工控安全职业证书技能实践：工控安全事件技术对应表设计与编写-Modbus协议.docxVIP

工控安全事件技术对应表设计与编写 课程级别 信息安全专业工业互联网安全方向。 实验概述 此实验主要内容是对工控安全事件中的技术进行分析，并设计表格将其汇总。 实验目标 能对工控安全事件技术进行整合； 能对技术进行简要分析； 预备知识 熟悉Modbus协议 了解事件类型表 事件分类 子类名称 事件特征描述 有害程序事件 计算机病毒事件 计算机病毒事件（CVI）是指蓄意制造、传播计算机病毒，或是因受到计算机病毒影响而导致的工控安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制 蠕虫事件 蠕虫事件（WI）是指蓄意制造、传播蠕虫，或是因受到蠕虫影响而导致的工控安全事件。蠕虫是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有害程序 特洛伊木马事件 特洛伊木马事件（THI）是指蓄意制造、传播特洛伊木马程序，或是因受到特洛伊木马程序影响而导致的工控安全事件。特洛伊木马程序是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有害的功能 僵尸网络事件 僵尸网络事件（BI）是指利用僵尸工具软件，形成僵尸网络而导致的工控安全事件。僵尸网络是指网络上受到黑客集中控制的一群计算机，它可以被用于伺机发起网络攻击，进行信息窃取或传播木马、蠕虫等其他有害程序 混合攻击程序事件 混合攻击程序事件（BAI）是指蓄意制造、传播混合攻击程序，或是因受到混合攻击程序影响而导致的工控安全事件。混合攻击程序是指利用多种方法传播和感染其它系统的有害程序，可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果，例如一个计算机病毒或蠕虫在侵入系统后安装木马程序等 网络攻击事件 拒绝服务攻击事件 拒绝服务攻击事件（DOSAI）是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的 CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的工控安全事件 后门攻击事件 后门攻击事件（BDAI）是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击的工控安全事件 漏洞攻击事件 漏洞攻击事件（VAI）是指除拒绝服务攻击事件和后门攻击事件之外，利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞，对信息系统实施攻击的工控安全事件 网络扫描窃听事件 网络扫描窃听事件（NSEI）是指利用网络扫描或窃听软件，获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的工控安全事件 信息破坏事件 信息篡改事件 信息篡改事件（IAI）是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的工控安全事件 信息假冒事件 信息假冒事件（IMI）是指通过假冒他人信息系统收发信息而导致的工控安全事件 信息泄露事件 信息泄漏事件（ILEI）是指因误操作、软硬件缺陷或电磁泄漏等因素导致信息系统中的保密、敏感、隐私等信息暴露于未经授权者而导致的工控安全事件 信息窃取事件 信息窃取事件（III）是指未经授权用户利用可能的技术手段恶意主动获取信息系统中信息而导致的工控安全事件 信息丢失事件 信息丢失事件（ILOI）是指因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的信息丢失而导致的工控安全事件 建议课时数 4个课时 实验环境准备 实验时硬件环境：单核CPU、2G内存、30G硬盘 Office Word 2019 实验步骤 任务一 事件技术资源收集 背景介绍 1.1 Modbus 协议是由Modicon公司1979年发行的，已经被广泛应用于工业控制现场的应用层协议，如Modbus协议已被广泛应用于在监控和控制现场设备。Modbus协议最初是通过串行数据进行通信的，也就是Modbus Serial协议。随着工业现代化的发展，产生了Modbus TCP协议，即通过与TCP协议相结合来发送和接收Modbus Serial数据。然而广泛的使用也必然引起黑客们的注意，随之而来的是爆出各种各样的安全问题，包括拒绝服务、远程代码执行和堆栈缓冲区溢出等漏洞。 1.2 Smod是一个模块化的Modbus渗透测试框架，可以用来测试Modbus协议所需的各种诊断和攻击功能。由于Modbus/TCP协议简单且容易实现，而且广泛应用于电力、水力等工业系统。所以Smod框架均使用Modbus/TCP协议。而且Smod框架可以用来评估一个Modbus协议系统的漏洞。 1.3 Modbus TCP的数据格式 Transaction identifier ： 事务标识符 Protocol identifier ： 默认为0 Length : 数据的长度 Unit identifier ： 从机地址，