![20160718101501863.jpg 20160718101501863.jpg](https://i-blog.csdnimg.cn/blog_migrate/843acdf8241e766540429bbd9bcb9592.jpeg)
前言
首先是因为接到一个任务:需要对工控常见协议的识别流量进行收集。
项目见:https://github.com/hi-KK/ICS-Protocol-identify (含nse脚本和识别pcap流量)
![360截图18770527116454.png 360截图18770527116454.png](https://i-blog.csdnimg.cn/blog_migrate/ae4f1f62798600a9e55c2db05170ca84.png)
工控常见协议
协议 | 通信 | 端口 |
---|---|---|
Siemens S7 | tcp | 102 |
Modbus | tcp | 502 |
IEC 60870-5-104 | tcp | 2404 |
DNP3 | tcp | 20000 |
EtherNet/IP | udp | 44818 |
BACnet | udp | 47808 |
Tridium Niagara Fox | tcp | 1911 |
Crimson V3 | tcp | 789 |
OMRON FINS | tcp | 9600 |
PCWorx | tcp | 1962 |
ProConOs | tcp | 20547 |
MELSEC-Q | tcp | 5007 |
工控协议识别
Siemens S7
nmap -sS -Pn -p 102 --script s7-info -iL 123.txt -oX 123.xml
Modbus
nmap -sS -Pn -p 502 --script modicon-info -iL 123.txt -oX 123.xml
IEC 60870-5-104
nmap -Pn -n -d --script iec-identify.nse --script-args='iec-identify.timeout=500' -p 2404 <host>
DNP3
nmap --script dnp3-info -p 20000 <host>
EtherNet/IP
nmap --script enip-info -sU -p 44818 <host>
BACnet
nmap --script bacnet-info -sU -p 47808 <host>
Tridium Niagara Fox
nmap --script fox-info.nse -p 1911 <host>
Crimson V3
nmap --script cr3-fingerprint -p 789 <host>
OMRON FINS
nmap --script omron-info -sU -p 9600 <host>
nmap --script ormontcp-info -p 9600 <host>
nmap --script ormonudp-info -sU -p 9600 <host>
PCWorx
nmap --script pcworx-info -p 1962 <host>
ProConOs
nmap --script proconos-info -p 20547 <host>
MELSEC-Q
nmap -script melsecq-discover -sT -p 5007 <host>
nmap -script melsecq-discover-udp.nse -sU -p 5006 <host>