工业以太网EtherNet/IP协议安全分析整理

1、     EtherNet/IP :

    设备可以用户数据报协议（UDP）的隐式报文传送基于IO的资料 ，用户传输控制协议（TCP）显示报文上传和下参数，设定值，程式 ，用户主站的轮询 从站周期性的更新或是改变状态COS，方便主站监控从站的状态，讯息会使用UDP的报文发送出去

    特性：  EnterNet/IP 工业以太网组成的系统具有兼容性和互操作性，资源共享能力强和传输距离远，传输速率高优势

    EtherNetIP在物理层和数据链路层采用以太网，可以与标准的以太网设备透明衔接，并保证随着以太网的发展，EtherNetIP也可以进一步扩展。EtherNetIP的网络层和传输层采用UDP协议传送实时性要求高的隐式报文，如面向控制的实时I/O数据，优先级较高；用TCP协议的流量控制和点对点特性通过TCP通道传输非实时性的显示报文，优先级较低

    工作模式：

EtherNet/IP采用生产/消费模式，它允许网络上的节点同时存取同一个源的数据。在生产/消费模式中，数据被分配一个唯一的标识，每一个数据源一次性的将数据发送到网络上，其他节点选择性的读取这些数据，从而提高了系统的通信效率

 

   EnterNet/IP存在的漏洞

  2012年2月14日，Basecamp计划的安全研究者提出了一个针对洛克威尔的ControlLogixPLC，EtherNet/IP通讯缺陷的Metasploit攻击。此安全性漏洞若没处理，可以允许远端攻击者破坏设备或使设备在未预期的情形下重新开机，而这些设备往往也是工业系统上的关键设备或元件

    EthernetIP是实时以太网协议，容易受到以太网漏洞的影响，由于UDP之上的EthernetIP是无法连接的，因此没有内在网络层机制来保证可靠性、顺序性或进行数据完整性检查。CIP协议是一个端到端的面向对象并提供了工业设备和高级设备之间连接的一种协议，EtherNetIP协

     CIP协议是一个端到端的面向对象并提供了工业设备和高级设备之间连接的一种协议，EtherNetIP协议在基于传统TCP/IP协议的基础上嵌入了CIP协议，CIP协议的对象模型也存在如下的安全问题：

  CIP未定义任何显式或隐式的安全机制；使用通用工业协议必须对对象进行设备标识，为攻击者进行设备识别与枚举创造条件；使用通用应用对象进行设备信息交换与控制，可能扩大遭受工业攻击的范围，令攻击者可以操纵更多的工业设备；EthernetIP使用UDP与广播数据进行实时传输，两者都缺少传输控制，攻击者易于注入伪造数据或使用注入IGMP控制报文操纵传输途径

 

    EnterNet/IP上使用TCP/IP 和UDP /IP lai 封装数据包。包括显示连接隐式连接（注   ====摘自  工业以太网协议Ethernet/IP  吴爱国 李长滨）

 

      如下的显示请求很隐式请求摘自  EtherNet/IP：industrial protocol paper

        显示报文： 显示报文适用于两个设备多用途的点对点报文传递，是典型的请求-响应网络通信方式。常用于节点配置 问题诊断 等，显示报文通常使用优先级较低的连接ID，并且该报文的相关报文包含在显示报文数据帧的数据区中。包括要执行的对象属性移机地址，

       隐式报文：  隐式报文适用于对实时性要求较高和面向控制的数据I/O数据等，IO报文使用优先级较高的连接ID 。在IO报文利用ID发送报文之前，报文的发送和设备必须先进行配置，配置的内容包括原地址，目的的对象说属性。以及数据生产者和消费者的地址。