面向车辆域控制器的渗透测试方法研究.docx

为了更便捷发现安全漏洞，提高安全防御水平。基于渗透测试的基本原理，介绍了一种针对域控制器的渗透测试方法，将该方法以渗透工具的形式进行展现，并进行实际测试验证。以简单的操作实现针对域控制的MPU和MCU两大部分进行漏洞检查、密码破解、诊断攻击等测试，从而降低渗透测试门槛，提高工作效率。

0引言

伴随着车辆智能化、网联化程度的提高，车辆已不仅仅利用CAN总线进行信息交互，而是作为智能的移动终端，实现和车、路、云、人的通信交互。在带来优质体验的同时，也带来信息安全的隐患。信息安全问题不仅能造成财产损失，还可能对用户的生命构成威胁，因此信息安全重要性得到国家和车企的高度重视。国家出台了相关的车辆信息安全法规，各大主机厂及供应商也正在进一步加强信息安全的防御、检测。其中渗透测试就是专门针对网络安全的测试，可帮助发现网络安全漏洞，进而协助提高网络安全水平。

作为车辆云—管—端中端的一环，域控制器得到越来越广泛应用，主要由微控制器(microcontrollerunit，MCU)和微处理器(microprocessorunit，MPU)组成。域控制器不仅涉及CAN通信，还涉及网络通信等计算机方面内容，由于其同时涉及CAN和以太网，而且还是域中重要一环，便成为网络安全的重点保护对象。

由于渗透测试来源于计算机的信息安全，渗透测试也主要涉及计算机方面知识，入手较为困难，且委托第三方的渗透价格也较为昂贵。为此，本文利用渗透测试理论，开发出简捷的渗透测试工具，便于开发人员快速地找出域控制存在的安全漏洞。

1域控制器基本组成介绍

车辆域控制一般按照功能划分为5个域：动力域(powertrain)、底盘域(chassis)、车身域(body)、座舱域(cockpit)和自动驾驶域(ADAS)，每个域都有一个相应的域控制器来实现相应的功能。

域控制器目前主要由MCU和微处理MPU两大部分组成，以目前的ADAS域控制器为例，如图1所示，MCU作为“Safetyhost”，主要以CAN通信的形式和车内CAN网络建立联系，MPU作为“Performancehost”完成视觉算法的处理，主要以车载以太网的形式和外界建立联系，MPU端的操作系统一般采用Linux或QNX。

图1ADAS域控制器

2MCU端渗透测试内容及方法介绍

针对MCU的攻击，这里主要以CAN总线的攻击为主，下面将介绍几种较为常见的攻击方法以及相应的防御措施。

2.1洪水攻击

洪水攻击：攻击者向CAN总线上发送高频率、高优先级的总线信号，从而使ECU无法正常响应其他低优先级的数据包，造成车辆的瘫痪，故障灯点亮。若在启动前进行洪水攻击，则可导致车辆无法正常启动。

针对洪水攻击，防御措施主要有增设网关、在OBD处增设防火墙等。

2.2诊断攻击

诊断攻击：攻击者通过发送一些诊断命令来实现对控制器的篡改。例如，通过发送1102实现重置功能，通过2E服务实现参数篡改等。

针对诊断攻击，防御措施有增加诊断的前提条件。例如，增加车速和发动机的前置判断条件、增加27服务的解锁条件等。

27服务示例：

请求seed

发送请求：2701

肯定响应：6701xx(xx为seed值)

发送key

发送请求：2702xx(xx为key值)

肯定响应：6702

2.3篡改攻击

篡改攻击：攻击者通过更改正常通信的CAN报文的有效载荷实现攻击，若ECU针对篡改的内容做出正确的响应，则可实现控制、干扰的目的，如修改车速显示信息、控制转向和制动等。

针对篡改攻击，防御措施除增加“checksum”之外，还可以升级为安全报文[5]。以MAC校验及增加新鲜度值(FV)等手段进行完整性和机密性方面的防御，如图2所示。

图2安全报文结构

3MPU端渗透测试内容及方法介绍

针对MPU的攻击，攻击的步骤比MCU测试更复杂一些，攻击也主要是通过网口或者车载以太网接口进行。针对MPU端的渗透测试主要包含下面几个步骤。

3.1信息收集

收集目标的相关信息，例如：IP地址、端口信息、操作系统版本信息等，可通过Wireshark或者Netdiscover等工具来获得MPU的IP地址;也可通过Netdiscover-p来实现监听，发现在线的设备信息,如图3所示。

图3IP信息

获取IP地址之后，可以通过Nmap工具来获得开放的端口信息。例如，通过发送Nmap-Pn1-6553530命令可以获得针对IP31中1-65535的开放端口的信息。如图4所示，获取这些端口之后，就可以利用开放端口存在的漏洞，进入到MPU内部，进而实施一些违规操作。

图4端口扫描

通过Nmap或者Nessus工具可获得操作系统的版本信息。例如，Linux或QNX的版本信息，通过已知版本信息，在接下来的漏洞扫描中，查找该版本