工控安全-S7协议

已于 2022-12-20 18:04:45 修改
阅读量7.3k 收藏 40
点赞数 4
分类专栏: 工控安全 协议分析 文章标签: 安全
于 2022-12-20 15:34:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45927819/article/details/128380302
版权

文章目录

一、西门子PLC系统构成

如下图就是一个组态完毕的西门子S7- 300的模型:
在这里插入图片描述
根据标号,各个模块分别是:

1.电源模块(PS),供电专用
2.CPU模块(CPU),负责处理信息
3.通信模块(IM)
4.数字量输入模块(DI)
5.数字量输出模块(DO)
6.模拟量输入模块(AI)
7.模拟量输出模块(AO)

二、S7协议结构

S7Comm(S7 Communication)是西门子专有的协议,是西门子S7通讯协议簇里的一种。
S7协议的TCP/IP实现依赖于面向块的ISO传输服务。S7协议被封装在TPKT和ISO-COTP协议中,这使得PDU(协议数据单元)能够通过TCP传送。它用于PLC编程,在PLC之间交换数据,从SCADA(监控和数据采集)系统访问PLC数据以及诊断目的。

S7Comm以太网协议基于OSI模型:
在这里插入图片描述

  1. 第1-4层会由计算机自己完成(底层驱动程序);
  2. 第5层TPKT,应用层数据传输协议,介于TCP和COTP协议之间。这是一个传输服务协议,主要用来在COTP和TCP之间建立桥梁;
  3. 第6层COTP,COTP 是 OSI 7层协议定义的位于TCP之上的协议。COTP 以“Packet”为基本单位来传输数据,这样接收方会得到与发送方具有相同边界的数据;
  4. 第7层,S7 communication,这一层和用户数据相关,对PLC数据的读取报文在这里完成。

在具体的报文中,TPKT的作用是包含用户协议(5~7层)的数据长度(字节数);COTP的作用是定义了数据传输的基本单位(在S7Comm中 PDU TYPE:DT data)。

S7Comm协议OSI模型:
在这里插入图片描述

在这里插入图片描述

三、TPKT协议

通过TCP的传输服务。介于TCP和COTP之间。属于传输服务类的协议,功能为在COTP和TCP之间建立桥梁,其内容包含了上层协议数据包的长度。一般与COTP一起发送,当作Header段。
在这里插入图片描述

其中,TPKT的结构为:

Version:[1 byte] 版本信息。

Reserved:[1 byte]保留 (值为0x00)。

Length:[ 2 bytes] TPKT、COTP、S7三层协议的总长度,也就是TCP的payload的长度。
在这里插入图片描述

从图中可知,其version=3,length=25(0x0019)。

四、COTP协议

COTP是OSI 7层协议定义的位于TCP之上的协议。COTP以Packet为基本单位来传输数据,这样接收方会得到与发送方具有相同边界的数据

COTP协议分为两种形态,分别是COTP连接包(COTP Connection Packet)和COTP功能包(COTP Fuction Packet)。

4.1 COTP连接包

COTP连接包(COTP Connection Packet)也就是S7Comm的握手包,如下图所示:
在这里插入图片描述

其中, COTP连接包的头结构为:

0 (Unsigned integer, 1 byte): Length,COTP后续数据的长度(注意:长度不包含length的长度),一般为17 bytes。

1 (Unsigned integer, 1 byte): PDU typ,协议数据单元类型有:

0x01: ED Expedited Data,加急数据
0x02: EA Expedited Data Acknowledgement,加急数据确认
0x04: UD,用户数据
0x05: RJ Reject,拒绝
0x06: AK Data Acknowledgement,数据确认
0x07: ER TPDU Error,TPDU错误
0x08: DR Disconnect Request,断开请求
0x0C: DC Disconnect Confirm,断开确认
0x0d: CC Connect Confirm,连接确认
0x0e: CR Connect Request,连接请求
0x0f: DT Data,数据传输

Destination reference:2 bytes,目标的引用,可以认为是用来唯一标识目标
Source reference:2 bytes,源的引用,同上

opt:[1 byte],其中包括Extended formats(是否使用拓展样式)、No explicit flow control(是否有明确的指定流控制),值都是Boolean类型。

Parameter:7~? (length-7 bytes, 一般为11 bytes) ,参数。一般参数包含Parameter code(1 byte)、Parameter length(1 byte)、Parameter data三部分。

i)Source TSAP:源设备的TSAP( KEPSERVER OPC)
ii)Destination TSAP:目的设备的TSAP(S7-200 SMART PLC)

TSAP这个概念还是不清楚,查到了:TSAP分为Local TASP(相当于采集程序的地址)和Remote TSAP(相当于PLC的地址)

连接请求包
在这里插入图片描述
连接确认包
在这里插入图片描述

4.2 COTP功能包

结构如下:
在这里插入图片描述
COTP功能包的头结构为:

0 (Unsigned integer, 1 byte): Length,COTP后续数据的长度(注意:长度不包含length的长度),一般为2 bytes。

1 (Unsigned integer, 1 byte): PDU type,类型有:

0x01: ED Expedited Data,加急数据
0x02: EA Expedited Data Acknowledgement,加急数据确认
0x04: UD,用户数据
0x05: RJ Reject,拒绝
0x06: AK Data Acknowledgement,数据确认
0x07: ER TPDU Error,TPDU错误
0x08: DR Disconnect Request,断开请求
0x0c: DC Disconnect Confirm,断开确认
0x0d: CC Connect Confirm,连接确认
0x0e: CR Connect Request,连接请求
0x0f: DT Data,数据传输

opt:[1 byte] ,其中包括Extended formats、No explicit flow control,值都是Boolean类型。

五、S7Comm协议

S7Comm数据作为COTP数据包的有效载荷,第一个字节总是0x32作为协议标识符。
S7Comm协议包含三部分:

  • Header
  • Parameter
  • Data

5.1 头(Header)

在这里插入图片描述

S7Comm Header的格式为:

Protocol ID: [1 byte]协议常量,始终设置为0x32
Message Type: [1 byte]消息的一般类型(有时称为ROSCTR类型),消息的其余部分在很大程度上取决于Message Type和功能代码。

0x01 - JOB(Request: job with acknowledgement):作业请求。主站发送的请求(例如,读/写存储器,读/写块,启动/停止设备,设置通信);

0x02 - ACK(acknowledgement without additional field):确认响应,没有数据的简单确认(未遇到过由S7 300/400设备发送得);

0x03 - ACK_DATA(Response: acknowledgement with additional
field):确认数据响应,这个一般都是响应JOB的请求;

0x07 USERDATA:原始协议的扩展,参数字段包含请求/响应ID(用于编程/调试,读取SZL,安全功能,时间设置,循环读取…)。

Redundancy Identification (Reserved):[2 bytes] 冗余数据,通常为0x0000;
Protocol Data Unit Reference:[2 bytes],协议数据单元参考,通过请求事件增加;
Parameter length:[2 bytes],参数的总长度
Data length:[2 bytes],数据长度。如果读取PLC内部数据,此处为0x0000;对于其他功能,则为Data部分的数据长度;

在这里插入图片描述
其中最重要的字段就是ROSCTR,它决定了后续参数的结构.
在响应数据包中,还有可能存在错误信息。
在这里插入图片描述
其错误信息结构为:

10 (unsigned integer, 1 bytes): Error class,错误类型:可能错误的常量

11 (unsigned integer, 1 bytes): Error code,错误代码:可能错误的常量

5.2 作业请求(Job)和确认数据响应(Ack_Data)

S7Comm中Job和Ack_Data中的Parameter项的第一个字段是function(功能码),其类型为Unsigned integer,大小为1 byte,决定了其余字段的结构、消息的目的。
在这里插入图片描述

所以接下来,将进一步介绍各功能码对应的结构和作用。

5.2.1 建立通信(Setup communication [0xF0])

建立通信在每个会话开始时被发送,然后可以交换任何其他消息。它用于协商ACK队列的大小和最大PDU长度,双方声明它们的支持值。ACK队列的长度决定了可以同时启动而不需要确认的并行作业的数量。PDU和队列长度字段都是大端。
字段:

Function Code:功能代码,通信设置为0xf0
Reserverd:保留字段,默认为0x00
Max AmQ Caller:Ack队列的大小(主叫)
Max AmQ Callee:Ack队列的大小(被叫)
PDU length: PDU长度。

JOB
在这里插入图片描述
Ack_Data
在这里插入图片描述
其协商结果为:ACK队列的大小为1;最大PDU长度为240。

5.2.2 读取值(Read Var [0x04])

数据读写操作通过指定变量的存储区域,地址(偏移量)及其大小或类型来执行。

5.2.2.1 当PDU为JOB时

S7 comm结构如下:
在这里插入图片描述

Parameter字段是Item count:

1、Variable specification:确定项目结构的主要类型,通常为0x12,代表变量规范;
2、Length of following address specification:本Item其余部分的长度
3、Syntax Ids of variable specification:确定寻址模式和其余项目结构的格式;
4、Transport sizes in item data:确定变量的类型和长度;
5、Request data length:请求的数据长度
6、DB number,DB模块的编号,如果访问的不是DB区域,此处为0x0000;
7、 Area:区域类型。
8、Address:地址。

在这里插入图片描述
图中item1是读取DB1的0x000010(DB1.DBX 2.0 BIT 1)值,并且类型为BIT的请求。

5.2.2.2 当PDU为Ack_Data时

S7 comm结构如下:
在这里插入图片描述
其Parameter只有function、item count两个字段。
下面是Data

Return code:1 byte,返回代码;
Transport size:1 byte,数据的传输尺寸;
Length:2 bytes,数据的长度;
Data:数据;
Fill byte:填充字节。

上图的响应包如下:
在这里插入图片描述
item【1】是读取DB1的0x000010(DB1.DBX 2.0 BIT 1)值,并且类型为BIT的响应,其响应的数据为01

5.2.3 写入值(Write Var [0x05])

S7comm的结构(写入值的作业请求):
在这里插入图片描述
由此,Data的结构为:

Return code:返回代码,这里是未定义,所以为Reserved(0x00);
Transport size:确定变量的类型和长度:
Length:2 bytes,写入值的数据长度;
Data:1byte,写入的值;
Fill byte:填充字节,如果数据的长度不足Length的话,则填充;

向地址为0x000008的Flags(M)写入0x00的作业请求在这里插入图片描述

S7comm的结构(写入值的确认数据响应)
在这里插入图片描述
在这里插入图片描述图中的item【1】,说明向地址为0x000008的Flags(M)写入0x00成功!

六、简单总结-S7协议工作流程

1、client与server通过socket建立连接,过程是标准的TCP连接方式,这一步完成连接的建立
2、client发送COTP,请求连接PLC,报文中包含CR Connect Request和Destination TSAP,从而标识出CPU的机架号和槽号
3、PLC返回COTP,确认连接,报文中包含CC Connect Confirm,此时server已经明确client与哪个CPU进行通讯
4、client发送S7 Communication给server,报文中包含Setup communication,即通讯请求
5、server返回S7 Communication给client,报文的ROSCTR为ACK_DATA,有确认的意思,包含了对作业请求的回复
6、client与server发送交换数据的报文,仍以S7 Communication完成

Stray.io
关注
  • 4
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
西门子S7协议通讯文档手册
04-21
S7协议通讯
工控安全职业证书技能实践:工控网络抓包与分析实战.docx
07-09
工控网络抓包与分析实战 课程级别 信息安全专业工业互联网安全方向 实验概述 此实验主要目的学会如何利用抓包工具对工控网络进行抓包,并且对抓包得到的报文信息进行分析利用。 实验目标 掌握Wireshark的使用方法 掌握如何分析S7协议的报文 预备知识 熟悉抓包工具的使用方法 熟悉分析报文的一般方法 建议课时数、 4个课时 实验环境准备 1. Wireshark 2. S7仿真软件一套 3.windows sever 2016、windows 7 实验步骤 任务一 Wireshark的安装及使用 1.安装Wireshark 在官网或其他正规网站下载安装包后,除安装路径外,全部选择默认即可。安装时还需要安装 npcap工具,默认即可 2.以S7协议为例进行抓包 ①打开server端进行配置,Local Address填写本机ip地址。 ②打开client端进行配置,IP填写server的Local Address ②打开wireshark软件,选择好运行S7仿真软件的网卡,点击左上角蓝色标志开启wireshark抓包功能,再联通S7仿真软件,即可抓到S7协议数据包。 任务二 分析COPT协
工控协议数据包.zip
04-28
包含多种工控协议的pcap数据包,S7和Modbus,Modbus 是由Modicon公司1979年发行的,已经被广泛应用于工业控制现场的应用层协 议,如Modbus协议已被广泛应用于在监控和控制现场设备。Modbus协议最初是通过串行数据进行通信的,也就是Modbus Serial协议。随着工业现代化的发展,产生了Modbus TCP协议,即通过与TCP协议相结合来发送和接收Modbus Serial数据。
工控安全职业证书技能实践:工控协议安全配置.pptx
07-12
;工控安全职业证书;Modbus协议安全配置;Modbus协议安全配置;S7comm协议安全配置;S7comm协议安全配置;谢谢观看
工控安全职业证书技能实践:工业互联网脆弱性分析实战.docx
07-12
工业互联网脆弱性分析实战 课程级别 信息安全专业工业互联网安全方向 实验概述 此实验目的是能够对工业互联网的脆弱性进行分析 实验目标 工业互联网的脆弱性进行分析 预备知识 熟悉工业互联网脆弱性基础知识 建议课时数、 4个课时 实验环境准备 1. kali 2018 2. S7-300模拟器 1套 3. Isf框架软件 1套 实验步骤 近日,某电力监控系统建设处于建设完毕调试阶段,已知该监控系统主要使用到的PLC为西门子PLC系列S7-300,请对该系统进行脆弱性分析 任务一 对PLC进行指纹提取 1.打开serverdemo.exe作为PLC设备,配置ip(本地ip:192.168.5.141),点击start 2. 使用nmap扫描整个网段中开放102端口的存活ip 3. 使用nmap的s7-info.nse脚本探测其指纹信息 4.打开clientdemo.exe对PLC的信息进行采集,获取到详细的指纹,ip地址填plc所在的ip。 可以发现探测的指纹信息与实际相同。 任务二 对S7协议进行渗透测试 1.环境描述 解压S7模拟器,压缩包打开如下。我们需要用serverdemo.exe
西门子S7协议及报文格式详解
qq_43254236的博客
09-20 1万+
S7Comm(S7 Communication)是西门子专有的协议,是西门子S7通讯协议簇里的一种。S7通信协议是西门子S7系列PLC内部集成的一种通信协议,是S7系列PLC的精髓所在。它是一种运行在传输层之上的(会话层/表示层/应用层)、经过特殊优化的通信协议,其信息传输可以基于MPI网络、PROFIBUS网络或者以太网S7在TCP连接上后还需要进行两次握手S7协议的TCP/IP实现依赖于面向块的ISO传输服务。
S7协议抓包分析(附pcap数据包)
悦分享
12-06 6180
S7comm(S7 通信)是西门子专有协议,可在西门子 S7-300/400 系列的可编程逻辑控制器 (PLC) 之间运行。它用于 PLC 编程、PLC 之间的数据交换、从 SCADA(监控和数据采集)系统访问 PLC 数据以及诊断目的。S7comm 数据作为 COTP 数据包的有效载荷出现,第一个字节总是 0x32 作为协议标识符。要建立与 S7 PLC 的连接,有 3 个步骤:步骤 1:使用 PLC/CP 的 IP 地址。步骤 2:用作两个字节长度的目标 TSAP。目标 TSAP 的第一个字节编码通信类
S7协议解析
weixin_38843284的博客
11-24 1万+
S7 1 西门子通信场景 西门子设备使用多种不同现场总线协议,例如:MPI、Profibus、IE 、Profinet 等。Profinet用于将PLC连接到IO模块,而不是设备的管理协议S7以太网通信协议,主要用于将PLC连接到(i)pc站(PG/PC - PLC 通信)。 大多数情况下,西门子通信遵循传统的主从模式(master-slave)或者**CS模式(**client-server )。 其中PC(master/client)将S7请求发送到现场设备(slave/server)。这些请求用于从
西门子S7通信协议以及JAVA版的实现
XS_YOUYOU的博客
05-19 1万+
采用java的方式实现西门子S7协议 链接地址:iot-communication github: https://github.com/xingshuangs/iot-communication gitee: https://gitee.com/xingshuang/iot-communication
S7 协议调试工具 & 模拟器 --snap7 demo server_partner_client
weixin_44112083的博客
05-11 9555
1. S7协议的介绍:S7-与Profinet区别、Snap7通讯库介绍及下载、单边/双边通讯、客户端/服务端、同步/异步通讯;2. 服务端调试程序-demo server 使用;3. 客户端调试程序 -- demo client 使用
西门子S7协议,西门子s7协议解析
09-10
一种特殊的技能,基于西门子s7协议的labview程序。
S7工控模拟器.rar
02-29
工控安全S7模拟器。西门子PLC广泛应用于工业控制系统。西门子控制器包括S7-200、S7-300、S7-400、S7-1200以及S7-1500版本的西门子PLC, S7-200、S7-300、S7-400系列的PLC采用早期的西门子私有协议S7comm进行...
C#与西门子PLC通讯——手搓S7通讯协议
92岁高龄码农的博客
10-29 3109
知其然,知其所以然。这篇文章,我们就尝试重复造一个轮子。通过对通讯协议的简要分析,我们能够更好地了解与西门子PLC是如何交互的。最后,我们就运用底层方法,使用Socket通讯将一个数组读取出来,再将数组反转之后写回PLC中。本篇文章算是《C#与西门子PLC通讯》的番外篇,扒开了S7 Net Plus的神秘外衣,一探底层逻辑,了解了PLC的行为分析和通讯原理。
S7通信协议的挑高点
码灵的博客
09-21 293
知道PDU之后,那么一次性读取的字节长度,就是在PDU的基础上减去18,这个18是指包头包尾会有18个字节,这样我们就知道了一般的PLC,一次性能读取222个字节(240-18=222),但是对于S7-1516这样的PLC,我们一次性是可以读取942个字节的(960-18=942),这个一次性能读取的字节越长,越能提高上位机的通信效率。西门子S7协议是非常强大的一个协议S7协议的一次性读取长度是根据PDU计算出来的,这个PDU的值是来自于PLC本身,不同型号的CPU,它的PDU是不一样的。
西门子S7 模拟器使用教程
悦分享
07-19 7327
S7协议是西门子S7系列PLC通信的核心协议,它是一种位于传输层之上的通信协议,其物理层/数据链路层可以是MPI总线、PROFIBUS总线或者工业以太网。S7以太网协议本身也是TCP/IP协议簇的一员,S7协议在OSI中的位置相当于将物理层和数据链路层之上的协议进行了定义,S7comm的协议栈修改程度更高,在应用层组织的数据经过COTP协议、TPKT协议的进一步处理后,最终通过TCP进行传输。S7协议与TCP/IP其中的对应关系备注S7协议工作流程报文头(header);TPKT协议。...
西门子S7协议介绍
oliver223的博客
06-22 1万+
1. 西门子通信场景 西门子设备使用多种不同现场总线协议,例如:MPI、Profibus、IE 、Profinet 等。Profinet用于将PLC连接到IO模块,而不是设备的管理协议S7以太网通信协议,主要用于将PLC连接到(i)pc站(PG/PC - PLC 通信)。 大多数情况下,西门子通信遵循传统的主从模式(master-slave)或者CS模式(client-server)。其中PC(master/client)将S7请求发送到现场设备(slave/server)。这些请求用于从设备查询或.
工控协议——S7通讯协议
热门推荐
咸鱼!!!
02-18 2万+
工控协议——S7通讯协议S7协议简介2. TPKT协议3.COTP协议 S7协议简介 S7以太网协议本身也是TCP/IP协议簇的一员,S7协议在OSI中的位置相当于将物理层和数据链路层之上的协议进行了定义,S7comm的协议栈修改程度更高,在应用层组织的数据经过COTP协议、TPKT协议的进一步处理后,最终通过TCP进行传输 S7协议与TCP/IP其中的对应关系: ISO-OSI参考模型...
工业物联网入门:常见协议与样本 Modbus S7
最新发布
编程之道在明明德在亲民在止于至善
10-31 764
工业物联网入门:常见协议与样本 Modbus S7
西门子S7协议底层原理分析
xiketangAndy的博客
09-18 2571
-Begin- 前言 前面我们对ModbusRTU协议、ModbusTCP协议、欧姆龙FinsTCP协议、三菱SLMP协议都做了说明: 今天我们来分享一下关于西门子S7协议的通信分析。 西门子作为一个老牌工控企业,在中国市场拥有很高的市场占有率。如果要说起西门子的通信协议,相信大家多多少少能说出一些,比如MPI、PPI、USS、Profibus、Profinet、S7等,但是西门子在协议的开放性方面还是相对要封闭一些,所以很多协议都是不开放的。 在这里,我主要是结合Wireshark抓包工具,跟大
s7协议连接s7-200
08-05
S7协议是西门子公司的一种通讯协议,用于连接和控制西门子PLC设备。S7-200系列是西门子公司推出的一款紧凑型PLC,适用于小型自动化系统。通过S7协议连接S7-200,可以实现对其进行配置、编程和监控。 要用S7协议连接S7-200,首先需要确保计算机上安装了相应的通讯软件,例如西门子提供的STEP 7 MicroWIN。这个软件可以用于编程和配置S7-200,并提供了与PLC通讯的功能。 在连接S7-200之前,必须确认PLC设备的硬件连接正确无误。首先,使用串行线缆将计算机的RS232串行接口与PLC的PPI串行接口连接起来。然后,通过STEP 7 MicroWIN软件进行串行端口的配置,确保串行端口的通信参数(如波特率、校验位等)与PLC的设置相匹配。 连接建立后,可以使用STEP 7 MicroWIN软件对S7-200进行编程和监控。通过该软件,可以编写PLC的控制逻辑,设置输入输出模块的参数,上传和下载程序等。 连接S7-200的优势是其紧凑型设计和可靠性。S7-200系列具有较小的体积,适合在空间有限的场所使用。同时,它的响应速度和稳定性高,可满足一般工控系统的需求。 总而言之,通过S7协议连接S7-200,可以实现计算机与PLC之间的数据交换和控制。这样的连接可以用于各种自动化系统,如工业生产线、机械控制等。通过编程和监控,可以实现对PLC的灵活控制和可靠运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值