侵权投诉
当前位置:

OFweek安防网

视频处理/显示

正文

网络摄像头和DNS不得不说的故事

导读: 物联网经历了从最初的概念化阶段到热炒阶段,再到现如今的培育阶段,其涉及的领域非常广泛,相关技术更是数不胜数,工业物联网、智能家居、车联网、智慧城市、智能交通、智能安防等都是物联网在垂直领域的热门应用。

事后国内安防监控摄像头厂商雄迈科技表示,在此次大规模网络攻击中,其产品无意中成为黑客“帮凶”,产品中默认密码强度不高等有关的安全缺陷,是引发此次美国大规模互联网DDoS攻击的部分原因。被称作Mirai的物联网僵尸网络病毒一直在利用雄迈产品中的缺陷,在其中注入恶意代码,并利用它们发动大规模分布式拒绝服务攻击。这是一款基于Linux的ELF类型木马,主要针对物联网设备,其中包含但不限于网络摄像头、路由器等设备。它可以高效扫描物联网系统设备,感染采用出厂密码设置或弱密码加密的脆弱物联网设备。被病毒感染后,该设备成为僵尸网络机器人,并可在黑客命令下发动高强度僵尸网络攻击。

物联网时代分布在全世界各地数量宠大的网络摄像头,普遍存在各种安全问题,主要表现在弱口令、系统后门和远程代码可执行漏洞三个方面:

(1)大量部分网络摄像头及视频监控系统设备的登录密码使用默认密码,这些默认密码大部分是简单的弱口令,甚至一些设备就没有设置缺省密码,登录不需要任何的验证, 就可直接看到监控视频,例如用户名admin,密码设置为123456。另外很多摄像头设备生产商使用通用固件,导致这些初始密码在不同品牌或者同品牌不同类型设备上是共用的,互联网上很容易查到这些设备的初始密码。

(2)部分网络摄像头及视频监控系统设备存在后门,可以进入设备直接获取系统的shell权限,执行shell命令来获取root权限,这些设备的网络世界大门朝你打开。

(3)部分网络摄像头及视频监控系统设备存在一些系统安全的漏洞,在安防行业,除了部分一流厂商能自主研发系统平台外,大多数企业都在这些平台上进行微创新或者抄袭,这就导致了一个问题:当主流平台产生了漏洞,业界内监控系统就基本上全是漏洞了,所以这些设备一旦接入网络,就给黑客入侵提供了机会。绿盟科技曾曝光某款网络摄像头存在远程代码可执行漏洞,该漏洞最后涉及到多达70 多个不同品牌的摄像头,因为这些厂家都使用了同一个公司的产品进行贴牌生产。这些设备的 HTTP头部Server带均有“Cross Web Server”特征,利用该漏洞可获大量含有此漏洞设备的shell权限。

为保证网络摄像头的使用安全,笔者有以下建议:

(1)对于提供PC 客户端或云存储功能的网络摄像头,在背后往往印有摄像头的序列号和验证码,以便PC端和云存储时添加摄像头使用,一旦疏忽其序列号和验证码,很容易造成监控视频外泄。同时在设置监控设备用户名和密码时,注意密码一定要有足够的强度,建议密码长度大于12位,包括大小写字符和数字。对于设备的序列号和验证码,建议是配置连接完毕后,将贴纸撕下妥善保管。

(2)由于很多网络摄像头的系统存在后门、漏洞以及兼容性等问题,各大品牌的网络摄像机厂家实际上还是很重视安全问题的,都会在第一时间发布新固件升级程序,建议广大用户及时升级到最新版本的固件,这样可以把已曝光漏洞补上,也可以设置设备远程自动更新,允许用户远程或自动升级补丁或固件。

(3)遵循网络设备使用安全使用规范,尽量不要把摄像头的IP暴露在互联网之上,推荐放在路由器的NAT之后,或者通过 VPN 连接访问。尽管有一些VPN厂商号称能够提供足够的安全和隐私保护,但是实际情况并不令人乐观,有很多VPN存在潜在的危害性,在使用时注意甄别,中国政府现在已开始屏蔽境外VPN服务。

(4)关闭设备不使用的端口和服务,例如关闭Telnet服务和禁用TCP/48101端口可以有效预防物联网僵尸网络病毒Mirai,同时使用多种加密手段来保护网络摄像头数据传输等,减少网络摄像头被入侵的机率。

网络摄像头与DNS三部曲之三:《电——DNS劫持》

DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能反应或访问的是假网址。DNS被劫持后的表现有很多,例如:打开一个正常的网站电脑右下角会莫名的弹窗一些小广告,打开一个下载链接下载的并不是所需要的东西或者浏览器输入一个网址后回车网页跳转到其他网址的页面。

可以借助软媒DNS助手软件,检测到网络配置中DNS服务器是否存在劫持行为(可能有部分DNS服务器地址还未收录到数据库中)。

网络摄像头在配置远程访问时,必须要配置DNS的选项,否则就无法进行DDNS解析: 

DNS劫持是网络十分常见和凶猛的一种攻击手段,且不轻易被人察觉,曾导致巴西最大银行巴西银行近1%客户受到攻击而导致账户被盗,黑客们利用缺陷对用户的DNS进行篡改,成功后可躲过安全软件检测,让用户被钓鱼网站诈骗。为预防摄像头DNS查询被劫持,在配置DNS时尽量选择未被污染或是较安全的DNS服务器。

国内公共DNS服务器:

DNSPod DNS+(119.29.29.29,182.254.116.116)

114DNS服务器(114.114.114.114,114.114.115.115)

阿里DNS(223.5.5.5,223.6.6.6)

国外公共DNS服务器:

Google Public DNS (8.8.8.8, 8.8.4.4)

Norton DNS (198.153.192.1, 198.153.194.1)

OpenDNS (208.67.222.222, 208.67.220.220)

建议使用运营商提供的DNS服务器,如果检测被污染或是有问题,推荐使用DNSPod DNS+、114DNS、阿里DNS,其节点都遍布全国各省份和地区,电信、联通、移动、教育网都有节点分布,延迟率较低。不推荐使用国外的DNS服务器,如果要访问国外网站以及国外有服务器等情况,可以考虑使用谷歌DNS,它在国内无节点,仅在香港有节点。

在互联网早期,DNS的设计受到当时条件限制,因而存在许多设计缺陷问题,现有的DNS系统暴露出了越来越多的问题,针对DNS的攻击愈演愈烈,运营商的Local DNS存在着大量的DNS劫持,NAT导致解析结果跨网、稳定性不高等问题,在物联网时代我们得高度重视DNS的安全问题,才能让物联网发展无后顾之忧。

<上一页  1  2  
声明: 本文系OFweek根据授权转载自其它媒体或授权刊载,目的在于信息传递,并不代表本站赞同其观点和对其真实性负责,如有新闻稿件和图片作品的内容、版权以及其它问题的,请联系我们。

我来说两句

(共0条评论,0人参与)

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号