小结

本章首先对 UPnP 技术进行了介绍，然后对其的脆弱性和风险进行了分析，之后对其进行了威胁分析， 包括 UPnP 在互联网
上的暴露情况，蜜罐捕获到的 SSDP 反射攻击分析，蜜罐捕获到的扫描源分析，端 口映射服务威胁分析，以及针对 UPnP 漏洞的恶意行为分析。
UPnP 问题严峻，需要多方参与才能改善现有的安全环境。

作为安全厂商：

1. 可以在扫描类产品
   中加入 UPnP 扫描能力，及时发现客户网络中存在的安全隐患。1. 可以在防护类产品中加入对于 SSDP 和 SOAP的流量检测能力，及时发现客户网络中存在的安 全威胁。

作为设备开发商：

1. 遵循 OCF 的建议，产品在实现的时候加入对各类操作权限进行限制、对端口转发租用时间进行 限制等安全机制。
2. 在产品中采用较为安全的 UPnP SDK。
3. 提供设备的自动升级服务。
4. 严格按照 UPnP 规范，如果没有需要，不将 UPnP 相关端口暴露在互联网上。 作为监管部门：
5. 对于网络中的 UPnP 威胁进行监控，发现问题进行通报。
6. 提高人们的 UPnP 安全意识。
7. 推动设备中 UPnP 功能的安全评估，如设备不满足相关要求，禁止设备上市等。 作为用户：
8. 如无需要，关闭路由器
   的 UPnP 功能。1. 借助工具，自查端口映射表，发现异常条目，及时清除。
9. 及时升级路由器等包含 UPnP 功能的设备的固件。

附录 ：文中部分名词释义

1. **SIP（Session Initiation Protocol）：**由 IETF（Internet Engineering Task Force，因特网工程任务组）制定的多媒体
   通信协议。 它是一个基于文本的应用层控制协议，用于创建、修改和释放一个或多个参与者的会话。1. **ASN（Autonomous system number）：**ASN 为自治系统号码，是全球分配的大型网络系统
   编号，通过查询 IP 所属的 ASN， 可以准确的确定其所属的运营商。1. **ADSL（Asymmetric Digital Subscriber Line）：**ADSL 属于 DSL技术的一种，也可以称作非对称数字用户环路，是一种数据 传输方式。
2. **UPnP（Universal Plug and Play）：**通用即插即用技术。由微软等企业发起，基于一系列互联网协议和自行制定协议构成的 设备架构，为广泛存在的点对点网络互联定义了一个分布式、开放的网络体系结构。
3. **OCF（Open Connectivity Foundation）：**开放连接基金会，UPnP 技术原本由 UPnP 论坛制定，自 2016 年 1 月 1 日起， UPnP 论坛将其资产分配给开放连接基金会，继续对 UPnP 技术的改进和推动。
4. **SSDP（Simple Service Discovery Protocol)：**简单服务发现协议，是一种多播发现和搜索机制， 基于 UDP设计，适用于

UPnP 工作流程的发现阶段。

7. **SOAP（Simple Object Access Protocol）：**SOAP 为简单对象访问协议，是一种基于 XML的远程程序调用机制，通过 HTTP 发送命令、接收数据，适用于 UPnP 工作流程的控制阶段。

8. **GENA（General Event Notification Architecture）：**GENA 为通用事件通知架构，工作于 UPnP 的事件阶段，用于事件的订 阅和通知。

9. **SCADA（Supervisory Control And Data Acquisition)：**数据采集与监视控制系统。SCADA 系统是以计算机为基础的 DCS与 电力自动化监控系统；它应用领域很广，可以应用于电力、冶金、石油、化工、燃气、铁路等领域的数据采集与监视控制以 及过程控制等诸多领域。

10. **Mirai：**一款恶意软件，可使运行 Linux的计算系统成为被远程操控的“僵尸”，以达到通过僵尸网络进行大规模网络攻击的目的， 文中也指其相关变种。

11. **BrickerBot：**和 Miral 类似，一款感染后会组建僵尸网络的恶意软件。

12. **DDoSaaS（DDoS as a Service）：**泛指网络上买卖的 DDoS 服务。

13. **SDK（Software Development Kit, SDK）：**一般是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统 等创建应用软件的开发工具的集合。

14. Hide’**n Seek：**和 Miral 类似，一款感染后会组建僵尸网络的恶意软件。

15. **ADB（Android Debug Bridge）：**一个通用的 Android 命令行工具，其允许通过客户端与模拟器实例或连接的 Android 设备进 行通信。

16. **IoTroop：**和 Miral 类似，一款感染后会组建僵尸网络的恶意软件。

17. **Gafgyt：**也称为 BASHLITE，Lizkebab，Qbot，Torlus 和 LizardStresser。是一个恶意软件，它感染 Linux系统以启动分布式 拒绝服务攻击（DDoS）。

18. **VPNFilter：**是一种恶意软件，感染路由器和网络存储设备

19. **UPnProxy：**一种利用 UPnP 漏洞设置路由器的 NAT转发行为。由于表面上看像是对内网设备设置了代理，又与 UPnP 相关， 所以被 Akamai 称为 UPnProxy。

20. **NAT（Network Address Translation）：**网络地址转换，也叫做网络掩蔽或者 IP 掩蔽（IP masquerading），是一种在 IP 数 据包通过路由器或防火墙时重写来源 IP 地址或目的 IP 地址的技术。

21. **BYOD（Bring Your Own Device）：**自携电子设备，亦称自携技术（BYOT, Bring Your Own Technology）、自携电话（BYOP, Bring Your Own Phone）或自携电脑（BYOPC, Bring Your Own PC）是一种允许员工使用个人移动设备进入他们工作区域并用 以处理公司资讯与应用程序的作业方。

22. **SSH（Secure Shell）：**是一种加密的网络传输协议，可在不安全的网络中为网络服务提供安全的传输环境。一般用来认证和 加密操作系统的远程命令。

23. **XML（Extensible Markup Languag）：**可扩展标记语言，是一种标记语言，也可以认为是一种约定好的格式。

24. **Winbox：**用于远程管理 MikroTik路由器的客户端软件。

25. **Coinhive：**一种挖矿软件，提供了 API。

26. **Monero：**门罗币（缩写：XMR）是一个创建于 2014 年 4 月开源加密货币，它着重于隐私、分权和可扩展性。与自比特币衍 生的许多加密货币不同，Monero 基于 CryptoNote 协议，并在区块链模糊化方面有显著的算法差异。

27. **Telnet：**Telnet 协议是一种应用层协议，使用于互联网及局域网中，使用虚拟终端机的形式，提供双向、以文字字符串为主的 命令行接口交互功能。

28. **SQL注入：**通过把 SQL命令插入到 Web 表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 命令。

29. **RTSP （Real Time Streaming Protocol）：**实时串流协议是一种网络应用协议，专为娱乐和通信系统的使用，以控制流媒体 服务器。 该协议用于建立和控制终端之间的媒体会话。

30. **GDP（Gross Domestic Product）：**国内生产总值亦称国内生产毛额或本地生产总值，是一定时期内（一个季度或一年），一 个区域内的经济活动中所生产出之全部最终成果（产品和劳务）的市场价值。

31. **SMB（Server Message Block）：**网络文件共享系统，一种应用层网络传输协议，由微软开发，主要功能是使网络上的机器 能够共享计算机文件、打印机、串行端口和通讯等资源。它也提供经认证的进程间通信机能。[32] 物联网白皮书

32. **C&C（Command and Control）：**C&C是僵尸网络的控制端，僵尸网络是攻击者出于恶意目的，传播僵尸程序以控制大量计算机， 并通过一对多的命令与控制信道所组成的网络。

33. **CNCERT：**国家互联网应急中心

参考资料

绿盟 2018物联网安全年报

友情链接

[绿盟 Meltdown和Spectre处理器漏洞威胁处置建议](http://github5.com/view/1963?f=