物聯網經歷了從最初的概念化階段到熱炒階段，再到現如今的培育階段，其涉及的領域非常廣泛，相關技術更是數不勝數，工業物聯網、智能家居、車聯網、智慧城市、智能交通、智能安防等都是物聯網在垂直領域的熱門應用。然而物聯網的安全問題卻始終是物聯網落地的最大障礙，本文主要討論的不是物聯網安全，而是從現有物聯網中數量眾多的網絡攝像頭出發，從互聯網最基礎的服務DNS談起，從側面來了解下物聯網時代網絡攝像頭的安全問題。

　　近幾年傳統的模擬監控攝像頭被網絡攝像頭逐步替代，在加入物聯網特性之后，網絡攝像頭變得更加智能、方便、高效，也從專業領域走向消費市場，全球監控攝像機市場在未來五年內將保持穩步增長，2013年全球監控攝像機的出貨量約為8560萬臺，到2017年這一數據將上升到1．145億臺。

　　眾所周知，在網絡中唯一能夠用來標識計算機身份和定位計算機位置的方式就是IP地址，但網絡中往往存在許多服務器，如E－mail服務器、Web服務器、FTP服務器等，記憶這些純數字的IP地址不僅枯燥無味，而且容易出錯。通過DNS（Domain Name System，域名系統）服務器，將這些IP地址與形象易記的域名一一對應，使得網絡服務的訪問更加簡單，而且可以完美地實現與Internet的融合，對于網絡的推廣發布起到極其重要的作用，而且許多重要網絡服務（如E－mail服務）的實現，也需要借助于DNS服務，因此DNS服務可視為互聯網服務的基礎。

　　很多安防行業的從業人員看到這里笑了，我們的網絡攝像頭僅僅只是視頻瀏覽服務，不需要Web、E－mail、FTP等服務，難道也需要進行DNS服務的配置？雖然從技術的層面上直觀來看，很多環境下網絡攝像頭確實可以不需要DNS服務，但在物聯網時代人們對視頻遠程訪問的需求越來越高，已經離不開這個最基礎的互聯網服務了。下面筆者從三個關鍵字入手講述網絡攝像頭和DNS之間的故事……

　　網絡攝像頭與DNS三部曲之一：《霧——DDNS》

　　目前很多家庭使用PPPOE撥號方式上網，每次上網獲得的IP都是隨機變換的，但是家里的網絡監控、智能設備需要通過網絡訪問，每次使用前都需要先知道IP，這是非常麻煩的。

　　DDNS（Dynamic Domain Name Server，動態域名服務）是將用戶的動態IP地址映射到一個固定的域名解析服務上，用戶每次連接網絡的時候客戶端程序就會通過信息傳遞把該主機的動態IP地址傳送給位于服務商主機上的服務器程序，服務器程序負責提供DNS服務并實現動態域名解析。也就是說DDNS捕獲用戶每次變化的IP地址，然后將其與域名相對應，這樣其他上網用戶就可以通過域名來進行交流。而最終客戶所要記憶的全部，就是記住動態域名商給予的域名即可，而不用去管他們是如何實現的。

　　動態域名服務的對象是指IP是動態的，是變動的，隨機的。普通的DNS服務都是基于靜態IP的，有可能是一對多或多對多，IP都是固定的一個或多個。

　　DDNS的注冊過程并不像DNS解析一樣有標準的規定，而是由各DDNS服務提供商自己制定私有協議，所以若要使用特定DDNS服務商的DDNS服務，客戶端就必須支持對應的私有協議。注冊客戶端可以是一臺PC，在該PC上運行DDNS服務商提供的客戶端軟件，也可以是企業出口路由器，或者用戶服務器直接集成DDNS服務商的客戶端。這些DDNS客戶端不能斷電，否則無法及時地將公網IP地址變動情況上報給DDNS服務器。目前，使用較多的國內DDNS服務商有花生殼oray．com和pubyun．com，國外的有no－ip．com和dyndns．com。

　　免費的通用DDNS服務穩定性差，經常出現故障及掉線，嚴重影響客戶對遠程監控的體驗，而相對穩定的收費DDNS服務每年要收取一定的費用，讓客戶難以接受，于是部分安防監控廠商搭建了遠程監控DDNS服務器，為自家的安防監控設備做DDNS服務。與互聯網的DDNS服務相比，安防行業DDNS服務控制力度更加細致，可以精確到服務端口號，當然此服務只適合廠商自己的設備，無法適用于所有通用設備。目前安防行業海康威視、大華、宇視等均推出了自己的DDNS服務器，我們以海康威視的DDNS配置為例進行介紹。

　　網絡攝像機DDNS一般無法在本地直接配置，可以通過IE遠程配置實現，IE輸入設備當前IP地址登錄設備，登錄設備后進入【配置】界面，【高級配置】→【網絡】→【DDNS】中查看DDNS參數。在配置之前設備必須連入互聯網，否則將無法成功完成相關配置，成功接入網絡之后，網絡攝像機會自動啟用DDNS服務，并且注冊一個和其序列號一樣的域名。

　　按以上步驟配置好，設備就可以注冊到海康威視的DDNS服務器，在IE上可以通過“http：／／www．hik－online．com／自定義域名”來訪問設備，例如設置為“videolive365”，則IE上輸入“http：／／www．hik－online．com／videolive365”即可訪問該設備。不過該公司近日宣布計劃逐步停止DDNS服務器的部分服務，逐步構建以互聯網視頻應用和物聯傳感應用為核心的云服務平臺――螢石云平臺來替代DDNS，筆者認為螢石云平臺提供的服務將更加全面、安全、穩定。

　　在使用DDNS服務的過程中我們要特別注意，國內個別攝像頭廠商DDNS協議存在安全漏洞，攻擊者利用漏洞可隨意更改、刪除服務器上攝像頭的DNS記錄，致使用戶在使用域名進行攝像頭訪問時，進行釣魚網站攻擊。我們需要對網絡攝像頭設備定期進行升級，同時通過修改設備的默認密碼、弱密碼等手段，來保證設備的DDNS請求不可偽造。

　　事后國內安防監控攝像頭廠商雄邁科技表示，在此次大規模網絡攻擊中，其產品無意中成為黑客“幫兇”，產品中默認密碼強度不高等有關的安全缺陷，是引發此次美國大規模互聯網DDoS攻擊的部分原因。被稱作Mirai的物聯網僵尸網絡病毒一直在利用雄邁產品中的缺陷，在其中注入惡意代碼，并利用它們發動大規模分布式拒絕服務攻擊。這是一款基于Linux的ELF類型木馬，主要針對物聯網設備，其中包含但不限于網絡攝像頭、路由器等設備。它可以高效掃描物聯網系統設備，感染采用出廠密碼設置或弱密碼加密的脆弱物聯網設備。被病毒感染后，該設備成為僵尸網絡機器人，并可在黑客命令下發動高強度僵尸網絡攻擊。

　　物聯網時代分布在全世界各地數量寵大的網絡攝像頭，普遍存在各種安全問題，主要表現在弱口令、系統后門和遠程代碼可執行漏洞三個方面：

　　（1）大量部分網絡攝像頭及視頻監控系統設備的登錄密碼使用默認密碼，這些默認密碼大部分是簡單的弱口令，甚至一些設備就沒有設置缺省密碼，登錄不需要任何的驗證， 就可直接看到監控視頻，例如用戶名admin，密碼設置為123456。另外很多攝像頭設備生產商使用通用固件，導致這些初始密碼在不同品牌或者同品牌不同類型設備上是共用的，互聯網上很容易查到這些設備的初始密碼。

　　（2）部分網絡攝像頭及視頻監控系統設備存在后門，可以進入設備直接獲取系統的shell權限，執行shell命令來獲取root權限，這些設備的網絡世界大門朝你打開。

　　（3）部分網絡攝像頭及視頻監控系統設備存在一些系統安全的漏洞，在安防行業，除了部分一流廠商能自主研發系統平臺外，大多數企業都在這些平臺上進行微創新或者抄襲，這就導致了一個問題：當主流平臺產生了漏洞，業界內監控系統就基本上全是漏洞了，所以這些設備一旦接入網絡，就給黑客入侵提供了機會。綠盟科技曾曝光某款網絡攝像頭存在遠程代碼可執行漏洞，該漏洞最后涉及到多達70 多個不同品牌的攝像頭，因為這些廠家都使用了同一個公司的產品進行貼牌生產。這些設備的 HTTP頭部Server帶均有“Cross Web Server”特征，利用該漏洞可獲大量含有此漏洞設備的shell權限。

　　為保證網絡攝像頭的使用安全，筆者有以下建議：

　　（1）對于提供PC 客戶端或云存儲功能的網絡攝像頭，在背后往往印有攝像頭的序列號和驗證碼，以便PC端和云存儲時添加攝像頭使用，一旦疏忽其序列號和驗證碼，很容易造成監控視頻外泄。同時在設置監控設備用戶名和密碼時，注意密碼一定要有足夠的強度，建議密碼長度大于12位，包括大小寫字符和數字。對于設備的序列號和驗證碼，建議是配置連接完畢后，將貼紙撕下妥善保管。

　　（2）由于很多網絡攝像頭的系統存在后門、漏洞以及兼容性等問題，各大品牌的網絡攝像機廠家實際上還是很重視安全問題的，都會在第一時間發布新固件升級程序，建議廣大用戶及時升級到最新版本的固件，這樣可以把已曝光漏洞補上，也可以設置設備遠程自動更新，允許用戶遠程或自動升級補丁或固件。

　　（3）遵循網絡設備使用安全使用規范，盡量不要把攝像頭的IP暴露在互聯網之上，推薦放在路由器的NAT之后，或者通過 VPN 連接訪問。盡管有一些VPN廠商號稱能夠提供足夠的安全和隱私保護，但是實際情況并不令人樂觀，有很多VPN存在潛在的危害性，在使用時注意甄別，中國政府現在已開始屏蔽境外VPN服務。

　　（4）關閉設備不使用的端口和服務，例如關閉Telnet服務和禁用TCP／48101端口可以有效預防物聯網僵尸網絡病毒Mirai，同時使用多種加密手段來保護網絡攝像頭數據傳輸等，減少網絡攝像頭被入侵的機率。

　　網絡攝像頭與DNS三部曲之三：《電——DNS劫持》

　　DNS劫持又稱域名劫持，是指在劫持的網絡范圍內攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則返回假的IP地址或者什么都不做使請求失去響應，其效果就是對特定的網絡不能反應或訪問的是假網址。DNS被劫持后的表現有很多，例如：打開一個正常的網站電腦右下角會莫名的彈窗一些小廣告，打開一個下載鏈接下載的并不是所需要的東西或者瀏覽器輸入一個網址后回車網頁跳轉到其他網址的頁面。

　　可以借助軟媒DNS助手軟件，檢測到網絡配置中DNS服務器是否存在劫持行為（可能有部分DNS服務器地址還未收錄到數據庫中）。

　　網絡攝像頭在配置遠程訪問時，必須要配置DNS的選項，否則就無法進行DDNS解析：

　　DNS劫持是網絡十分常見和兇猛的一種攻擊手段，且不輕易被人察覺，曾導致巴西最大銀行巴西銀行近1％客戶受到攻擊而導致賬戶被盜，黑客們利用缺陷對用戶的DNS進行篡改，成功后可躲過安全軟件檢測，讓用戶被釣魚網站詐騙。為預防攝像頭DNS查詢被劫持，在配置DNS時盡量選擇未被污染或是較安全的DNS服務器。

　　國內公共DNS服務器：

　　DNSPod DNS＋（119．29．29．29，182．254．116．116）

　　114DNS服務器（114．114．114．114，114．114．115．115）

　　阿里DNS（223．5．5．5，223．6．6．6）

　　國外公共DNS服務器：

　　Google Public DNS （8．8．8．8， 8．8．4．4）

　　Norton DNS （198．153．192．1， 198．153．194．1）

　　OpenDNS （208．67．222．222， 208．67．220．220）

　　建議使用運營商提供的DNS服務器，如果檢測被污染或是有問題，推薦使用DNSPod DNS＋、114DNS、阿里DNS，其節點都遍布全國各省份和地區，電信、聯通、移動、教育網都有節點分布，延遲率較低。不推薦使用國外的DNS服務器，如果要訪問國外網站以及國外有服務器等情況，可以考慮使用谷歌DNS，它在國內無節點，僅在香港有節點。

　　在互聯網早期，DNS的設計受到當時條件限制，因而存在許多設計缺陷問題，現有的DNS系統暴露出了越來越多的問題，針對DNS的攻擊愈演愈烈，運營商的Local DNS存在著大量的DNS劫持，NAT導致解析結果跨網、穩定性不高等問題，在物聯網時代我們得高度重視DNS的安全問題，才能讓物聯網發展無后顧之憂。

　　網絡攝像頭與DNS三部曲之二：《雨——DDoS》

　　DDoS（Distributed Denial of Service，分布式拒絕服務）是指攻擊借助于客戶／服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動攻擊，從而成倍地提高拒絕服務攻擊的威力，它本身與DNS沒有關系，但是它的攻擊目標是DNS的話麻煩就大了。2016年10月22日凌晨，美國域名服務器管理服務供應商Dyn（故事一曾提及此公司）稱其公司遭遇了DDoS攻擊，包括Twitter、Tumblr、Netflix、亞馬遜、Shopify、Reddit、Airbnb、PayPal和Yelp等諸多網站無一幸免。DDoS攻擊支持dns、udp、vse、syn、ack、http等洪水攻擊方式，黑客攻擊了Dyn管理的DNS服務器，從而導致DNS服務器癱瘓，無法解析各大網站的 IP 地址，就這樣用戶們不管訪問那個網站都找不到 IP地址，這就造成了美國近半個國家的網絡大癱瘓。