暴露物联网
资产概况
首先,我们通过对资产的统计,整理出了 2018 年全球和国内的物联网资产暴露情况,如图 2.1 所示。 全球暴露在互联网上的物联网资产累计数量大约为 5100 万 [^1],中国暴露物联网资产累计数量为 1000 万 左右,占全球的 20%,其中国内路由器
和摄像头设备暴露累计数量最多,各有 400 多万。
观点 1: 互联网
上暴露的物联网资产,只有 30%的资产使用互联网常用的服务(HTTP,FTP等), 而多达 70%的资产使用物联网相关的服务(UPnP、RTSP 等)。所以想要更准确地掌握物联网资产暴 露情况,就需要提高对物联网设备协议的关注度。
结合国内暴露的资产前十端口数据和对应的协议分布情况,发现开放 RTSP、SIP 和 UPnP 等服务的 物联网资产数量大约有 500 多万,占国内暴露总量的 70% 之多,而使用 HTTP、SSH、Telnet 等常用的 服务仅占总量的 30% 左右。过去,我们主要关注互联网上的常用服务协议扫描发现的资产,但如要更 准确地掌握互联网上的物联网资产暴露情况,就需要提升对物联网设备协议的关注度,并且加大扫描力度、增加协议解析。
需要说明的是图 2.1 的数字是 2018 年半年左右累计的互联网上暴露的物联网资产数量,但这些数 字不能体现真实的暴露资产规模,也无助于了定位真实的物联网攻击源。原因是我们对比每轮扫描后, 发现有相当一部分数量物联网设备处于不存活或网络地址
频繁变化的状态中,所以更合理的统计口径应 是在一个给定小范围时间内存活物联网资产数量,该数字更能体现相对真实的物联网设备暴露情况,也 可提高类似如攻击源等物联网威胁分析的精准度。本章以下小节,如无特殊说明,均以该统计口径为准。
暴露物联网资产的变化情况分析
本节将根据不同端口及扫描时长 1 的扫描数据,对各类型的物联网资产的变化情况进行统计分析
。 因资产扫描过程是先依照端口及协议创建的扫描任务,再根据扫描探测后返回的结果来识别资产的具体 类型,具体的统计方法和资产扫描的相关描述如图 2.5 所示:先抽取若干个物联网资产数量较为稳定的
1 扫描国内所有网段的某个端口所用时间
扫描轮次,并选取最早的扫描轮次为基准数据,统计不同的时间间隔下,资产的变化情况,主要对两个 轮次的网络地址和端口所对应的设备类型的没有变化资产数量、消失资产数量和新增资产数量进行统计, 再通过多轮对比的统计结果描述每一种设备类型的变化情况。
图 2.5 资产扫描及变化对比方法示意图
第1轮 第2轮 第3轮 第4轮 第5轮 第n轮 
(基准轮次) (对比轮次) (对比轮次) (对比轮次)
摄像头
我们发现很多摄像头会开放 554 端口,使用 RTSP 协议做频流的实时传输,所以主要分析开放 554 端口的摄像头设备的变化情况。先抽取 554 端口 2018 年 7 月到 9 月内 6 个扫描轮次的摄像头资产 进行对比,以 7 月 20 日 [^1] 这一轮的摄像头资产暴露数量为基准数据,随着间隔时间的增长,资产变化 情况如图 2.6 所示。绿色部分为没有变化的资产数量,橙色部分为相比于基准数据消失的资产数量,黄 色部分是增加的资产数量。根据几轮的对比数据来看,扫描时长在 7 天的情况下,国内的 544 端口摄 像头设备总量实际大概在 44 万左右,而大约存在 40% 的物联网资产的网络地址会发生变化,每轮对比 中新增和消失的资产持平,总体来说变化量相对稳定,并且变化的资产并没有随着时间间隔的增长而大 幅度增加。
从 554 端口的资产变化情况来看,有相当一部分的摄像头资产的网络地址发生了变化,这个变化的 数量可能与扫描时长有关。所以我们接下来将 554 端口的扫描时长从 7 天缩短为 3 天,对 11 月份 554 端口的资产变化对比结果进行统计如图 2.7 所示,时隔三个月 554 端口的摄像头资产总量从 44 万增加
到 48 万,从图中 4 轮扫描结果对比可知,扫描时长缩短后资产的网络地址变化量从 40% 减少到 30%, 可见缩短扫描时长,可以降低资产的变化数量。但从实现角度考虑,这个扫描时长受扫描机器性能和带 宽的限制,广谱资产扫描开销较大,故不能无限缩小,所以下面章节中会采用抽样的方式去验证更短的 扫描时长下对资产变化的影响。
路由器
因国内暴露的路由器分布在 80 端口数量较多,所以接下来针对该端口路由器的变化数量进行分析。 抽取国内 6 个轮次的扫描数据,以 2018 年 7 月 5 日这轮数据为基准数据,对比后发现,开放 80 端口 的路由器数量大约 5 万左右,每轮结果中,不变的资产数量均值大约是 1.5 万,占总资产的 30% 左右, 也就是说每轮会有约 60% 资产的网络地址发生过变化。
VoIP 电话
多数 VoIP电话会在 5060 端口开放服务,并使用 SIP 协议创建、修改和释放一个或多个参与者的网 络会话,所以本节主要分析开放 5060 端口的 VoIP电话的变化情况。以 2018 年 8 月 11 日作为基准数据, 对 5 个轮次的资产变化进行统计,如图 2.9 所示:开放 5060 端口的 VoIP电话数量大约有 18 万左右, 变化量比较大,每轮有 80% 以上的资产的网络地址会发生变化。
观察 1: 国内的物联网资产,VoIP电话的网地址变更最频繁,发生过变化的资产占总资产的 80%,其次是路由器和摄像头,变化资产分别占 60%和 40%,但 90%的物联网资产的网段分布情况是 保持不变的。
从摄像头、路由器和 VoIP电话的资产变化对比情况来看,VoIP电话的资产变化数量占比最多,摄 像头资产变化相对较少,我们推测资产变化量可能和设备类型有关。从功能角度考虑可能因为摄像头需 要提供频流的访问服务,所以网络服务较为稳定,网络地址相对变化不大;而 VoIP电话的可能根据 其实际的服务情况会通断会话,导致的网络地址变化较快。以上均为我们的猜测,如果想知道具体的原 因,还需要对变化频繁的暴露设备和服务进行具体分析。
2108
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
