDP协议（DTU DSC Protocol）是DTU与DSC之间的通讯协议，DDP是一种厂商定义的私有公开性质的通信协议，用于数据的传输和DTU管理，对于DDP协议厂商一般会提供协议文档和SDK开发包，用户可以通过组态软件或开发包，将数据中心集成到自己的平台软件中，国内的组态王、三维力控、昆仑通态、紫金桥等著名组态软件公司也均可以对接DTU实现数据采集。

以DTU市场占有量较高的宏电公司的DTU为例，宏电DDP协议官方提供了通信协议文档和数据中心SDK样例可供用户进行二次开发和集成。

宏电DDP协议数据帧格式

起始标志	包类型	包长度	DTU 身份识别	数据	结束标志
（1B）	（1B）	（2B）	（11B）	（0~1024B）	（1B）
0x7B					0x7B

宏电DDP协议DTU请求功能类型

包类型	包类型描述	传输类型
0x01	终端请求注册	GPRS
0x02	终端请求注销	GPRS
0x03	查询某一DTU IP 地址	GPRS
0x04	无效命令或协议包（一般在查询或设置指令时使用）	GPRS
0x05	DSC接收到用户数据的应答包	GPRS
0x09	DSC发送给的用户数据包	GPRS
0x0B	DTU查询参数的应答包	GPRS
0x0D	DTU设置参数的应答包	GPRS/SMS
0x0E	DTU提取日志的应答包	GPRS
0x0F	远程升级的回应包	GPRS/SMS

指纹构造

通过构造符合DDP协议的DTU“注册”请求发送到DSC中心站，可以作为识别中心站的一种手段，如果目标应用的端口运行有中心站服务将会返回符合DDP协议标准的数据包。

四、安全隐患分析

DTU与DSC中心站之间通信使用的DDP协议构造简单，通信时一般使用DTU中插入的SIM卡的11位手机号码作为“身份识别”的手段，DTU主动链接DSC中心站开放的TCP/UDP端口上传数据，并且以明文方式传输，从目前DTU无线数据远传的通信模型上来看，最易受攻击的攻击面主要在DSC中心站上。

根据我们的本地分析与测试，暴露在互联网的DTU中心站易受到如下攻击：

终端伪造风险

根据DTU与DSC中心站的通信协议，攻击者可以构造任意手机号码（11个字节的DTU身份识别标识）的“注册”请求，如果用户的应用逻辑上没有判断该手机号码是否可信，该设备将可以被注册到DSC中心站。

数据伪造风险

攻击者可以构造任意手机号码（11个字节的DTU身份识别标识）的“注册”请求，并在同一时间或一段时间内发送大量“注册”登录请求到DSC中心站，对于未做身份标识验证和判断的DSC中心站应用将会消耗大量系统资源，甚至导致中心站的采集应用崩溃，所有DTU设备无法链接至DSC中心站，使数据采集中断。

终端枚举风险

DTU与DSC中心站之间使用11位手机号码作为“身份识别”，攻击者如果知道DTU终端的11位手机号码，即可以伪造对应的终端进行数据上传或将终端请求注销，如果确定了该应用场景或准确的地市区，针对终端号码的枚举或爆破将会缩小到较小的尝试范围。

五、DTU数据中心联网分布

鉴于DSC中心站各家应用开放端口不一致的情况，我们实验室对国内3亿IP超过160个常用于发布DDP服务的端口进行了识别扫描，其中发现运行有DDP协议服务的主机超过了8800个，具体分布如下：

广东	1998
香港	1052
浙江	710
上海	676
北京	631
广西	556
江苏	500
山东	427
福建	251
河北	212
天津	208
四川	171
湖北	164
辽宁	144
安徽	125
河南	119
云南	99
新疆	88
中国	84
甘肃	81
湖南	80
陕西	73
黑龙江	71
吉林	66
江西	58
山西	57
重庆	48
内蒙古	41
贵州	41
青海	22
西藏	17
海南	17
宁夏	9
总计	8896

发布DDP服务最多的前30个端口：

排行	端口	暴露数量
1	5060	1302
2	9999	1248
3	5002	802
4	60000	575
5	55555	547
6	50123	537
7	51960	418
8	65000	392
9	61697	385
10	2000	296
11	3000	234
12	8000	204
13	6000	108
14	1025	92
15	5001	88
16	6004	87
17	33333	81
18	10001	76
19	5000	75
20	60001	69
21	5007	67
22	5003	61
23	5005	61
24	8001	60
25	4000	56
26	6002	45
27	7001	41
28	7000	40
29	5004	39
30	8888	32

六、联网企业与应用分析

根据对扫描到的数据，我们实验室通过IP开放服务、IP位置，分析验证了运行公网的DSC中心站所属的企业和单位，具体行业分布如下，我们目前已经准确验证了超过300家公司和单位的DDP服务暴露情况。

七、解决方案与应对策略

在本次针对DSC数据中心站的安全分析的过程中，像终端使用GPRS/CDMA直接经过互联网与中心站的固定/动态IP进行通信，这种快捷、廉价的组网应用广泛，目前虽然没有出现专门针对此类系统公开的攻击事件，但根据我们的判断，对于DDP协议这种ICS协议暴露将缩短攻击者发现重要工业控制系统入口的时间，随着DDP服务的开放易导致该IP目标成为针对性的被攻击对象，我们建议使用此类组网的用户，尤其应该做好边界入口的安全防护、应用服务（Web、Telnet、SSH）的安全加固、主机安全配置。

灯塔实验室依据工信部《工业控制系统信息安全防护指南》以及相关国家标准，给出如下具体应对建议：

身份认证

我们建议在互联网开放DDP服务的用户，应检查除DDP服务以外，如Telnet、SSH、Web服务等服务配置的安全性，避免使用默认口令或弱口令，合理分类设置账户权限，以最小特权原则分配账户权限，对于关键系统和平台的访问采用多因素认证。

远程访问安全

我们推荐有条件的用户在中心与终端之间使用电信运营商提供的APN专网进行组网，DTU的SIM卡开通专用APN接入，使用APN专线后所有终端及数据中心分配的IP地址均为电信运营商的内网IP地址，通过APN专网终端与数据中心的数据通信无需通过公网进行传输，专网实现了端到端加密，避免了中心在互联网开放网络端口。

本文转载自灯塔实验室博客

http://plcscan.org/blog/