2024年网络安全最新Modbus安全：M340停启和流量分析_m340抓包分析(1)，网络安全开发实战

最新推荐文章于 2024-06-18 21:08:34 发布

2401_84297035

最新推荐文章于 2024-06-18 21:08:34 发布

阅读量603

点赞数 29

分类专栏：程序员文章标签：安全 web安全

本文链接：https://blog.csdn.net/2401_84297035/article/details/138526835

版权

程序员专栏收录该内容

168 篇文章 3 订阅

订阅专栏

学习路线：

这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子变成黑客大神，这个方向越往后，需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容：
在这里插入图片描述

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

分析流量：
首先需要讲清楚，关于Modbus读写线圈和寄存器，是不需要通过任何通信验证的，而关于Modbus PLC的停启，是需要引入Session Key这个概念的。Session Key 是会话使用的 Session 值，如果 Session 值不正确，则PLC会直接主动终止通信。FCcode 是 Modbus 协议的功能码，施耐德默认使用 0x5a 即 90 作为通信的功能码。下图是 Modbus 协议数据格式：
在这里插入图片描述

那大家会问了，Session值是怎么来的呢，当我们想停启PLC的时候，PLC会主动返回（Response）一个Session值给我们，我们需要找到那个数据包，查看在Data里面，最后两位十六进制0x33，这个就是Session 值：
在这里插入图片描述

那我怎么判定这个数据包携带的就是Session值呢，请看下图，红色代表上位机请求包，蓝色代表返回包，当1中返回携带了0x33这个Session值之后，之后2中所有红色的请求包都会带上0x33这个Session值，在抓取到的数据包中很好找，下图是我使用wireshark追踪TCP流看到的：
在这里插入图片描述

停启M340：
当我们获取到Session ID之后就很简单了，可以通过任意一台能连接PLC设备的电脑发送控制CPU停启的命令，下面是我用python通过socket模块简单构造的一个数据包，其中0x33是之前抓包得到的Session ID，41功能码代表关闭停止PLC，40功能码代表的是开启PLC，发送后成功关闭PLC：
在这里插入图片描述
下方是Modbus部分常用的功能码，大家可以了解下：

读写线圈和寄存器：
停启的讲完了，我想还是再补充一些读写线圈和寄存器的流量是啥样的吧，也是很有意思的。
众所周知，Modbus 协议使用串口传输时可以选择RTU或ASCII模式，并规定了消息、数据结构、命令和应答方式并需要对数据进行校验。ASCII 模式采用LRC校验，RTU模式采用16 位CRC校验。但是通过以太网传输时使用TCP，这种模式不使用校验，也就是上述说的只要能连接上就能读取线圈和寄存器。
下图是我读取线圈抓取的流量包：
1、选择读取的UID为1
2、Function Code：Read Coils读取线圈
3、右边是PLC返回的包，显示线圈里的值
在这里插入图片描述

下图是我写入寄存器的流量包：
1、选择写入的UID为1
2、Function Code：write Single Register写入单个寄存器
3、Data为0x08代表写入的值是0x08
在这里插入图片描述

总结：
由我上述的演示可以看出，Modbus 协议通信过程中，地址和命令全部采用明文传输，因此数据可以很容易的被攻击者捕获和解析，为攻击者提供便利。同时在Modbus 协议通信过程中，没有任何认证方面的相关定义，攻击者只需要找到一个合法的地址就可以建立一个Modbus 通信会话，轻易发送任意功能码进行攻击，而其中的Session值也很容易获取。
这些都是根本上Modbus协议的安全问题，我们只能通过一些外部措施来进行保护和防御，例如使用Modbus 系统专用的异常行为检测设备和即时更新使用最新的PLC固件和软件等，来提高Modbus系统的安全性。

如果想了解更多安全知识，或者有问题，都可以关注以下公众号，私信我：
在这里插入图片描述