蜜罐页面中的物联网指纹

国内物联网

资产暴露情况分析考虑到网络地址变化因素 [7]，为保证资产的准确性，所以我们对 2020 年 11 月的国内全部网段测绘 一轮作为今年的资产暴露情况展示数据。结合前述新发现的物联网资产指纹，共发现 186 万个物联网 资产，具体的设备类型分布情况如图 2.4。其中，摄像头、路由器、VoIP电话数量分别位列前三，这和 往年的分布是一样的，但是新增了安全设备和网络存储器；网络安全设备主要是指防火墙、WAF等安 全产品；网络存储器（NAS）是一种专用数据存储服务器，将存储设备与服务器彻底分离，集中管理数 据，从而释放带宽，降低成本。近年来，国内的 NAS服务器遭勒索病毒攻击事件频发，暴露互联网上 的存储设备，更应该保障其安全性。

图 2.4　国内物联网资产类型分布情况
物联网资产的地域分布情况如图 2.5 所示，数量最多的是台湾和香港，这主要是因为这两个地区的 IP 地址数量分配较多，很多物联网设备直接使用互联网
IP 进行部署，所以使得大量的物联网设备和服 务暴露。其他地区的物联网资产分布则与经济发展程度和人口数量正相关，这也和我们以往发布的年报 保持一致 [7]。

图 2.5　国内物联网资产省份分布情况

物联网蜜罐暴露情况分析

随着互联网、物联网技术的发展，我们的生活逐渐进入万物互联的时代，但与之而来网络攻击数量 和手段也日益增多。传统的安全产品如：防火墙、WAF、IPS等安全产品在网络攻击对抗中相对比较被动， 然而蜜罐技术主动防御的特性恰好能弥补这一点，可以更好地捕获、理解和防护物联网设备所遇到的威 胁，从而在与黑客的对抗中获得主动权。从资产识别角度，蜜罐会混淆资产数据，不利于对资产识别工 作，所以有效的识别伪装成物联网设备的蜜罐，可以高对物联网资产识别的准确性。接下来本节就介 绍几款我们发现的物联网蜜罐的特征以及分布情况。

蜜罐简介

蜜罐本质上对攻击者的一种欺骗技术，通过部署一些脆弱的主机、服务或者刻意暴露信息，诱导攻 击者对其攻击。通过捕获和分析攻击行为，就可以了解攻击者所使用的工具或方法，推测攻击意图和动 机，这样防御方更清楚地了解所面对的安全威胁，并及时做出应对策略，极大程度上减少被攻击的风险 和损失。

物联网蜜罐特征情况

2.3.2.1　端口开放
观点 3：物联网蜜罐会影响物联网资产识别和安全治理，所以未来物联网安全中蜜罐识别具有重要意义。 我们发现物联网蜜罐有三个特点，其一是开放 10 个上至全部端口；其二是 Web 类型蜜罐 banner 中有 大量的物联网设备的 Server 和 Title 指纹；其三是一些蜜罐的 IP地址部署在公有云。
为了描述方便，下面直接用“蜜罐 + 数字”表示我们发现的蜜罐类别。使用 Nmap 探测常用的 1000 个端口开放情况，蜜罐的结果如图 2.6 ，可以看出蜜罐开放的端口数量远多于传统服务应用，甚 至有的开放了全部端口（虽然我们只是抽样对开放 1000 个端口的蜜罐进行端口扫描，但这些蜜罐实际 上几乎全都开放了 65535 个端口）。原因是部署者希望在资源有限的情况下尽可能多地捕获攻击行为， 所以尽可能开放多个端口。此外，考虑到蜜罐开发者会在互联网上部署多个蜜罐，所以可以根绝端口的 开放数量和组合情况对蜜罐进行分类。比如蜜罐 1、蜜罐 4 和蜜罐 5，开放的端口数量和端口组合都是 相同的。

图 2.6　部分蜜罐开放的端口数量情况

2.3.2.2　ASN 分布
抽取某个类别的蜜罐 IP 的 ASN信息进行统计，分布情况如图 2.7 所示。ASN 占比排序依次是阿里 云（中国）、瑞士电信、阿里云（美国）、罗马尼亚电信运营商、华为云。从占比情况来看，大部分都 分布在公有云。正常情况，物联网设备不会部署在公有云，如果一个设备的 IP 出现在某个公有云地址 区间，那么大概率就是物联网蜜罐。
图 2.7　蜜罐 4 的 ASN分布情况
2.3.2.3　设备指纹分布
我们已经发现物联网蜜罐页面中有大量的设备指纹来欺骗攻击者，图 2.8 TML内容， 其中就有大量的路由器和 DVR的指纹。有 web 的物联网蜜罐的页面，包含物联网指纹的主要字段包括： Server、Title、Text、设备信息、系统命令等。

图 2.8　蜜罐页面中的物联网指纹

对物联网蜜罐的 HTML页面含有的物联网指纹类型进行统计，具体分布情况如图 2.9 。访问正常的 设备，Server 字段在 HTTP协议的头部，不会出现在页面中。此外，HTML页面同样不会有多个 Title类型， 所以通过这两个字段在 Banner 中出现的次数，可以用来识别某个 IP 是否为蜜罐。

图 2.9　蜜罐中的物联网指纹分布情况

物联网蜜罐地理分布情况

对发现物联网蜜罐的地理分布情况进行统计，如图 2.10 。从统计数据来看，物联网蜜罐部署在中 国的数量最多，其次是美国和日本。猜测可能有两个原因，一方面因为国内这两年物联网蜜罐与威胁的 研究关注度比较高，另一方面因为国内的物联网攻击事件频繁，所以物联网安全研究人员有部署倾向， 这样蜜罐可以捕获更多有价值信息。

图 2.10　物联网蜜罐部署国家分布情况

小结

资产识别貌似是一个“昨天”就应该解决的问题，但因为物联网产品的快速出新，以及碎片化严重， 所以确切地说资产识别是进行时的问题，需要持续关注和标记投入。此外，伪装成物联网设备的蜜罐的 数量也不容忽视，所以本章从资产的角度描绘的物联网蜜罐的分布情况，当然我们发现的蜜罐种类也仅 仅是冰山一角，如果想要系统的研究蜜罐种类，可能还需要对交互，甚至对某些蜜罐开源项目的源码进 行深入分析。

物联网脆弱性分析

参考资料

绿盟 2020物联网安全年报

友情链接

GB-T 15852.3-2019 信息技术 安全技术 消息鉴别码 第3部分：采用泛杂凑函数的机制