工控安全职业证书技能实践：工控网络抓包与分析实战.docxVIP

工控网络抓包与分析实战 课程级别 信息安全专业工业互联网安全方向 实验概述 此实验主要目的学会如何利用抓包工具对工控网络进行抓包，并且对抓包得到的报文信息进行分析利用。 实验目标 掌握Wireshark的使用方法 掌握如何分析S7协议的报文 预备知识 熟悉抓包工具的使用方法 熟悉分析报文的一般方法 建议课时数、 4个课时 实验环境准备 1. Wireshark 2. S7仿真软件一套 3.windows sever 2016、windows 7 实验步骤 任务一 Wireshark的安装及使用 1.安装Wireshark 在官网或其他正规网站下载安装包后，除安装路径外，全部选择默认即可。安装时还需要安装 npcap工具，默认即可 2.以S7协议为例进行抓包 ①打开server端进行配置，Local Address填写本机ip地址。 ②打开client端进行配置，IP填写server的Local Address ②打开wireshark软件，选择好运行S7仿真软件的网卡，点击左上角蓝色标志开启wireshark抓包功能，再联通S7仿真软件，即可抓到S7协议数据包。 任务二 分析COPT协议报文 1.COPT协议是面向连接的传输协议，从这个名字就可以看出，它的传输必然是依赖于连接的，所以在传输数据前必然有类似TCP握手建立链接的操作。 首先是TCP的三次握手，在192.168.5.140与192.168.5.139间建立了TCP连接，之后是两个COTP的包，这里Wireshark为我们标注出了CR和CC，这里的CR和CC其实分别是connect request和connet confirm，也就是建立连接的过程。 2.点击查看COTP连接包数据并分析 ? length，1byte，数据的长度 ? PDU type，1 byte，标识类型，图中的0x0d即为连接确认的类型，常有的还有： 0xe，连接请求 0x0d，连接确认 0x08，断开请求 0x0c，断开确认 0x05，拒绝 ? DST reference，2byte，目标的引用，可以认为是用来唯一标识目标 ? SRC reference，2byte，源的引用，同上 ? option，1byte，可以看到wireshark将8位拆为了前四位和后两位： 前四位标识class，也就是标识类别 倒数第二位对应Extended formats，是否使用拓展样式 倒数第一位对应No explicit flow control，是否有明确的指定流控制 ? parameter，附加的参数字段，参数可以有多个，每个参数又由以下几个字段构成： code，1byte，标识类型，主要有： 0xc0，tpdu的size，tpdu即传送协议数据单元，也就是传输的数据的大小 0xc1，src-tsap，翻译过来应该叫源的端到端传输，这个字段代表的是应用与应用之间的通信 任务三 分析S7comm协议报文 1.点击S7comm协议报文，可以发现其报文信息主要分为三部分： Header，主要是数据的描述性信息，最重要的是要表明PDU的类型 Parameter，参数，随着不同类型的PDU会有不同的参数 Data，具体的数据 2.查看Header部分信息并分析 Protocol id，1 byte，即协议的id，为0x32 ROSCTR，1byte，pdu的类型，一般由以下几种： 0x01，job，就是开工干活的意思，主设备通过job向从设备发出“干活”的命令，具体是读取数据还是写数据由parameter决定 0x02，ack，0x02，确认 0x03，ack data，从设备回应主设备的job Reserved，2byte，保留 PDU reference，pdu的参考 parameter length，参数的长度 error class，错误类型，像是图中的0x00就是没有错误的意思，而常见的请求错误则是0x85 error code，错误码，结合错误类型来确定错误，图中的0x00也是没有错误的意思 关于具体的错误类型和错误码的信息大家可以自行搜索，因为太多了这里就不再展开说明。而parameter则取决于不同的pdu类型。 3.查看流量包部分信息并分析 可以看到该pdu为job，也就是主设备在发号施令，而通过parameter可以看到，function是0x04的read，也就是读取数据，item count意思是后续跟了几个item，该pdu就一个，所以为1。item的结构如下： variable specification，1byte，一般就是0x12 Length of following address specification，数据的长度 Syntax Id，符号id，一个