工业互联网安全 课件 任务3 工业协议安全解析.pptx

任务3工业协议安全解析

工控安全监测审计平台是一款专为工业控制网络设计的行为监测审计系统，能够对HTTP、FTP、TELNET等多种普通协议以及MMS、IEC104、OPC、S7、Profinet、DNP3等多种工业协议的分析监测。任务描述熟悉网络流量分析的基础技术原理，掌握使用工控安全监测审计平台的配置使用以及抓包分析的基本方法。

关于工控协议安全测试1以Modbus/TCP协议为例，在该协议中，所有的数据均通过明文进行传输，包括寄存器地址、数值、变量类型等敏感数据。一旦攻击者进入网络监听，就可以直接读取这些信息。此外，协议中没有设置CRC等校验机制，这意味着攻击者可以轻松地对该网络实施中间人攻击等。事实上，Modbus/TCP协议存在的安全问题也是目前大部分工控协议所共有的。这些工控协议在设计时并未考虑工控系统与外界网络的交互，因此安全机制薄弱。知识导入

私有性出于系统安全、商业目的等多方面的考虑，大部分工控厂商选择保留协议规约的私有性，即不公开协议的格式等信息。知识导入封闭性工控协议应用于多种工控设备中，而这些设备出于各种原因通常不开放调试端口，导致工控协议具有封闭性。场景性工控协议所传递的数据通常来自现实的控制系统，数据在不同的场景下有不同的意义，分析数据背后的工控语义可以获取系统的部分知识。

私有协议分析2协议规约包含三个要素：协议的语法、语义和时序。其中，语法定义协议报文中各个字段的边界，语义定义各字段对应的功能，时序则定义报文的顺序规范。知识导入协议语义和语法构成协议的格式，协议时序定义协议状态机。协议逆向分析就是通过各种手段得到上述要素的过程。

私有协议分析2（1）基于网络流量的协议逆向基于网络流量的协议逆向通过分析大量报文数据集，提取报文的字节变化频率和取值特征进行报文格式的恢复。在传输相同类型的功能信息时，报文的结构具有一定的相似性；在同一个会话中，报文的时序关系相对固定，其中包含协议状态机的格式，也就是协议状态机的子集。利用相关的算法对上述特性进行提取，就可以得到比较理想的结果。知识导入

私有协议分析2（2）基于程序分析的协议逆向协议报文在程序内部进行处理时，由不同的程序段处理协议的不同部分，因此可以利用这一特点从程序运行记录中获取协议的格式信息。目前，主流的方法是使用动态污点分析（DynamicTaintAnalysis）进行程序运行记录的分析并获取格式信息。知识导入

私有协议分析2动态污点分析方法最早用于程序脆弱性分析，其原理是，先将程序输入标记为污点数据（Source），在程序运行过程中通过事先定义的污点传播规则进行污点传播。知识导入

私有协议分析2①建立字段树的根节点root。通常这个节点代表调用Socket等套接字函数的函数名，也就是首次出现污点数据的函数。②对于函数f1和f2，如果f1调用了f2，则f1是f2的父节点，按照此方式建立函数调用的树结构。③如果函数中使用了污点数据，则关联函数对应污点数据（其在源数据中的偏移量）。④重复步骤2和步骤3，直至根节点退出。知识导入

工业协议认证方式与突破3工控协议认证机制的工作原理是，用户访问工控设备时，需提供有效的身份标识，设备根据协议规则核验标识并根据核验结果决定用户是否有操作设备的权限。（1）常用认证方式工控协议种类繁多，其认证机制也不尽相同。下面总结几种常见的认证方式。知识导入

无认证早期的工控设备没有接入网络，以“孤岛”的形式运行，很多旧版本设备没有安全认证。知识导入口令认证大多数公司都为产品设置了口令认证功能，以防止未经授权的访问和操作。操作人员可以为设备设置访问口令，用户访问设备时必须输入口令。会话认证在密码学中，两个用户建立通信时，会将临时交互号作为会话的唯一标识，从而保证会话的安全性。类似的认证机制也存在于工控设备的通信中。

信息完整性认证为了防止上位机与设备之间的通信数据被篡改，部分工控协议中包含完整性验证机制。在传输数据前，利用一定的加密算法，根据数据包中的程序、参数、变量值等重要信息生成摘要值，随数据包一同发送。知识导入复杂认证机构部分协议为了提高安全性，设置了独特的认证机制。例如，S7comm协议在V3版本中设置了四次握手验证机制和会话密钥生成机制，涉及椭圆曲线加密等复杂的加密算法，大大提高了设备通信的安全性。

工业协议认证方式与突破3（2）认证突破方式在对工控设备进行认证突破时，常使用Wireshark工具来观察上位机与设备间的流量包。如果协议被Wireshark解析，就可以看到数据包的结构、各层次内容，甚至是认证方式。在对协议有一定了解之后，可根据认证方式采用不同方法突破。知识导入

重放攻击如果协议没有认证机制，那么可以通过重放攻击对设备进行操作。知识导入获取会话认证码只有会话认证的工控协议也可能被攻破。利用