物聯(lián)網(wǎng)經(jīng)歷了從最初的概念化階段到熱炒階段，再到現(xiàn)如今的培育階段，其涉及的領(lǐng)域非常廣泛，相關(guān)技術(shù)更是數(shù)不勝數(shù)，工業(yè)物聯(lián)網(wǎng)、智能家居、車聯(lián)網(wǎng)、智慧城市、智能交通、智能安防等都是物聯(lián)網(wǎng)在垂直領(lǐng)域的熱門應(yīng)用。在經(jīng)歷了摸索與困頓之后，未來的物聯(lián)網(wǎng)行業(yè)注定不平凡，在過去我們的物理世界和信息世界（互聯(lián)網(wǎng)）是獨立發(fā)展的，現(xiàn)如今要將這兩者融合起來，這將是一個很大的跨越，將造福全人類。然而物聯(lián)網(wǎng)的安全問題卻始終是物聯(lián)網(wǎng)落地的最大障礙，本文主要討論的不是物聯(lián)網(wǎng)安全，而是從現(xiàn)有物聯(lián)網(wǎng)中數(shù)量眾多的網(wǎng)絡(luò)攝像頭出發(fā)，從互聯(lián)網(wǎng)最基礎(chǔ)的服務(wù)DNS談起，從側(cè)面來了解下物聯(lián)網(wǎng)時代網(wǎng)絡(luò)攝像頭的安全問題。

近幾年傳統(tǒng)的模擬監(jiān)控攝像頭被網(wǎng)絡(luò)攝像頭逐步替代，在加入物聯(lián)網(wǎng)特性之后，網(wǎng)絡(luò)攝像頭變得更加智能、方便、高效，也從專業(yè)領(lǐng)域走向消費市場，全球監(jiān)控攝像機市場在未來五年內(nèi)將保持穩(wěn)步增長，2013年全球監(jiān)控攝像機的出貨量約為8560萬臺，到2017年這一數(shù)據(jù)將上升到1.145億臺。

眾所周知，在網(wǎng)絡(luò)中唯一能夠用來標(biāo)識計算機身份和定位計算機位置的方式就是IP地址，但網(wǎng)絡(luò)中往往存在許多服務(wù)器，如E-mail服務(wù)器、Web服務(wù)器、FTP服務(wù)器等，記憶這些純數(shù)字的IP地址不僅枯燥無味，而且容易出錯。通過DNS（Domain Name System，域名系統(tǒng)）服務(wù)器，將這些IP地址與形象易記的域名一一對應(yīng)，使得網(wǎng)絡(luò)服務(wù)的訪問更加簡單，而且可以完美地實現(xiàn)與Internet的融合，對于網(wǎng)絡(luò)的推廣發(fā)布起到極其重要的作用，而且許多重要網(wǎng)絡(luò)服務(wù)（如E-mail服務(wù)）的實現(xiàn)，也需要借助于DNS服務(wù)，因此DNS服務(wù)可視為互聯(lián)網(wǎng)服務(wù)的基礎(chǔ)。

很多安防行業(yè)的從業(yè)人員看到這里笑了，我們的網(wǎng)絡(luò)攝像頭僅僅只是視頻瀏覽服務(wù)，不需要Web、E-mail、FTP等服務(wù)，難道也需要進行DNS服務(wù)的配置？雖然從技術(shù)的層面上直觀來看，很多環(huán)境下網(wǎng)絡(luò)攝像頭確實可以不需要DNS服務(wù)，但在物聯(lián)網(wǎng)時代人們對視頻遠程訪問的需求越來越高，已經(jīng)離不開這個最基礎(chǔ)的互聯(lián)網(wǎng)服務(wù)了。下面筆者從三個關(guān)鍵字入手講述網(wǎng)絡(luò)攝像頭和DNS之間的故事……

網(wǎng)絡(luò)攝像頭與DNS三部曲之一：《霧——DDNS》

目前很多家庭使用PPPOE撥號方式上網(wǎng)，每次上網(wǎng)獲得的IP都是隨機變換的，但是家里的網(wǎng)絡(luò)監(jiān)控、智能設(shè)備需要通過網(wǎng)絡(luò)訪問，每次使用前都需要先知道IP，這是非常麻煩的。

DDNS（Dynamic Domain Name Server，動態(tài)域名服務(wù)）是將用戶的動態(tài)IP地址映射到一個固定的域名解析服務(wù)上，用戶每次連接網(wǎng)絡(luò)的時候客戶端程序就會通過信息傳遞把該主機的動態(tài)IP地址傳送給位于服務(wù)商主機上的服務(wù)器程序，服務(wù)器程序負責(zé)提供DNS服務(wù)并實現(xiàn)動態(tài)域名解析。也就是說DDNS捕獲用戶每次變化的IP地址，然后將其與域名相對應(yīng)，這樣其他上網(wǎng)用戶就可以通過域名來進行交流。而最終客戶所要記憶的全部，就是記住動態(tài)域名商給予的域名即可，而不用去管他們是如何實現(xiàn)的，如圖1所示。

動態(tài)域名服務(wù)的對象是指IP是動態(tài)的，是變動的，隨機的。普通的DNS服務(wù)都是基于靜態(tài)IP的，有可能是一對多或多對多，IP都是固定的一個或多個。

DDNS的注冊過程并不像DNS解析一樣有標(biāo)準(zhǔn)的規(guī)定，而是由各DDNS服務(wù)提供商自己制定私有協(xié)議，所以若要使用特定DDNS服務(wù)商的DDNS服務(wù)，客戶端就必須支持對應(yīng)的私有協(xié)議。注冊客戶端可以是一臺PC，在該PC上運行DDNS服務(wù)商提供的客戶端軟件，也可以是企業(yè)出口路由器，或者用戶服務(wù)器直接集成DDNS服務(wù)商的客戶端。這些DDNS客戶端不能斷電，否則無法及時地將公網(wǎng)IP地址變動情況上報給DDNS服務(wù)器。目前，使用較多的國內(nèi)DDNS服務(wù)商有花生殼oray.com和pubyun.com，國外的有no-ip.com和dyndns.com。

免費的通用DDNS服務(wù)穩(wěn)定性差，經(jīng)常出現(xiàn)故障及掉線，嚴(yán)重影響客戶對遠程監(jiān)控的體驗，而相對穩(wěn)定的收費DDNS服務(wù)每年要收取一定的費用，讓客戶難以接受，于是部分安防監(jiān)控廠商搭建了遠程監(jiān)控DDNS服務(wù)器，為自家的安防監(jiān)控設(shè)備做DDNS服務(wù)。與互聯(lián)網(wǎng)的DDNS服務(wù)相比，安防行業(yè)DDNS服務(wù)控制力度更加細致，可以精確到服務(wù)端口號，當(dāng)然此服務(wù)只適合廠商自己的設(shè)備，無法適用于所有通用設(shè)備。目前安防行業(yè)海康威視、大華、宇視等均推出了自己的DDNS服務(wù)器，我們以海康威視的DDNS配置為例進行介紹。

網(wǎng)絡(luò)攝像機DDNS一般無法在本地直接配置，可以通過IE遠程配置實現(xiàn)，IE輸入設(shè)備當(dāng)前IP地址登錄設(shè)備，登錄設(shè)備后進入【配置】界面，【高級配置】→【網(wǎng)絡(luò)】→【DDNS】中查看DDNS參數(shù)。在配置之前設(shè)備必須連入互聯(lián)網(wǎng)，否則將無法成功完成相關(guān)配置，成功接入網(wǎng)絡(luò)之后，網(wǎng)絡(luò)攝像機會自動啟用DDNS服務(wù)，并且注冊一個和其序列號一樣的域名，如圖2所示。

按以上步驟配置好，設(shè)備就可以注冊到海康威視的DDNS服務(wù)器，在IE上可以通過“http://www.hik-online.com/自定義域名”來訪問設(shè)備，例如設(shè)置為“videolive365”，則IE上輸入“http://www.hik-online.com/videolive365”即可訪問該設(shè)備。不過該公司近日宣布計劃逐步停止DDNS服務(wù)器的部分服務(wù)，逐步構(gòu)建以互聯(lián)網(wǎng)視頻應(yīng)用和物聯(lián)傳感應(yīng)用為核心的云服務(wù)平臺――螢石云平臺來替代DDNS，筆者認(rèn)為螢石云平臺提供的服務(wù)將更加全面、安全、穩(wěn)定。

在使用DDNS服務(wù)的過程中我們要特別注意，國內(nèi)個別攝像頭廠商DDNS協(xié)議存在安全漏洞，攻擊者利用漏洞可隨意更改、刪除服務(wù)器上攝像頭的DNS記錄，致使用戶在使用域名進行攝像頭訪問時，進行釣魚網(wǎng)站攻擊。我們需要對網(wǎng)絡(luò)攝像頭設(shè)備定期進行升級，同時通過修改設(shè)備的默認(rèn)密碼、弱密碼等手段，來保證設(shè)備的DDNS請求不可偽造。

網(wǎng)絡(luò)攝像頭與DNS三部曲之二：《雨——DDoS》

DDoS(Distributed Denial of Service，分布式拒絕服務(wù))是指攻擊借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力，它本身與DNS沒有關(guān)系，但是它的攻擊目標(biāo)是DNS的話麻煩就大了。2016年10月22日凌晨，美國域名服務(wù)器管理服務(wù)供應(yīng)商Dyn（故事一曾提及此公司）稱其公司遭遇了DDoS攻擊，包括Twitter、Tumblr、Netflix、亞馬遜、Shopify、Reddit、Airbnb、PayPal和Yelp等諸多網(wǎng)站無一幸免。DDoS攻擊支持dns、udp、vse、syn、ack、http等洪水攻擊方式，黑客攻擊了Dyn管理的DNS服務(wù)器，從而導(dǎo)致DNS服務(wù)器癱瘓，無法解析各大網(wǎng)站的 IP 地址，就這樣用戶們不管訪問那個網(wǎng)站都找不到 IP地址，這就造成了美國近半個國家的網(wǎng)絡(luò)大癱瘓，如圖3所示，紅色部分是此次網(wǎng)絡(luò)癱瘓影響的地區(qū)。

事后國內(nèi)安防監(jiān)控攝像頭廠商雄邁科技表示，在此次大規(guī)模網(wǎng)絡(luò)攻擊中，其產(chǎn)品無意中成為黑客“幫兇”，產(chǎn)品中默認(rèn)密碼強度不高等有關(guān)的安全缺陷，是引發(fā)此次美國大規(guī)模互聯(lián)網(wǎng)DDoS攻擊的部分原因。被稱作Mirai的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒一直在利用雄邁產(chǎn)品中的缺陷，在其中注入惡意代碼，并利用它們發(fā)動大規(guī)模分布式拒絕服務(wù)攻擊。這是一款基于Linux的ELF類型木馬，主要針對物聯(lián)網(wǎng)設(shè)備，其中包含但不限于網(wǎng)絡(luò)攝像頭、路由器等設(shè)備。它可以高效掃描物聯(lián)網(wǎng)系統(tǒng)設(shè)備，感染采用出廠密碼設(shè)置或弱密碼加密的脆弱物聯(lián)網(wǎng)設(shè)備。被病毒感染后，該設(shè)備成為僵尸網(wǎng)絡(luò)機器人，并可在黑客命令下發(fā)動高強度僵尸網(wǎng)絡(luò)攻擊。

物聯(lián)網(wǎng)時代分布在全世界各地數(shù)量寵大的網(wǎng)絡(luò)攝像頭，普遍存在各種安全問題，主要表現(xiàn)在弱口令、系統(tǒng)后門和遠程代碼可執(zhí)行漏洞三個方面：

（1）大量部分網(wǎng)絡(luò)攝像頭及視頻監(jiān)控系統(tǒng)設(shè)備的登錄密碼使用默認(rèn)密碼，這些默認(rèn)密碼大部分是簡單的弱口令，甚至一些設(shè)備就沒有設(shè)置缺省密碼，登錄不需要任何的驗證, 就可直接看到監(jiān)控視頻，例如用戶名admin，密碼設(shè)置為123456。另外很多攝像頭設(shè)備生產(chǎn)商使用通用固件，導(dǎo)致這些初始密碼在不同品牌或者同品牌不同類型設(shè)備上是共用的，互聯(lián)網(wǎng)上很容易查到這些設(shè)備的初始密碼。

（2）部分網(wǎng)絡(luò)攝像頭及視頻監(jiān)控系統(tǒng)設(shè)備存在后門，可以進入設(shè)備直接獲取系統(tǒng)的shell權(quán)限，執(zhí)行shell命令來獲取root權(quán)限，這些設(shè)備的網(wǎng)絡(luò)世界大門朝你打開。

（3）部分網(wǎng)絡(luò)攝像頭及視頻監(jiān)控系統(tǒng)設(shè)備存在一些系統(tǒng)安全的漏洞，在安防行業(yè)，除了部分一流廠商能自主研發(fā)系統(tǒng)平臺外，大多數(shù)企業(yè)都在這些平臺上進行微創(chuàng)新或者抄襲，這就導(dǎo)致了一個問題：當(dāng)主流平臺產(chǎn)生了漏洞，業(yè)界內(nèi)監(jiān)控系統(tǒng)就基本上全是漏洞了，所以這些設(shè)備一旦接入網(wǎng)絡(luò)，就給黑客入侵提供了機會。綠盟科技曾曝光某款網(wǎng)絡(luò)攝像頭存在遠程代碼可執(zhí)行漏洞，該漏洞最后涉及到多達70 多個不同品牌的攝像頭，因為這些廠家都使用了同一個公司的產(chǎn)品進行貼牌生產(chǎn)。這些設(shè)備的 HTTP頭部Server帶均有“Cross Web Server”特征，利用該漏洞可獲大量含有此漏洞設(shè)備的shell權(quán)限。

為保證網(wǎng)絡(luò)攝像頭的使用安全，筆者有以下建議：

（1）對于提供PC 客戶端或云存儲功能的網(wǎng)絡(luò)攝像頭，在背后往往印有攝像頭的序列號和驗證碼，以便PC端和云存儲時添加攝像頭使用，一旦疏忽其序列號和驗證碼，很容易造成監(jiān)控視頻外泄。同時在設(shè)置監(jiān)控設(shè)備用戶名和密碼時，注意密碼一定要有足夠的強度，建議密碼長度大于12位，包括大小寫字符和數(shù)字。對于設(shè)備的序列號和驗證碼，建議是配置連接完畢后，將貼紙撕下妥善保管。

（2）由于很多網(wǎng)絡(luò)攝像頭的系統(tǒng)存在后門、漏洞以及兼容性等問題，各大品牌的網(wǎng)絡(luò)攝像機廠家實際上還是很重視安全問題的，都會在第一時間發(fā)布新固件升級程序，建議廣大用戶及時升級到最新版本的固件，這樣可以把已曝光漏洞補上，也可以設(shè)置設(shè)備遠程自動更新,允許用戶遠程或自動升級補丁或固件

（3）遵循網(wǎng)絡(luò)設(shè)備使用安全使用規(guī)范，盡量不要把攝像頭的IP暴露在互聯(lián)網(wǎng)之上，推薦放在路由器的NAT之后，或者通過 VPN 連接訪問。盡管有一些VPN廠商號稱能夠提供足夠的安全和隱私保護，但是實際情況并不令人樂觀，有很多VPN存在潛在的危害性，在使用時注意甄別，中國政府現(xiàn)在已開始屏蔽境外VPN服務(wù)。

（4）關(guān)閉設(shè)備不使用的端口和服務(wù)，例如關(guān)閉Telnet服務(wù)和禁用TCP/48101端口可以有效預(yù)防物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒Mirai，同時使用多種加密手段來保護網(wǎng)絡(luò)攝像頭數(shù)據(jù)傳輸?shù)龋瑴p少網(wǎng)絡(luò)攝像頭被入侵的機率。

網(wǎng)絡(luò)攝像頭與DNS三部曲之三：《電——DNS劫持》

DNS劫持又稱域名劫持，是指在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則返回假的IP地址或者什么都不做使請求失去響應(yīng)，其效果就是對特定的網(wǎng)絡(luò)不能反應(yīng)或訪問的是假網(wǎng)址。DNS被劫持后的表現(xiàn)有很多，例如：打開一個正常的網(wǎng)站電腦右下角會莫名的彈窗一些小廣告，打開一個下載鏈接下載的并不是所需要的東西或者瀏覽器輸入一個網(wǎng)址后回車網(wǎng)頁跳轉(zhuǎn)到其他網(wǎng)址的頁面。

可以借助軟媒DNS助手軟件，檢測到網(wǎng)絡(luò)配置中DNS服務(wù)器是否存在劫持行為(可能有部分DNS服務(wù)器地址還未收錄到數(shù)據(jù)庫中)，如圖4所示。

網(wǎng)絡(luò)攝像頭在配置遠程訪問時，必須要配置DNS的選項，否則就無法進行DDNS解析，如圖5所示：

DNS劫持是網(wǎng)絡(luò)十分常見和兇猛的一種攻擊手段，且不輕易被人察覺，曾導(dǎo)致巴西最大銀行巴西銀行近1%客戶受到攻擊而導(dǎo)致賬戶被盜，黑客們利用缺陷對用戶的DNS進行篡改，成功后可躲過安全軟件檢測，讓用戶被釣魚網(wǎng)站詐騙。為預(yù)防攝像頭DNS查詢被劫持，在配置DNS時盡量選擇未被污染或是較安全的DNS服務(wù)器。

國內(nèi)公共DNS服務(wù)器：

DNSPod DNS+（119.29.29.29，182.254.116.116）

114DNS服務(wù)器(114.114.114.114，114.114.115.115)

阿里DNS（223.5.5.5,223.6.6.6）

國外公共DNS服務(wù)器：

Google Public DNS (8.8.8.8, 8.8.4.4)

Norton DNS (198.153.192.1, 198.153.194.1)

OpenDNS (208.67.222.222, 208.67.220.220)

建議使用運營商提供的DNS服務(wù)器，如果檢測被污染或是有問題，推薦使用DNSPod DNS+、114DNS、阿里DNS，其節(jié)點都遍布全國各省份和地區(qū)，電信、聯(lián)通、移動、教育網(wǎng)都有節(jié)點分布，延遲率較低。不推薦使用國外的DNS服務(wù)器，如果要訪問國外網(wǎng)站以及國外有服務(wù)器等情況，可以考慮使用谷歌DNS，它在國內(nèi)無節(jié)點，僅在香港有節(jié)點。

在互聯(lián)網(wǎng)早期，DNS的設(shè)計受到當(dāng)時條件限制，因而存在許多設(shè)計缺陷問題，現(xiàn)有的DNS系統(tǒng)暴露出了越來越多的問題，針對DNS的攻擊愈演愈烈，運營商的Local DNS存在著大量的DNS劫持，NAT導(dǎo)致解析結(jié)果跨網(wǎng)、穩(wěn)定性不高等問題，在物聯(lián)網(wǎng)時代我們得高度重視DNS的安全問題，才能讓物聯(lián)網(wǎng)發(fā)展無后顧之憂。

作者系劉本軍 黃健 (湖北三峽職業(yè)技術(shù)學(xué)院教研室主任、宜昌市公安局科技信息處網(wǎng)絡(luò)工程師）