用免费蜜罐工具配置Modbus工控蜜罐

导语：本文将用DecoyMini免费蜜罐工具来配置自定义的ModbusTCP工控仿真模板，并介绍部署后的Modbus蜜罐的使用效果。

DecoyMini是一个免费的蜜罐工具，其特色是仿真能力采用与软件松耦合的仿真模板来进行管理。通过一键式导入云端仿真模板库里的模板就可以在网络里快速部署多样化的虚假服务和应用，支持仿真模板自定义功能，支持采用可视化仿真编排引擎通过界面配置即可实现对自定义的网络协议、服务或应用的仿真能力。

本文将用DecoyMini免费蜜罐工具来配置自定义的ModbusTCP工控仿真模板，并介绍部署后的Modbus蜜罐的使用效果。

1 DecoyMini工具介绍

DecoyMini•智能仿真与攻击诱捕工具是北京吉沃科技有限公司(http://www.decoyit.com)基于商业化蜜罐产品积累而推出的免费蜜罐工具。工具支持主流操作系统，安装使用简单，支持通过仿真模板实现仿真环境的快速应用和部署。通过部署虚假的服务和应用仿真环境，吸引攻击者进行攻击，在虚假环境中对攻击者行为进行抓取和存储，基于对攻击者的行为分析来实现攻击预警、威胁分析和溯源取证。

DecoyMini免费蜜罐工具集成可视化仿真编排引擎，支持通过界面配置来定义对网络请求数据的解析方式，基于对请求参数的判断来响应对应的数据，实现对服务和应用的仿真能力。

对网络请求数据的处理支持多种方式，包括：

1、直接读取网络请求数据：支持直接读取指定长度，也支持按指定数据结尾来进行读取，对读取的数据可以直接存储到参数里，也可以将数据缓存，以便进行二次解析。

2、对缓存数据的解析：支持通过字节偏移、位偏移等方式从缓存数据里提取指定范围的数据。

对提取的数据支持以指定的类型存储到参数里，包括：

● 字符串

● 字节数组

● 整数（大端）

● 整数（小端）

在请求响应部分，引擎根据请求参数的综合条件判断，来决定给请求方的响应数据，支持的响应数据类型包括：

● 字符串

● 二进制

● 指定的配置文件

● 指定的数据文件

同时支持响应后关闭连接、跳转到指定参数来继续执行等操作。

在应答的同时，可以按需开启日志记录功能，记录的内容包括操作用户、操作类型、操作结果、日志描述、日志级别、请求参数等，以实现对攻击行为的详细记录。

2 Modbus介绍

Modbus是由Modicon（现在的https://baike.baidu.com/item/%E6%96%BD%E8%80%90%E5%BE%B7%E7%94%B5%E6%B0%94Schneider Electric）公司于1979年开发，已经成为工业领域通信协议的业界标准，现在是工业电子设备之间常用的连接方式，已经是工业领域全球最流行的协议。

Modbus协议是一种应用层报文传输协议，用Master/Slave方式通信，在1996年施耐德公司推出基于以太网TCP/IP的ModbusTCP协议后，Modbus共支持ASCII、RTU、TCP三种报文类型，物理层接口支持RS232、RS422、RS485和以太网等接口。

2.1 协议格式介绍

ModbusTCP的数据帧可分为两部分：MBAP+PDU。

2.1.1 报文头MBAP

MBAP为报文头，长度为7字节，组成如下：