典型工業(yè)控制系統(tǒng)通信協(xié)議平安性分析報(bào)告啟明星辰集團(tuán)工控平安事業(yè)部2023/10/26目錄TOC\o"1-2"\h\z\u前言 21ModbusTCP協(xié)議 31.1協(xié)議簡(jiǎn)介 31.2協(xié)議標(biāo)準(zhǔn) 41.3協(xié)議平安性分析 62OPC協(xié)議 82.1協(xié)議簡(jiǎn)介 82.2協(xié)議平安性分析 143DNP3協(xié)議 163.1協(xié)議簡(jiǎn)介 163.2協(xié)議標(biāo)準(zhǔn) 163.3協(xié)議平安性分析 184Ethernet/IP協(xié)議 204.1協(xié)議簡(jiǎn)介 204.2協(xié)議標(biāo)準(zhǔn) 204.3協(xié)議平安性分析 215EtherCAT協(xié)議 235.1協(xié)議簡(jiǎn)介 235.2協(xié)議標(biāo)準(zhǔn) 235.3協(xié)議平安性分析 25前言網(wǎng)絡(luò)協(xié)議是計(jì)算機(jī)網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)交換而建立的規(guī)那么、標(biāo)準(zhǔn)或約定。要理解工業(yè)網(wǎng)絡(luò)如何工作，首先要了解他們所使用的底層通信協(xié)議，及其應(yīng)用場(chǎng)景和選擇這些協(xié)議的原因。目前，已有的許多工業(yè)控制專用協(xié)議，大多是為了提高效率和可靠性而設(shè)計(jì)的，以滿足大規(guī)模分布式控制系統(tǒng)的運(yùn)行需要。同時(shí)，令人堪憂的是為了提升效率，而放棄了協(xié)議的平安特性，例如：要求額外開銷的認(rèn)證和加密等措施。更有許多工控協(xié)議為了能夠適應(yīng)以太網(wǎng)運(yùn)行做了修改，使得協(xié)議存在可以被利用的漏洞。因此，啟明星辰對(duì)常見的ModbusTCP、OPC、DNP3、Ethernet/IP、EtherCAT這五種常見協(xié)議進(jìn)行平安性分析，以期發(fā)現(xiàn)基于協(xié)議漏洞的攻擊方式。歡送各位專家提珍貴意見。技術(shù)聯(lián)系人：鄭凌鵬：孟雅輝：ModbusTCP協(xié)議協(xié)議簡(jiǎn)介Modbus是由Modicon(現(xiàn)為施耐德電氣公司的一個(gè)品牌)在1979年創(chuàng)造的，是一個(gè)劃時(shí)代、里程碑式的網(wǎng)絡(luò)協(xié)議，作為上個(gè)世紀(jì)第一個(gè)在工業(yè)現(xiàn)場(chǎng)總線發(fā)揮作用的工業(yè)總線協(xié)議，Modbus協(xié)議由于其免費(fèi)、開放、簡(jiǎn)單等優(yōu)點(diǎn)，至今仍然活潑在工業(yè)、建筑、根底設(shè)施等領(lǐng)域中。隨著時(shí)代的開展和需求的變化，Modbus己經(jīng)衍生出ModbusPlus.ModbusTCP/IP等協(xié)議，其已經(jīng)開展成一個(gè)協(xié)議簇。在我國(guó)，已制定國(guó)家標(biāo)準(zhǔn)GB/T19582-2023《基于Modbus協(xié)議的工業(yè)自動(dòng)化網(wǎng)絡(luò)標(biāo)準(zhǔn)》。Modbus協(xié)議是應(yīng)用于電子控制器上的一種通用語言。通過此協(xié)議，控制器相互之間、控制器經(jīng)由網(wǎng)絡(luò)〔例如以太網(wǎng)〕和其它設(shè)備之間可以通信。使用Modbus協(xié)議，不同廠商生產(chǎn)的控制設(shè)備在各種網(wǎng)絡(luò)體系結(jié)構(gòu)內(nèi)進(jìn)行簡(jiǎn)單通信，每種設(shè)備(PLC、HMI、控制面板、驅(qū)動(dòng)程序、動(dòng)作控制、輸入\輸出設(shè)備)都能使用Modbus協(xié)議來啟動(dòng)遠(yuǎn)程操作，在基于串行鏈路和以太TCP/IP網(wǎng)絡(luò)的MODBUS上可以進(jìn)行相同通信。ModbusTCP以一種比擬簡(jiǎn)單的方式將Modbus幀嵌入TCP幀中。IANA(互聯(lián)網(wǎng)編號(hào)分配管理機(jī)構(gòu))給Modbus協(xié)議賦予TCP端口502。如下列圖所示，每種設(shè)備都能使用Modbus協(xié)議來啟動(dòng)遠(yuǎn)程操作，在基于串行鏈路和以太網(wǎng)TCP/IP的Modbus上可以進(jìn)行相同的通信，一些網(wǎng)關(guān)允許在幾種使用Modbus協(xié)議的總線或網(wǎng)絡(luò)之間進(jìn)行通信。圖1-1ModbusTCP通信網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)ModbusTCP是OSI通信參考模型第七層上的應(yīng)用層報(bào)文傳輸協(xié)議，它在連接至不同類型總線或網(wǎng)絡(luò)的設(shè)備之間提供客戶機(jī)/效勞器通信。如下列圖所示：協(xié)議格式如下：MBAP報(bào)文頭功能代碼數(shù)據(jù)圖1-2ModbusTCP協(xié)議應(yīng)用數(shù)據(jù)單元的結(jié)構(gòu)Modbus協(xié)議的功能碼分為三類：〔1〕公共功能碼是較好地被定義的功能碼；保證是唯一的；MODBUS組織可改變的；公開證明的；具有可用的一致性測(cè)試；MBIETFRFC中證明的；包含已被定義的公共指配功能碼和未來使用的未指配保存供功能碼?！?〕用戶定義功能碼有兩個(gè)用戶定義功能碼的定義范圍，即65至72和十進(jìn)制100至110；用戶沒有MODBUS組織的任何批準(zhǔn)就可以選擇和實(shí)現(xiàn)一個(gè)功能碼；不能保證被選功能碼的使用是唯一的；如果用戶要重新設(shè)置功能作為一個(gè)公共功能碼，那么用戶必須啟動(dòng)RFC，以便將改變引入公共分類中，并且指配一個(gè)新的公共功能碼?！?〕保存功能碼一些公司對(duì)傳統(tǒng)產(chǎn)品通常使用的功能碼，并且對(duì)公共使用是無效的功能碼。圖1-3Modbus功能碼分類圖1-4公共功能碼定義協(xié)議平安性分析沒有認(rèn)證機(jī)制在網(wǎng)絡(luò)連接方面，利用的是TCP協(xié)議。在知道目標(biāo)IP地址的情況下，只要通過502端口就可以發(fā)起并建立通信連接。如果應(yīng)用數(shù)據(jù)單元攜帶的功能碼是Modbus設(shè)備所支持的，那么就可以建立起一個(gè)合法的Modbus會(huì)話。沒有消息校驗(yàn)(只有ModbusTCP存在該問題)。在某些ModbusTCP實(shí)現(xiàn)中，校驗(yàn)和是在傳輸層而非應(yīng)用層生成，從而使得假冒命令更加容易。沒有權(quán)限區(qū)分對(duì)于任何人，只要他能夠連接到目標(biāo)Modbus設(shè)備上，那么他就可以執(zhí)行所有Modbus設(shè)備所具有的功能。數(shù)據(jù)明文傳輸Modbus協(xié)議封裝的是ADU，傳輸?shù)囊彩沁@個(gè)ADU，在網(wǎng)絡(luò)上都是以明文的形式傳輸，通過抓包技術(shù)就可以獲取并解析出里面的數(shù)據(jù)。由于工廠生產(chǎn)環(huán)境特殊性，不到萬不得已的地步，工廠很難做到隨時(shí)停工停產(chǎn)進(jìn)行生產(chǎn)設(shè)備的更新?lián)Q代，因此在現(xiàn)有條件根底上對(duì)Modbus協(xié)議以上三點(diǎn)缺點(diǎn)進(jìn)行平安加固工作很有必要。沒有播送抑制(只有串行Modbus變體存在該問題)串行連接的所有設(shè)備都會(huì)收到所有消息，意味著在串行連接設(shè)備鏈中，可以通過對(duì)不明地址進(jìn)行播送，有效地實(shí)現(xiàn)拒絕效勞(Dos)攻擊?？删幊绦訫odbus最危險(xiǎn)的特點(diǎn)是它為編程控制器設(shè)計(jì)的，因此可以用來向RTU或PLC中注入惡意代碼，該問題也存在于許多其他工業(yè)協(xié)議中。一些需要特別關(guān)注的Modbus消息的例子包括：強(qiáng)制從設(shè)備轉(zhuǎn)到“只聽〞(ListenOnly)模式的功能碼重啟通信的功能碼去除、擦除或重置診斷信息(如計(jì)數(shù)器與診斷存放器)的功能碼請(qǐng)求關(guān)于Modbus效勞器、PLC配置或其他敏感信息的功能碼對(duì)定義點(diǎn)列表及其值的Modbus請(qǐng)求(配置掃描)請(qǐng)求從站標(biāo)志信息請(qǐng)求從站附加信息大小或長(zhǎng)度有問題的ModbusTCP數(shù)據(jù)包?？赡艿木芙^效勞攻擊從效勞器到多個(gè)節(jié)點(diǎn)的Modbus流量，可能的拒絕效勞攻擊TCP端口502上的非Modbus或缺陷Modbus報(bào)文從設(shè)備忙異常代碼延遲〔異常碼06〕，可能的拒絕效勞攻擊確認(rèn)異常代碼延遲〔異常碼05〕，可能的拒絕效勞攻擊不正確的報(bào)文長(zhǎng)度〔最大253〕，可能的拒絕效勞攻擊配置掃描〔例如定義的點(diǎn)列及其值〕〔30秒內(nèi)5個(gè)異常碼02〕可用功能碼掃描〔60秒內(nèi)3個(gè)異常碼01〕修改分隔符〔08-03〕周期較短〔實(shí)際閾值待定〕的無意義命令，暴力拒絕效勞播送性質(zhì)的報(bào)文或一個(gè)主站向多個(gè)從站的請(qǐng)求包含在異常協(xié)議數(shù)據(jù)單元中的信息列出所有可用功能碼的命令(功能掃描)OPC協(xié)議OPC(OLEforProcessControl，用于過程控制的OLE)是一個(gè)工業(yè)標(biāo)準(zhǔn)，管理這個(gè)標(biāo)準(zhǔn)國(guó)際組織是OPC基金會(huì)，OPC基金會(huì)現(xiàn)有會(huì)員已超過220家。遍布全球，包括世界上所有主要的自動(dòng)化控制系統(tǒng)、儀器儀表及過程控制系統(tǒng)的公司。基于微軟的OLE(現(xiàn)在的ActiveX)、COM〔部件對(duì)象模型〕和DCOM〔分布式部件對(duì)象模型〕技術(shù)。OPC包括一整套接口、屬性和方法的標(biāo)準(zhǔn)集，用于過程控制和制造業(yè)自動(dòng)化系統(tǒng)。OPC的出現(xiàn)解決了控制系統(tǒng)突破“信息孤島〞的瓶頸問題。OPC技術(shù)建立了一組符合工業(yè)控制要求的接口標(biāo)準(zhǔn)，將現(xiàn)場(chǎng)信號(hào)按照統(tǒng)一的標(biāo)準(zhǔn)與SCADA，HMI等軟件無縫連接起來，同時(shí)將硬件和應(yīng)用軟件有效地別離開。只要硬件開發(fā)商提供帶有OPC接口的效勞器，任何支持OPC接口的客戶程序均可采用統(tǒng)一的方式對(duì)不同硬件廠商的設(shè)備進(jìn)行存取，無須重復(fù)開發(fā)驅(qū)動(dòng)程序。這樣大大提高了控制系統(tǒng)的互操作性和適應(yīng)性。1995年，由Fisher-Rosemount、RockwellSoftware、Opto22、Intellution和IntuitiveTechnology發(fā)起成立OPC基金會(huì)。第一份OPC標(biāo)準(zhǔn)草案于1995年12月發(fā)布，第二份草案于1996年3月發(fā)布，第二份草案成功的吸引了大量開發(fā)人員的注意，并將其理念推向世界。OPC標(biāo)準(zhǔn)1.0版本于1996年8月29日正式出版，開始了全球范圍的活動(dòng)。截止2023年，OPC國(guó)際基金會(huì)總共擁有440余位公司成員/80多位最終用戶成員，3500多家致力于開發(fā)OPC產(chǎn)品的公司，超過22000種產(chǎn)品，擁有3000多種產(chǎn)品資料，在包括中國(guó)在內(nèi)的全球52個(gè)國(guó)家和地區(qū)擁有眾多分支機(jī)構(gòu)。隨著技術(shù)的開展和市場(chǎng)的需求，OPC技術(shù)的開展經(jīng)歷了三個(gè)主要階段，即經(jīng)典OPC、OPCXML-DA和OPCUA。協(xié)議簡(jiǎn)介經(jīng)典OPCOPC第一階段的技術(shù)稱為經(jīng)典的OPC。根據(jù)工業(yè)應(yīng)用的不同需求，經(jīng)典OPC包括的標(biāo)準(zhǔn)：DataAccess(DA)，Alarm&Events(A&E)，HistoricalDataAccess(HDA)，OPCBatch，OPCSecurity，OPCDX和OPCComplexData。其中應(yīng)用較多的有DA，AE和HAD。DA指出如何訪問當(dāng)前的過程數(shù)據(jù)，A&E提供了基于事件信息的接口，HDA描述了如何訪問已存檔的數(shù)據(jù)。所有的接口都提供通過地址空間導(dǎo)航獲取可用數(shù)據(jù)的方法。OPCDAOPCDA即OPC數(shù)據(jù)訪問標(biāo)準(zhǔn)，它是由OPC基金會(huì)定義的其中一種通信標(biāo)準(zhǔn)，定義了實(shí)時(shí)數(shù)據(jù)如何在數(shù)據(jù)源和數(shù)據(jù)接收體〔比方PLC，HMI〕之間，在不知道彼此特定通信協(xié)議的情況下仍然進(jìn)行交換、傳輸。年份版本備注19961.0初始標(biāo)準(zhǔn)19971.0a數(shù)據(jù)訪問，該名稱用于區(qū)分與其并行開發(fā)的其它19982.0－2.05a多處標(biāo)準(zhǔn)澄清和修改20033.0進(jìn)一步補(bǔ)充和修改表2-1OPCDA標(biāo)準(zhǔn)主要版本OPC數(shù)據(jù)存取標(biāo)準(zhǔn)定義了OPC效勞器中一組COM對(duì)象及其接口，并規(guī)定了客戶程序?qū)π谄鞒绦蜻M(jìn)行數(shù)據(jù)存取時(shí)需要遵循的標(biāo)準(zhǔn)。OPC數(shù)據(jù)存取標(biāo)準(zhǔn)以O(shè)PC對(duì)象模型邏輯為根底，該模型包含三類對(duì)象：OPC效勞器對(duì)象，OPC組對(duì)象和OPC項(xiàng)對(duì)象。OPC效勞器對(duì)象并作為OPC組對(duì)象的包容器維護(hù)有關(guān)效勞器的信息，OPC效勞器對(duì)象主要實(shí)現(xiàn)IUnknown和IOPCServer接口，OPC客戶程序通過OPC效勞器的接口與OPC對(duì)象進(jìn)行通信，存取數(shù)據(jù)源，數(shù)據(jù)源可以是現(xiàn)場(chǎng)設(shè)備，也可以是應(yīng)用程序，效勞器內(nèi)部封裝了與I/O控制設(shè)備通訊及操作的具體實(shí)現(xiàn)過程；OPC組對(duì)象維護(hù)有關(guān)其自身的信息，提供包容OPC項(xiàng)的機(jī)制，并管理OPC項(xiàng)，它提供了一種客戶程序組織數(shù)據(jù)的手段，例如一個(gè)組中可以包括一個(gè)設(shè)備中所有的數(shù)據(jù)項(xiàng)，客戶程序和數(shù)據(jù)項(xiàng)之間可以建立基于“訂閱〞的連接；有兩種類型的組，公共組和局域組，公共組可以被多個(gè)客戶共享，而局域組只能被一個(gè)客戶使用，每個(gè)組中都可以定義一個(gè)或多個(gè)OPC項(xiàng)。圖2-1OPCDA中的對(duì)象〔3〕OPCHDAOPCHDA即OPC歷史數(shù)據(jù)存取標(biāo)準(zhǔn)，提供了一種統(tǒng)一的在各種不同的應(yīng)用層面之間傳遞數(shù)據(jù)的方式，但跟OPCDA完全不同的是，OPCHDA在不同角色之間傳遞的是非實(shí)時(shí)數(shù)據(jù)，即不是當(dāng)下的時(shí)刻，而是過去某點(diǎn)或某段時(shí)間內(nèi)的過程數(shù)據(jù)。任何支持OPCHDA標(biāo)準(zhǔn)的數(shù)據(jù)可視化、數(shù)據(jù)分析或者趨勢(shì)匯報(bào)的軟件，都可以從任何一個(gè)支持OPCHDA的過程歷史數(shù)據(jù)庫中讀取數(shù)據(jù)。因?yàn)镺PCHDA已經(jīng)是一種非常之成熟的OPC訪問標(biāo)準(zhǔn)，所以現(xiàn)在市場(chǎng)上的主要過程歷史數(shù)據(jù)庫都支持OPCHDA，即使用戶所用的歷史數(shù)據(jù)庫沒有提供OPC通信，現(xiàn)在各大OPC供給商也都有為不同歷史數(shù)據(jù)庫提供OPC接口的軟件。可以看出其應(yīng)用主要不同的地方在于它是和過程數(shù)據(jù)庫進(jìn)行數(shù)據(jù)交換，其余的應(yīng)用和之前的OPCDA標(biāo)準(zhǔn)根本相同，是為了適應(yīng)新需求而升級(jí)的標(biāo)準(zhǔn)。OPC歷史數(shù)據(jù)效勞器對(duì)象實(shí)現(xiàn)了與歷史效勞器進(jìn)行讀取或?qū)懭霐?shù)據(jù)的功能，數(shù)據(jù)類型取決于效勞器。通過接口可以獲取所有的COM對(duì)象，客戶端只能看到這些COM對(duì)象。〔4〕OPCA&EOPCA&E即OPC報(bào)警事件標(biāo)準(zhǔn)，提供了基于事件信息的接口。OPC支持兩種類型的報(bào)警事件效勞器:簡(jiǎn)單的和復(fù)雜的。簡(jiǎn)單效勞器監(jiān)測(cè)報(bào)警或事件，并提供給報(bào)警事件客戶;復(fù)雜效勞器從多個(gè)數(shù)據(jù)源處(包括簡(jiǎn)單效勞器)監(jiān)測(cè)報(bào)警或事件信息，并向報(bào)警事件客戶提供信息。報(bào)警事件客戶也分為三類：操作站、報(bào)警事件管理子系統(tǒng)和報(bào)警事件logging組件。OPC報(bào)警事件效勞器包含一系列的對(duì)象和接口，這些對(duì)象和接口向客戶提供報(bào)警事件信息。OPC報(bào)警事件效勞器中涉及以下幾個(gè)概念：報(bào)警〔Alarm〕：報(bào)警是一種非正常的狀態(tài)。狀態(tài)〔Condition〕：狀態(tài)是OPC報(bào)警事件效勞器定義的，每個(gè)狀態(tài)還可以包含假設(shè)干個(gè)子狀態(tài)，狀態(tài)最終是和現(xiàn)場(chǎng)數(shù)據(jù)項(xiàng)聯(lián)系的。每一個(gè)狀態(tài)都包含一個(gè)或多個(gè)子狀態(tài)、屬性和質(zhì)量等屬性。OPC報(bào)警事件效勞器中定義狀態(tài)機(jī)處理相應(yīng)的狀態(tài)或子狀態(tài)之間的變化。事件：OPC標(biāo)準(zhǔn)中定義了三種事件。條件事件：定義描述了狀態(tài)的變化。跟蹤事件:指當(dāng)客戶與OPC事件效勞器中定義的數(shù)據(jù)項(xiàng)之間發(fā)生交互時(shí)引發(fā)的事件。簡(jiǎn)單事件:指除以上兩種事件以外的任何事件，例如，效勞器中定義的物理系統(tǒng)和設(shè)備的錯(cuò)誤等。OPCA&E效勞器主要包括OPC事件效勞器對(duì)象、OPC事件訂閱對(duì)象和OPC事件區(qū)域?yàn)g覽對(duì)象?！?〕OPCXML-DAOPCXML-DA是OPC基金會(huì)提出的一個(gè)基于XML標(biāo)準(zhǔn)和SOAP技術(shù)的接口標(biāo)準(zhǔn)，OPCXML-DA將要交換的結(jié)構(gòu)化數(shù)據(jù)信息組織為SOAP消息來傳送?；赬ML技術(shù)和SOAP技術(shù)的特征使得它可以更好地促進(jìn)工業(yè)現(xiàn)場(chǎng)數(shù)據(jù)跨越Internet的傳輸，簡(jiǎn)化不同應(yīng)用間的互操作性，并將現(xiàn)場(chǎng)數(shù)據(jù)統(tǒng)一到企業(yè)層的運(yùn)用中，實(shí)現(xiàn)諸如MES和ERP等系統(tǒng)的一體化連接，XML在OPC標(biāo)準(zhǔn)中的引入，為控制系統(tǒng)到信息系統(tǒng)之間的數(shù)據(jù)交換搭建了一個(gè)橋梁?？刂葡到y(tǒng)現(xiàn)場(chǎng)采用XML描述的數(shù)據(jù)可以被管理信息系統(tǒng)中的標(biāo)準(zhǔn)XML解析器解析，而不需要根據(jù)不同的控制系統(tǒng)數(shù)據(jù)描述開發(fā)多種解析器，這使得統(tǒng)一和標(biāo)準(zhǔn)化的數(shù)據(jù)傳輸成為可能。OPCXML-DA支持8種效勞，每種效勞都包括1個(gè)請(qǐng)求和1個(gè)響應(yīng)。通過對(duì)這些效勞的定義，提供了訪問工業(yè)現(xiàn)場(chǎng)數(shù)據(jù)的標(biāo)準(zhǔn)接口，請(qǐng)求和響應(yīng)按照SOAP協(xié)議標(biāo)準(zhǔn)被包裝成SOAP信封，信封標(biāo)題說明消息如何被處理，信封正文那么包含工業(yè)過程信息。OPCXML-DA支持的效勞類型具體包括：GetStatus：返回關(guān)于效勞器、版本、當(dāng)前模式、運(yùn)行狀態(tài)等信息；Browse：在效勞器的命名空間里搜索所有可獲取的項(xiàng)的名字；GetProperties：返回1個(gè)或多個(gè)項(xiàng)的屬性相關(guān)信息；Write：向1個(gè)或多個(gè)項(xiàng)中寫入新值；Read：返回1個(gè)或多個(gè)項(xiàng)的值、品質(zhì)和時(shí)間戳；Subscribe：指定1個(gè)客戶希望持續(xù)更新的項(xiàng)列表；SubscriptionCancel：刪除在前一個(gè)Subscrible調(diào)用中指定的項(xiàng)列表；SubscriptionPolledRefresh：返回上次調(diào)用以來在項(xiàng)列表中數(shù)值發(fā)生變化的所有項(xiàng)。〔6〕OPCUAOPC通信標(biāo)準(zhǔn)的核心是互通性(Interoperability)和標(biāo)準(zhǔn)化(Standardization)問題。傳統(tǒng)的OPC技術(shù)在控制級(jí)別很好地解決了硬件設(shè)備間的互通性問題，在企業(yè)層面的通信標(biāo)準(zhǔn)化是同樣需要的。OPCUA之前的訪問標(biāo)準(zhǔn)都是基于微軟的COM/DCOM技術(shù)，這會(huì)給新增層面的通信帶來不可鏟除的弱點(diǎn)。隨著傳統(tǒng)OPC技術(shù)不夠靈活、平臺(tái)局限等問題逐漸凸顯，OPC基金會(huì)于2006年發(fā)布了最新的OPC技術(shù)標(biāo)準(zhǔn)—OPC統(tǒng)一體系架構(gòu)(OPCUA)，涵蓋了OPC實(shí)時(shí)數(shù)據(jù)訪問標(biāo)準(zhǔn)(OPCDA)、OPC歷史數(shù)據(jù)訪問標(biāo)準(zhǔn)(OPCHDA)、OPC報(bào)警事件訪問標(biāo)準(zhǔn)(OPCA&E)和OPC平安協(xié)議(OPCSecurity)的不同方面，但在其根底之上進(jìn)行了功能擴(kuò)展。OPCUA是在傳統(tǒng)OPC技術(shù)取得很大成功之后的又一個(gè)突破，讓數(shù)據(jù)采集、信息模型化以及工廠底層與企業(yè)層面之間的通訊更加平安、可靠，它是未來OPC技術(shù)的核心開展技術(shù)標(biāo)準(zhǔn)。OPCUA的幾大優(yōu)勢(shì)：與平臺(tái)無關(guān)，可在任何操作系統(tǒng)上運(yùn)行為未來的先進(jìn)系統(tǒng)做好準(zhǔn)備，與保存系統(tǒng)繼續(xù)兼容配置和維護(hù)更加方便基于效勞的技術(shù)可見性增加通信范圍更廣通信性能提高OPCUA有效地將現(xiàn)有的OPC標(biāo)準(zhǔn)〔DA、A&E、HDA、命令、復(fù)雜數(shù)據(jù)和對(duì)象類型〕集成進(jìn)來，成為現(xiàn)在的新的OPCUA標(biāo)準(zhǔn)。OPCUA提供了一致、完整的地址空間和效勞模型，解決了過去同一系統(tǒng)的信息不能以統(tǒng)一方式被訪問的問題。通信性高OPCUA標(biāo)準(zhǔn)可以通過任何單一端口進(jìn)行通信。這讓穿越防火墻不再是OPC通信的路障，并且為提高傳輸性能控制工程網(wǎng)版權(quán)所有，OPCUA消息的編碼格式可以是XML文本格式或二進(jìn)制格式，也可使用多種傳輸協(xié)議進(jìn)行傳輸，比方：TCP和通過HTTP的網(wǎng)絡(luò)效勞?？煽啃?、冗余性O(shè)PCUA的開發(fā)含有高度可靠性和冗余性的設(shè)計(jì)?？烧{(diào)試的逾時(shí)設(shè)置控制工程網(wǎng)版權(quán)所有，錯(cuò)誤發(fā)現(xiàn)和自動(dòng)糾正等新特征，都使得符合OPCUA標(biāo)準(zhǔn)的軟件產(chǎn)品可以很自如地處理通信錯(cuò)誤和失敗。OPCUA的標(biāo)準(zhǔn)冗余模型也使得來自不同廠商的軟件應(yīng)用可以同時(shí)被采納并彼此兼容。標(biāo)準(zhǔn)平安模型OPCUA訪問標(biāo)準(zhǔn)明確提出了標(biāo)準(zhǔn)平安模型，每個(gè)OPCUA應(yīng)用都必須執(zhí)行OPCUA平安協(xié)議，這在提高互通性的同時(shí)降低了維護(hù)和額外配置費(fèi)用。用于OPCUA應(yīng)用程序之間傳遞消息的底層通信技術(shù)提供了加密功能和標(biāo)記技術(shù)，保證了消息的完整性，也防止信息的泄漏。平臺(tái)無關(guān)OPCUA軟件的開發(fā)不再依靠和局限于任何特定的操作平臺(tái)。過去只局限于Windows平臺(tái)的OPC技術(shù)拓展到了Linux、Unix、Mac等各種其它平臺(tái)。基于Internet的WebService效勞架構(gòu)(SOA)和非常靈活的數(shù)據(jù)交換系統(tǒng)，OPCUA的開展不僅立足于現(xiàn)在控制工程網(wǎng)版權(quán)所有，更加面向未來。OPCUA定義了一系列效勞器所能提供的效勞，特定的效勞器需要向客戶打量細(xì)說明它們所支持的效勞；信息通過使用標(biāo)準(zhǔn)的和宿主程序定義的數(shù)據(jù)類型進(jìn)行表達(dá)，效勞器定義客戶端可識(shí)別的對(duì)象模型，效勞器可以提供查看實(shí)時(shí)數(shù)據(jù)和歷史數(shù)據(jù)的接口，并且由報(bào)警和事件組件來通知客戶端重要的變量或事件變化，OPCUA可以被映射到一種通信協(xié)議上并且數(shù)據(jù)可以以不同的形式進(jìn)行編碼來到達(dá)傳輸便捷和高效的目的。OPCUA的總體架構(gòu)如下列圖所示。圖2-3OPCUA總體架構(gòu)協(xié)議平安性分析由于使用DCOM與RPC、OPC與OLE受到同樣漏洞的影響，從而導(dǎo)致OPC很容易受到攻擊。此外，OPC基于Windows操作系統(tǒng)，很容易受到針對(duì)windows漏洞的攻擊影響。雖然OPC及相關(guān)控制系統(tǒng)漏洞只有ICS-CERT授權(quán)會(huì)員才能獲得，但大量現(xiàn)存OLE與RPC漏洞早已廣為人知。因?yàn)樵诠I(yè)網(wǎng)絡(luò)中為產(chǎn)品系統(tǒng)打補(bǔ)丁存在困難，所以目前正在使用的工控系統(tǒng)依然存在許多這樣的漏洞，哪怕微軟公司已經(jīng)提供了相應(yīng)的補(bǔ)丁，但這種平安狀態(tài)一直沒有得到改變。而且由于OPC基于Windows系統(tǒng)，通常的主機(jī)平安問題也會(huì)影響OPC系統(tǒng)。大量OPC主機(jī)使用弱平安認(rèn)證機(jī)制，即使啟用了認(rèn)證機(jī)制也常使用弱口令。許多系統(tǒng)啟用了與SCADA系統(tǒng)無關(guān)的額外Windows效勞，導(dǎo)致非必需的運(yùn)行進(jìn)程和開放端口。這些問題將OPC系統(tǒng)廣泛暴露于攻擊之下。令問題更嚴(yán)重的是，由于Windows2000/XP審計(jì)設(shè)置默認(rèn)不會(huì)記錄DCOM連接請(qǐng)求，因此攻擊發(fā)生時(shí)，日志記錄往往不充分甚至缺失，無法提供足夠的詳細(xì)證據(jù)。也就是說，與前述的簡(jiǎn)單且目的單一的協(xié)議不同，OPC必須使用最新操作系統(tǒng)與網(wǎng)絡(luò)平安手段，將其作為大型系統(tǒng)對(duì)待。由于OPC依賴于微軟公司授權(quán)機(jī)制，因而弱口令是威脅OPC效勞器平安的最嚴(yán)重脆弱性之一。另一個(gè)主要問題是，由于windows2000/XP的審計(jì)設(shè)置默認(rèn)不會(huì)記錄DCOM的連接請(qǐng)求、SMB登錄以及訪問系統(tǒng)對(duì)象的嘗試，從而導(dǎo)致日志記錄不充分。其他OPC平安問題包括：過時(shí)的授權(quán)效勞。受限于維護(hù)窗口、解釋性問題等諸多因素，工業(yè)網(wǎng)絡(luò)系統(tǒng)升級(jí)困難，導(dǎo)致不平安的授權(quán)機(jī)制仍在使用。例如，在許多系統(tǒng)中，仍在使用默認(rèn)的Windows2000LanMan(LM)和WindowsNTLanMan(NTLM)機(jī)制，這些機(jī)制與其他過時(shí)的授權(quán)機(jī)制過于脆弱而易受攻擊。RPC漏洞。由于OPC使用RPC，因而易受所有RPC相關(guān)漏洞影響，包括幾個(gè)在授權(quán)前就暴露的漏洞。攻擊底層RPC漏洞可以導(dǎo)致非法執(zhí)行代碼或DoS攻擊。不必要的端口與效勞。OPC支持除TCP/IP外的其他網(wǎng)絡(luò)協(xié)議，包括NetBEUI、在Ipx協(xié)議上面向連接的NetBIOS和HTTP互聯(lián)網(wǎng)效勞等。OPC效勞器完整性。攻擊者可以創(chuàng)立一個(gè)假冒OPC效勞器，并使用這個(gè)效勞器進(jìn)行效勞干擾、DoS攻擊、通過總線監(jiān)聽竊取信息或注入惡意代碼。通過監(jiān)控OPC網(wǎng)絡(luò)或OPC效勞器〔效勞器活動(dòng)可以通過采集與分析Windows日志監(jiān)控〕可疑行為可以檢測(cè)多種威脅，包括：從OPC效勞器發(fā)起的使用非OPC的端口與效勞。出現(xiàn)OPC(包括底層OLERPC與DCOM)攻擊。來自未知OPC效勞器的OPC效勞(意味著存在假冒效勞器)。OPC效勞器上的失敗授權(quán)嘗試或其他授權(quán)異常。OPC效勞器上由未知或未授權(quán)用戶發(fā)起的成功授權(quán)嘗。DNP3協(xié)議協(xié)議簡(jiǎn)介DNP〔DistributedNetworkProtocol，分布式網(wǎng)絡(luò)協(xié)議〕是HARRIS公司推出的一種遠(yuǎn)動(dòng)通信協(xié)議，是目前電力系統(tǒng)自動(dòng)化產(chǎn)品市場(chǎng)上的一種主流通信協(xié)議。DNP3.0是美國(guó)IEEE電力工程協(xié)會(huì)(PES)在IEC的根底上制定的國(guó)家標(biāo)準(zhǔn)。DNP3.0的開發(fā)是HARRIS公司集其多年SCADA通信規(guī)約應(yīng)用經(jīng)驗(yàn)，并參與了多個(gè)標(biāo)準(zhǔn)委員會(huì)的經(jīng)驗(yàn)交流的結(jié)果(如IEEE，IEC，EPRI/UCA，MMSForum，AMRA，ANSI，CCAC，CIGRE等標(biāo)準(zhǔn)委員會(huì)組織)。協(xié)議標(biāo)準(zhǔn)DNP3.0基于IEC870-5標(biāo)準(zhǔn)，采用了ISO七層模型中的三層：物理層、數(shù)據(jù)鏈路層和應(yīng)用層，其結(jié)構(gòu)為增強(qiáng)協(xié)議結(jié)構(gòu)。這種分層結(jié)構(gòu)使得數(shù)據(jù)傳送的可靠性大大提高，同時(shí)也便于軟件編程的模塊化。物理層一般采用普通的RS232或RS485；鏈路層采用CRC校驗(yàn)；為了滿足較長(zhǎng)數(shù)據(jù)包的傳送，又增加了一個(gè)偽傳輸層。發(fā)送數(shù)據(jù)時(shí)它可以將較長(zhǎng)的應(yīng)用層報(bào)文拆分為多個(gè)短幀然后多幀傳送，反之，接收時(shí)將短幀組裝成完整的應(yīng)用層報(bào)文。 圖3-1DNP3通信協(xié)議結(jié)構(gòu)圖DNP3.0的數(shù)據(jù)鏈路層協(xié)議規(guī)定了DNP3.0版的數(shù)據(jù)鏈路層，鏈路協(xié)議數(shù)據(jù)單元(LPDU)以及數(shù)據(jù)鏈路效勞和傳輸規(guī)程。數(shù)據(jù)采用一種可變幀長(zhǎng)格式：FT3。一個(gè)FT3幀被定義為一個(gè)固定長(zhǎng)度的報(bào)頭，隨后是可以選用的數(shù)據(jù)塊，每個(gè)數(shù)據(jù)塊附有一個(gè)16位的CRC校驗(yàn)碼。固定的報(bào)頭含有2個(gè)字節(jié)的起始字，一個(gè)字節(jié)的長(zhǎng)度〔LENGH〕，一個(gè)字節(jié)的鏈路層控制字〔CONTROL〕，一個(gè)16位的目的地址，一個(gè)16位的源地址和一個(gè)16位的CRC校驗(yàn)碼，共10個(gè)字節(jié)。圖3-2DNP3數(shù)據(jù)鏈路層協(xié)議格式傳輸層協(xié)議DNP的傳輸層是一個(gè)偽傳輸層。偽傳輸層功能專門設(shè)計(jì)用于在原方站和從方站之間傳送超出鏈路規(guī)約數(shù)據(jù)單元〔LPDU〕定義長(zhǎng)度的信息。其格式如下：圖3-3DNP3傳輸層協(xié)議格式其中：傳輸層報(bào)頭：傳輸控制字，1個(gè)字節(jié)數(shù)據(jù)塊：應(yīng)用用戶數(shù)據(jù)1-249個(gè)字節(jié)應(yīng)用層規(guī)約：DNP3.0應(yīng)用層歸約定義了應(yīng)用層報(bào)文(APDU)的格式。這里，主站被定義為發(fā)送請(qǐng)求報(bào)文的站，而從站那么為附屬設(shè)備。被請(qǐng)求回送報(bào)文的RTU或智能終端，只有被指定的主站能夠發(fā)送應(yīng)用層的請(qǐng)求報(bào)文，而從站那么只能發(fā)送應(yīng)用層的響應(yīng)報(bào)文。應(yīng)用請(qǐng)求報(bào)文的格式：圖3-4DNP3應(yīng)用層響應(yīng)報(bào)文格式請(qǐng)求〔響應(yīng)〕報(bào)頭：標(biāo)識(shí)報(bào)文的目的，包含應(yīng)用規(guī)約控制信息〔ACPI〕；對(duì)象標(biāo)題：標(biāo)識(shí)隨后的數(shù)據(jù)對(duì)象；數(shù)據(jù)：在對(duì)象標(biāo)題內(nèi)的指定的數(shù)據(jù)對(duì)象；應(yīng)用報(bào)文報(bào)頭字段的定義：請(qǐng)求報(bào)頭有兩個(gè)字段。每個(gè)字段為8位的字節(jié)，說明如下：圖3-5DNP3應(yīng)用層請(qǐng)求報(bào)文報(bào)頭響應(yīng)報(bào)頭有三個(gè)字段。前兩個(gè)字段為8位的字節(jié)，第三個(gè)字段為兩個(gè)字節(jié)，說明如下：圖3-6DNP3應(yīng)用層響應(yīng)報(bào)文報(bào)頭協(xié)議平安性分析DNP3的主要關(guān)注點(diǎn)集中在數(shù)據(jù)幀完整性方面，而它并沒有使用授權(quán)或加密機(jī)制(盡管在平安DNP3中有)。由于DNP3功能代碼與數(shù)據(jù)類型都已經(jīng)明確定義，因此篡改DNP3會(huì)話變得相當(dāng)容易。不過，在DNP3協(xié)議中引入平安機(jī)制的同時(shí)帶來復(fù)雜度的增加，也為協(xié)議增加了出現(xiàn)漏洞的可能。ICS-CERT已報(bào)告了幾個(gè)DNP3漏洞。由于存在漏洞，而且DNP3協(xié)議已得到廣泛使用，因此建議對(duì)DNP3互聯(lián)進(jìn)行適當(dāng)滲透測(cè)試和補(bǔ)丁修復(fù)操作。一些常針對(duì)DNP3進(jìn)行攻擊的實(shí)例包括使用MITM攻擊來竊取地址然后用于操縱系統(tǒng)。實(shí)例如下：關(guān)閉自主報(bào)告以癱瘓告警。向主控站發(fā)送虛假自發(fā)響應(yīng)事件，并欺騙操作員采取不當(dāng)行為。通過注入播送數(shù)據(jù)，在DNP3系統(tǒng)內(nèi)制造播送風(fēng)暴進(jìn)行DoS攻擊篡改時(shí)間同步數(shù)據(jù)，導(dǎo)致同步失鎖與通信錯(cuò)誤。篡改或阻塞確認(rèn)信息，導(dǎo)致持續(xù)重傳。發(fā)起未授權(quán)的停止、重啟或其他可能擾亂工控系統(tǒng)運(yùn)行的指令通過監(jiān)控DNP3會(huì)話，監(jiān)視特定功能碼和行為可以檢測(cè)多種威脅：在DNP3端口上使用非DNP3通信(TCP與UDP端口20000)。使用配置功能代碼23(禁用自發(fā)響應(yīng))。使用控制功能代碼4、5或6(操作、直接操作、無確認(rèn)的直接操作)。使用應(yīng)用程序控制功能18(停止應(yīng)用程序)。大量超時(shí)自發(fā)響應(yīng)(響應(yīng)風(fēng)暴)。對(duì)需要授權(quán)的操作進(jìn)行任何非法嘗試。任何授權(quán)失敗。任何源自或去向一個(gè)未顯式定義為主/從設(shè)備的DNP3通信。Ethernet/IP協(xié)議協(xié)議簡(jiǎn)介Ethernet/IP是由ODVA(OpenDeviceNetVendorsAssociation)和ControlNetInternational兩大國(guó)際工業(yè)組織所推出的面向工業(yè)自動(dòng)化應(yīng)用的工業(yè)應(yīng)用層協(xié)議。Ethernet/IP是一個(gè)面向工業(yè)自動(dòng)化應(yīng)用的工業(yè)應(yīng)用層協(xié)議。它建立在標(biāo)準(zhǔn)UDP/IP與TCP/IP協(xié)議之上，利用固定的以太網(wǎng)硬件和軟件，為配置、訪問和控制工業(yè)自動(dòng)化設(shè)備定義了一個(gè)應(yīng)用層協(xié)議。協(xié)議基于標(biāo)準(zhǔn)的以太網(wǎng)技術(shù)，使用所有傳統(tǒng)的以太網(wǎng)協(xié)議和標(biāo)準(zhǔn)的TCP/IP協(xié)議，并且采用了通用工業(yè)協(xié)議(CommonIndustrialProtocol，CIP)，共同構(gòu)成Ethernet/IP協(xié)議的體系結(jié)構(gòu)。協(xié)議標(biāo)準(zhǔn)Ethernet/IP協(xié)議各層結(jié)構(gòu)如下列圖所示:圖4-1Ethernet/IP協(xié)議結(jié)構(gòu)圖在物理層和數(shù)據(jù)鏈路層采用標(biāo)準(zhǔn)以太網(wǎng)技術(shù)意味著Ethernet/IP可以和現(xiàn)在所有的標(biāo)準(zhǔn)以太網(wǎng)設(shè)備透明銜接工作，并且保證了Ethernet/IP會(huì)隨著以太網(wǎng)技術(shù)的開展而進(jìn)一步開展。在網(wǎng)絡(luò)層和傳輸層，采用UDP協(xié)議傳送對(duì)實(shí)時(shí)性要求較高的隱式報(bào)文，將UDP報(bào)文映射到IP多播傳送。實(shí)現(xiàn)高效I/O交換。用TCP協(xié)議的流量控制和點(diǎn)對(duì)點(diǎn)特性通過TCP通道傳輸非實(shí)時(shí)性的顯式報(bào)文?；跇?biāo)準(zhǔn)的TCP/IP協(xié)議，在TCP或UDP報(bào)文的數(shù)據(jù)局部嵌入了CIP封裝協(xié)議。CIP協(xié)議是一個(gè)端到端的面向?qū)ο蟛⑻峁┝斯I(yè)設(shè)備和高級(jí)設(shè)備之間連接的協(xié)議，獨(dú)立于物理層和數(shù)據(jù)鏈路層。使得連接在以太網(wǎng)上的各種設(shè)備具有較好的一致性，從而使不同供給商的產(chǎn)品能夠互相交互。Ethernet/IP工業(yè)以太網(wǎng)有著Devicenet現(xiàn)場(chǎng)總線和Controlnet現(xiàn)場(chǎng)總線都不具備的特點(diǎn)，即其不僅采用了OSI模型中的物理層、數(shù)據(jù)鏈路層和應(yīng)用層，還涉及網(wǎng)絡(luò)層和傳輸層，并采用了TCP/IP協(xié)議。而Devicenet現(xiàn)場(chǎng)總線和Controlnet現(xiàn)場(chǎng)總線只對(duì)物理層、數(shù)據(jù)鏈路層和應(yīng)用層進(jìn)行了定義。Ethernet/IP通信協(xié)議模型在應(yīng)用層的根底上新增加了用戶層，并對(duì)工業(yè)控制中的功能塊進(jìn)行了標(biāo)準(zhǔn)化操作，事先對(duì)其輸入、輸出、算法和參數(shù)等進(jìn)行規(guī)定，并組成為能夠在現(xiàn)場(chǎng)設(shè)備中實(shí)現(xiàn)執(zhí)行功能的應(yīng)用進(jìn)程，目的是為了實(shí)現(xiàn)不同類型制造商的設(shè)備進(jìn)行混合組態(tài)。CIP通用工業(yè)協(xié)議是Ethernet/IP、Devicenet和Controlnet3種網(wǎng)絡(luò)的交叉點(diǎn)，從而使3種網(wǎng)絡(luò)之間實(shí)現(xiàn)共享，并借由工業(yè)路由器連接起來。Ethernet/IP封裝協(xié)議Encapsulation位于TCP/IP和CIP協(xié)議之間，基于TCP/IP協(xié)議的Encapsulation協(xié)議數(shù)據(jù)包結(jié)構(gòu)如下列圖所示，其中封裝信息EncapsulationMessage包括封裝頭Encapsulationheader和命令數(shù)據(jù)Commandspecificdata兩局部組成。圖4-2Ether/IP協(xié)議格式協(xié)議平安性分析Ethernet/IP是實(shí)時(shí)以太網(wǎng)協(xié)議，容易受以太網(wǎng)漏洞影響。由于UDP之上的Ethernet/IP是無法連接的，因此沒有內(nèi)在的網(wǎng)絡(luò)層機(jī)制來保證可靠性、順序性或進(jìn)行數(shù)據(jù)完整性檢查。同時(shí)CIP明確的對(duì)象模型也帶來如下的特有平安問題：CIP未定義任何顯式或隱式的平安機(jī)制；使用通用必需對(duì)象進(jìn)行設(shè)備標(biāo)識(shí)，為攻擊者進(jìn)行設(shè)備識(shí)別與枚舉創(chuàng)造了條件；使用通用應(yīng)用對(duì)象進(jìn)行設(shè)備信息交換與控制，可能擴(kuò)大遭受工業(yè)攻擊的范圍，令攻擊者可以操縱更多的工業(yè)設(shè)備；Ethernet/IP使用UDP與播送數(shù)據(jù)進(jìn)行實(shí)時(shí)傳輸，兩者都缺少傳輸控制，攻擊者易于注入偽造數(shù)據(jù)或使用注入IGMP控制報(bào)文操縱傳輸途徑。EtherCAT協(xié)議協(xié)議簡(jiǎn)介EtherCAT技術(shù)是德國(guó)倍福(Beckhof)公司提出的實(shí)時(shí)工業(yè)以太網(wǎng)技術(shù)，它基于標(biāo)準(zhǔn)的以太網(wǎng)技術(shù)，具備靈活的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，系統(tǒng)配置簡(jiǎn)單，具有高速、高有效數(shù)據(jù)率等特點(diǎn)，是一種開放式實(shí)時(shí)以太網(wǎng)在自動(dòng)化控制技術(shù)領(lǐng)域，EtherCAT已經(jīng)成為一種全球范圍內(nèi)先進(jìn)的技術(shù)標(biāo)準(zhǔn)。EtherCAT技術(shù)組〔ETG〕成立于2003年11月，截至2023年