第十三章DNP3協(xié)議安全13.1

DNP3協(xié)議概述13.2DNP3協(xié)議體系結(jié)構(gòu)13.3

DNP3的功能13.4DNP3協(xié)議的安全風(fēng)險(xiǎn)13.5DNP3協(xié)議的安全防護(hù)措施第十三章DNP3協(xié)議安全DNP3協(xié)議概述13.1PARTONE13.1DNP3協(xié)議概述DNP協(xié)議（DistributedNetworkProtocol，DNP）是在國(guó)際電子電工協(xié)會(huì)的TC57協(xié)議基礎(chǔ)上制定的通信規(guī)約，它支持ISO的OSI/EPA模型，如今已發(fā)展至DNP3.0。該協(xié)議是一種用于遠(yuǎn)程監(jiān)控與控制系統(tǒng)的關(guān)鍵協(xié)議，其主要應(yīng)用于電力、水務(wù)、交通、環(huán)境監(jiān)測(cè)等領(lǐng)域。0102DNP3協(xié)議的特點(diǎn)DNP3協(xié)議的應(yīng)用場(chǎng)景CONTENTS目錄13.1.1DNP3協(xié)議的特點(diǎn)可靠性和穩(wěn)定性：DNP3協(xié)議通過(guò)多種機(jī)制（如數(shù)據(jù)重傳和校驗(yàn)）來(lái)應(yīng)對(duì)工業(yè)環(huán)境中的常見(jiàn)問(wèn)題，如噪聲、干擾和丟包。此外，協(xié)議還支持多級(jí)重試，能夠自動(dòng)處理通信中斷或設(shè)備故障等情況，確保數(shù)據(jù)傳輸?shù)臏?zhǔn)確性和穩(wěn)定性。靈活性和擴(kuò)展性：DNP3支持多種數(shù)據(jù)格式（如模擬量、數(shù)字量、字符串等），并允許用戶(hù)自定義數(shù)據(jù)類(lèi)型。協(xié)議具有良好的擴(kuò)展性，可以根據(jù)需求輕松增加新的功能和特性，如添加新的數(shù)據(jù)點(diǎn)或擴(kuò)展協(xié)議功能。13.1.1DNP3協(xié)議的特點(diǎn)高效性：通過(guò)優(yōu)化的數(shù)據(jù)傳輸方式和壓縮算法，DNP3能在帶寬有限或網(wǎng)絡(luò)擁堵的情況下高效傳輸數(shù)據(jù)。它支持?jǐn)?shù)據(jù)壓縮和優(yōu)先級(jí)處理，有效減少數(shù)據(jù)傳輸?shù)难舆t和網(wǎng)絡(luò)負(fù)載，提高傳輸效率和速度。兼容性：DNP3與各種工業(yè)控制系統(tǒng)和設(shè)備兼容，能夠與不同廠商的設(shè)備進(jìn)行無(wú)縫通信。它支持多種通信接口和網(wǎng)絡(luò)協(xié)議，如串口、以太網(wǎng)、無(wú)線(xiàn)通信等。故障恢復(fù)能力：DNP3協(xié)議具備快速恢復(fù)通信鏈路的能力，能夠減少因網(wǎng)絡(luò)中斷或設(shè)備故障帶來(lái)的停機(jī)時(shí)間。它支持自動(dòng)重連和鏈路恢復(fù)功能，確保數(shù)據(jù)傳輸?shù)倪B續(xù)性和穩(wěn)定性。DNP3協(xié)議的應(yīng)用場(chǎng)景。13.1.2

DNP3協(xié)議的應(yīng)用場(chǎng)景電力系統(tǒng)：用于遠(yuǎn)程監(jiān)控和控制發(fā)電廠、變電站和配電網(wǎng)絡(luò)，幫助工程師實(shí)時(shí)監(jiān)測(cè)電網(wǎng)狀態(tài)、參數(shù)和故障信息，并進(jìn)行遠(yuǎn)程操作和調(diào)節(jié)。水務(wù)系統(tǒng)：監(jiān)控和控制水處理廠、水泵站和水質(zhì)檢測(cè)設(shè)備，實(shí)時(shí)了解水務(wù)系統(tǒng)的運(yùn)行情況，并遠(yuǎn)程調(diào)節(jié)設(shè)備，提高效率和安全性。交通系統(tǒng)：用于交通信號(hào)燈控制與管理，交通管理中心可以實(shí)時(shí)監(jiān)控路口交通情況，并遠(yuǎn)程調(diào)節(jié)信號(hào)燈，優(yōu)化交通流量，減少交通事故。環(huán)境監(jiān)測(cè)系統(tǒng)：監(jiān)測(cè)環(huán)境中的氣象、空氣質(zhì)量、水質(zhì)和土壤質(zhì)量等參數(shù)，DNP3協(xié)議在實(shí)時(shí)數(shù)據(jù)監(jiān)控和控制中發(fā)揮了關(guān)鍵作用。DNP3協(xié)議體系結(jié)構(gòu)13.2PARTTWO0102DNP3協(xié)議分層結(jié)構(gòu)DNP3協(xié)議的通信模式CONTENTS目錄13.2.1DNP3協(xié)議的分層結(jié)構(gòu)早期的SCADA系統(tǒng)依賴(lài)于易受噪聲和信號(hào)失真影響的通信電路。為了解決這一問(wèn)題，DNP3協(xié)議被設(shè)計(jì)為包含多個(gè)協(xié)議層。國(guó)際電工委員會(huì)（IEC）最初提出了用于SCADA系統(tǒng)遙測(cè)數(shù)據(jù)傳輸?shù)腎EC870標(biāo)準(zhǔn)，并開(kāi)發(fā)了三層增強(qiáng)性能架構(gòu)（EnhancedPerformanceArchitecture，EPA）。EPA通過(guò)刪除ISO/OSI七層模型中不必要的層來(lái)優(yōu)化SCADA系統(tǒng)。然而，EPA不支持大于數(shù)據(jù)鏈路幀最大長(zhǎng)度的應(yīng)用層消息。DNP3通過(guò)引入偽傳輸層，并允許消息分段，解決了這一限制。13.2.1DNP3協(xié)議的分層結(jié)構(gòu)如右圖所示為從OSI模型到DNP3模型的變化。13.2.1DNP3協(xié)議的分層結(jié)構(gòu)DNP3協(xié)議是基于ISO/OSI參考模型的應(yīng)用層協(xié)議，主要用于實(shí)現(xiàn)遠(yuǎn)程設(shè)備之間的數(shù)據(jù)交換。DNP3協(xié)議采用類(lèi)似于互聯(lián)網(wǎng)的分層結(jié)構(gòu)，包括物理層、數(shù)據(jù)鏈路層、偽傳輸層和應(yīng)用層，每一層都有其特定的功能。物理層：物理層是DNP3協(xié)議的最底層，負(fù)責(zé)將數(shù)據(jù)轉(zhuǎn)化為電信號(hào)并通過(guò)物理媒介傳輸。常用的物理媒介包括串口、以太網(wǎng)等。數(shù)據(jù)鏈路層：數(shù)據(jù)鏈路層確保數(shù)據(jù)的可靠傳輸，包括差錯(cuò)檢測(cè)、幀同步和流控制等功能。偽傳輸層：偽傳輸層是DNP3協(xié)議的核心層，負(fù)責(zé)數(shù)據(jù)包的路由和尋址。數(shù)據(jù)包中的源地址和目的地址標(biāo)識(shí)了發(fā)送方和接收方。應(yīng)用層：應(yīng)用層是DNP3協(xié)議的最高層，定義了數(shù)據(jù)交換的格式和內(nèi)容。DNP3協(xié)議使用類(lèi)似報(bào)文的數(shù)據(jù)格式來(lái)封裝和解封裝數(shù)據(jù)。13.2.2DNP3協(xié)議的通信模式DNP3協(xié)議支持三種主要的通信模式，用于主設(shè)備和分設(shè)備之間的通信。單播事務(wù)：主設(shè)備向特定分站發(fā)送請(qǐng)求，分站響應(yīng)對(duì)應(yīng)的消息。例如，主設(shè)備發(fā)送“讀”或“寫(xiě)”消息，分站根據(jù)請(qǐng)求執(zhí)行操作并回應(yīng)。廣播事務(wù)：主設(shè)備向所有分站發(fā)送消息，分站不響應(yīng)廣播消息。未經(jīng)請(qǐng)求的響應(yīng)：分站設(shè)備主動(dòng)發(fā)送響應(yīng)，通常用于提供周期性更新或警報(bào)。

13.2.2DNP3協(xié)議的通信模式DNP3支持三種常見(jiàn)的網(wǎng)絡(luò)配置一對(duì)一配置：一個(gè)主站和一個(gè)分站設(shè)備通過(guò)專(zhuān)用連接進(jìn)行通信，例如撥號(hào)電話(huà)線(xiàn)。多點(diǎn)配置：一個(gè)主設(shè)備與多個(gè)分站通信，每個(gè)分站接收主設(shè)備的請(qǐng)求，但僅響應(yīng)與自己相關(guān)的消息。分層配置：設(shè)備在不同的段中既充當(dāng)主設(shè)備，也充當(dāng)分站，稱(chēng)為“子主設(shè)備”。DNP3的功能13.3PARTTHREE010203DNP3的數(shù)據(jù)鏈路層DNP3的偽傳輸層DNP3的應(yīng)用層CONTENTS目錄13.3.1DNP3的數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層負(fù)責(zé)維護(hù)設(shè)備之間的可靠邏輯鏈路，確保消息幀的順利傳輸。每個(gè)數(shù)據(jù)鏈路層幀包含一個(gè)10字節(jié)的固定大小報(bào)頭和數(shù)據(jù)部分。數(shù)據(jù)鏈路報(bào)頭的格式如圖所示。13.3.1DNP3的數(shù)據(jù)鏈路層。數(shù)據(jù)鏈路報(bào)頭的格式如圖所示其中各個(gè)字段作用如下。起始字段：占2字節(jié)，值為0x0564，用于標(biāo)識(shí)幀的開(kāi)始，幫助接收方定位數(shù)據(jù)幀的起始位置。長(zhǎng)度：占1字節(jié)，表示控制字、目的地址、源地址和用戶(hù)數(shù)據(jù)的字節(jié)數(shù)，取值范圍為5至255字節(jié)。目的地址：占2字節(jié)，低字節(jié)在前。0xFFFF表示廣播地址。源地址：占2字節(jié)，低字節(jié)在前，表示發(fā)送方地址。用戶(hù)數(shù)據(jù)：緊跟在報(bào)頭之后的部分，每16字節(jié)為一塊，最后一塊可包含1到16字節(jié)，并附帶CRC校驗(yàn)。CRC循環(huán)冗余碼：占2字節(jié)，位于每個(gè)數(shù)據(jù)塊后，按照字節(jié)反向排列，用于驗(yàn)證數(shù)據(jù)的完整性。。13.3.2DNP3的偽傳輸層DNP3偽傳輸層負(fù)責(zé)處理消息的分段和重組。它允許應(yīng)用消息的長(zhǎng)度超過(guò)單個(gè)數(shù)據(jù)鏈路幀，通過(guò)多個(gè)幀傳輸。在每個(gè)幀中，偽傳輸層添加一個(gè)字節(jié)，其中包含F(xiàn)IR和FIN標(biāo)志以及序列號(hào)。FIR標(biāo)志表示分段消息的第一幀，F(xiàn)IN標(biāo)志表示最后一幀。序列號(hào)在每個(gè)連續(xù)的幀中遞增，幫助重組消息并檢測(cè)丟失的幀。偽傳輸層的功能專(zhuān)為傳送超出數(shù)據(jù)鏈路規(guī)約數(shù)據(jù)單元（LPDU）定義長(zhǎng)度的信息而設(shè)計(jì)，確保原方站和從方站之間的通信順暢。

13.3.2DNP3的偽傳輸層在偽傳輸層中，傳輸層的報(bào)文格式如下：傳輸層報(bào)文頭：占一個(gè)字節(jié)，包含傳輸控制字。數(shù)據(jù)塊：包含應(yīng)用用戶(hù)數(shù)據(jù)，最大為249字節(jié)。13.3.2DNP3的偽傳輸層由于數(shù)據(jù)鏈路層的幀格式限制了長(zhǎng)度字最大為255字節(jié)，傳輸層數(shù)據(jù)塊的最大長(zhǎng)度為249字節(jié)（去除控制字和地址字段）。當(dāng)應(yīng)用數(shù)據(jù)大于249字節(jié)時(shí)，傳輸層將使用多個(gè)幀進(jìn)行傳輸，每幀前都添加傳輸層報(bào)頭（TH）。13.3.2DNP3的偽傳輸層傳輸層報(bào)文頭（TH）格式包括FIN:設(shè)置為“1”表示當(dāng)前數(shù)據(jù)為整個(gè)消息的最后一幀。FIR:設(shè)置為“1”表示當(dāng)前數(shù)據(jù)為整個(gè)消息的第一幀。序號(hào)：表示當(dāng)前數(shù)據(jù)幀在整個(gè)消息中的位置，范圍為0到63，幀號(hào)一次遞增，超過(guò)63后重新從0開(kāi)始。13.3.2DNP3的偽傳輸層傳輸層報(bào)文頭（TH）格式包括FIN:設(shè)置為“1”表示當(dāng)前數(shù)據(jù)為整個(gè)消息的最后一幀。FIR:設(shè)置為“1”表示當(dāng)前數(shù)據(jù)為整個(gè)消息的第一幀。序號(hào)：表示當(dāng)前數(shù)據(jù)幀在整個(gè)消息中的位置，范圍為0到63，幀號(hào)一次遞增，超過(guò)63后重新從0開(kāi)始。13.3.3DNP3的應(yīng)用層DNP3協(xié)議的應(yīng)用層定義了主站和分站設(shè)備的角色主站：主站發(fā)送請(qǐng)求消息，指示分站執(zhí)行任務(wù)、收集數(shù)據(jù)或同步時(shí)鐘。只有主站可以發(fā)送請(qǐng)求消息。分站：分站可以發(fā)送請(qǐng)求消息或非請(qǐng)求消息。非請(qǐng)求消息通常用于定期報(bào)告狀態(tài)、數(shù)據(jù)更新或警報(bào)，無(wú)需主站主動(dòng)發(fā)起請(qǐng)求。13.3.3DNP3的應(yīng)用層DNP3協(xié)議應(yīng)用層的請(qǐng)求和響應(yīng)報(bào)文如下圖所示，其中應(yīng)用請(qǐng)求報(bào)文和響應(yīng)報(bào)文頭的格式不同。對(duì)象標(biāo)題描述了隨后的數(shù)據(jù)對(duì)象類(lèi)型，定義了數(shù)據(jù)的性質(zhì)和如何進(jìn)行處理。數(shù)據(jù)包含了具體的數(shù)據(jù)內(nèi)容，如隨后進(jìn)行讀取或者寫(xiě)入的值。13.3.3DNP3的應(yīng)用層DNP3協(xié)議應(yīng)用層的請(qǐng)求報(bào)文頭中具有兩個(gè)字段，每個(gè)字段為8個(gè)比特位，其中第一個(gè)字段為應(yīng)用控制字段，第二個(gè)字段為功能碼字段。其中應(yīng)用控制字段提供了構(gòu)造多分段應(yīng)用報(bào)文所需的信息。功能碼字段定義了消息的目的，具體的功能代碼取決于消息的類(lèi)型。請(qǐng)求消息有23個(gè)定義的功能代碼，分為六類(lèi)：傳遞消息、控制功能、凍結(jié)功能、應(yīng)用控制功能、配置功能和時(shí)間同步功能。13.3.3DNP3的應(yīng)用層DNP3協(xié)議應(yīng)用層響應(yīng)報(bào)文頭包括三個(gè)字段分別為應(yīng)用控制、功能碼、內(nèi)部信號(hào)。應(yīng)用控制字段的長(zhǎng)度為一個(gè)8個(gè)比特位，它提供了構(gòu)造多分段應(yīng)用報(bào)文所需的信息。功能碼標(biāo)識(shí)報(bào)文的目的，其中有兩組功能碼，一個(gè)用于請(qǐng)求，一個(gè)用于響應(yīng)。內(nèi)部信號(hào)的長(zhǎng)度為兩個(gè)8比特位的字節(jié)。它在所有的響應(yīng)中跟在功能碼的后面。當(dāng)一個(gè)請(qǐng)求，由于格式出錯(cuò)或所請(qǐng)求的數(shù)據(jù)無(wú)效而不能處理時(shí)，內(nèi)部信號(hào)以適當(dāng)?shù)闹梦蛔鳛轫憫?yīng)報(bào)文。13.3.3DNP3的應(yīng)用層DNP3協(xié)議應(yīng)用層響應(yīng)報(bào)文頭包括三個(gè)字段分別為應(yīng)用控制、功能碼、內(nèi)部信號(hào)。應(yīng)用控制字段的長(zhǎng)度為一個(gè)8個(gè)比特位，它提供了構(gòu)造多分段應(yīng)用報(bào)文所需的信息。功能碼標(biāo)識(shí)報(bào)文的目的，其中有兩組功能碼，一個(gè)用于請(qǐng)求，一個(gè)用于響應(yīng)。內(nèi)部信號(hào)的長(zhǎng)度為兩個(gè)8比特位的字節(jié)。它在所有的響應(yīng)中跟在功能碼的后面。當(dāng)一個(gè)請(qǐng)求，由于格式出錯(cuò)或所請(qǐng)求的數(shù)據(jù)無(wú)效而不能處理時(shí)，內(nèi)部信號(hào)以適當(dāng)?shù)闹梦蛔鳛轫憫?yīng)報(bào)文。DNP3協(xié)議的安全風(fēng)險(xiǎn)13.4PARTFOUR01020304數(shù)據(jù)鏈路層的攻擊

偽傳輸層的攻擊應(yīng)用層的攻擊其他攻擊CONTENTS目錄13.4.1數(shù)據(jù)鏈路層攻擊數(shù)據(jù)鏈路層攻擊通常涉及攔截、修改DNP3消息，并將其發(fā)送到主站或分站設(shè)備。這些攻擊可能影響機(jī)密性、完整性和可用性。本節(jié)討論五種常見(jiàn)的數(shù)據(jù)鏈路層攻擊：長(zhǎng)度溢出攻擊：攻擊者在長(zhǎng)度字段插入錯(cuò)誤值，導(dǎo)致消息處理失敗，可能引起數(shù)據(jù)損壞、意外操作或設(shè)備崩潰。DFC標(biāo)志攻擊：DFC標(biāo)志表示外圍站忙碌，攻擊者通過(guò)設(shè)置該標(biāo)志，令外圍設(shè)備在主設(shè)備上顯示為忙碌狀態(tài)，從而阻止通信。重置功能攻擊：攻擊者向目標(biāo)分站發(fā)送包含重置功能代碼的DNP3消息，導(dǎo)致目標(biāo)設(shè)備重啟，使其在一段時(shí)間內(nèi)不可用，并可能恢復(fù)到不一致的狀態(tài)。13.4.1數(shù)據(jù)鏈路層攻擊不可用功能攻擊：攻擊者發(fā)送帶有不可用功能代碼的DNP3消息，表示服務(wù)不可用，導(dǎo)致主站認(rèn)為目標(biāo)設(shè)備無(wú)法提供服務(wù)，停止向其發(fā)送請(qǐng)求。目標(biāo)地址變更攻擊：通過(guò)更改目標(biāo)地址字段，攻擊者將請(qǐng)求或回復(fù)路由到其他設(shè)備，可能導(dǎo)致意外結(jié)果。此外，攻擊者還可以使用廣播地址（0xFFFF）向所有設(shè)備發(fā)送錯(cuò)誤請(qǐng)求，這種攻擊難以檢測(cè)，因?yàn)閺V播請(qǐng)求通常不返回結(jié)果消息。13.4.2偽傳輸層的攻擊偽傳輸層提供的功能比其它層少，因此，此層相關(guān)的攻擊較少這里列舉兩種攻擊方式。分段消息中斷：FIR和FIN標(biāo)志分別表示分段消息的第一幀和最后一幀。攻擊者通過(guò)丟棄先前接收的不完整片段或插入帶有FIR或FIN標(biāo)志的消息，干擾消息的重組，導(dǎo)致消息處理失敗。傳輸序列修改：序列號(hào)用于確保分段消息的有序傳輸。攻擊者可以通過(guò)偽造消息并插入序列中，注入惡意數(shù)據(jù)或?qū)е孪⑻幚礤e(cuò)誤。

13.4.3應(yīng)用層攻擊在介紹應(yīng)用層攻擊之前我們將介紹攻擊過(guò)程中使用到的一些功能碼。功能碼“2”：寫(xiě)命令，向外站存入指定的對(duì)象，并指示它執(zhí)行操作。通常是修改設(shè)備的狀態(tài)或執(zhí)行某些控制命令。功能碼“9”：凍結(jié)與清除，復(fù)制指定的對(duì)象與一個(gè)凍結(jié)緩存。并以操作的狀態(tài)作為響應(yīng)。功能碼“10”：凍結(jié)與清除無(wú)確認(rèn)，復(fù)制指定的對(duì)象到凍結(jié)緩存，然后清除對(duì)象，不用報(bào)文響應(yīng)。功能碼“15”：將數(shù)值初始化到缺省值，將指定的數(shù)據(jù)初始化到上電的初始值，將操作的狀態(tài)作為響應(yīng)。功能碼“18”：停止應(yīng)用程序：停止指定的應(yīng)用程序，以操作的狀態(tài)作響應(yīng)。13.4.3應(yīng)用層攻擊應(yīng)用層提供了DNP3系統(tǒng)的大部分功能，因此與此層相關(guān)的攻擊最多。這些攻擊可以影響機(jī)密性、完整性和可用性。機(jī)密性攻擊獲取網(wǎng)絡(luò)拓?fù)?、系統(tǒng)配置和功能信息；完整性攻擊修改通信路徑或提供錯(cuò)誤數(shù)據(jù)，甚至重新配置設(shè)備；可用性攻擊可能導(dǎo)致設(shè)備失去關(guān)鍵功能、重新啟動(dòng)或崩潰。本節(jié)討論五種常見(jiàn)的應(yīng)用層攻擊：。外圍站寫(xiě)入攻擊：攻擊者發(fā)送帶有功能代碼2的DNP3消息，將數(shù)據(jù)寫(xiě)入外圍站設(shè)備。這可能破壞存儲(chǔ)在設(shè)備內(nèi)存中的信息，導(dǎo)致錯(cuò)誤或數(shù)據(jù)溢出。清除對(duì)象攻擊：攻擊者發(fā)送帶有功能代碼9或10的DNP3消息，凍結(jié)并清除數(shù)據(jù)對(duì)象。這會(huì)導(dǎo)致關(guān)鍵數(shù)據(jù)丟失或設(shè)備崩潰。需要注意，功能代碼10的攻擊有問(wèn)題，因?yàn)樵撓⒉恍枰_認(rèn)。外圍站數(shù)據(jù)重置攻擊：攻擊者發(fā)送帶有功能代碼15的DNP3消息，導(dǎo)致外圍設(shè)備將數(shù)據(jù)重置為與系統(tǒng)狀態(tài)不一致的值。13.4.3應(yīng)用層攻擊外圍站應(yīng)用終止攻擊：攻擊者發(fā)送帶有功能代碼18的DNP3消息，終止在外圍站上運(yùn)行的應(yīng)用程序。這會(huì)導(dǎo)致設(shè)備無(wú)法響應(yīng)主站的正常請(qǐng)求。配置捕獲攻擊（A14）：攻擊者發(fā)送消息，設(shè)置字節(jié)中的特定位，指示目標(biāo)外圍站的配置文件已損壞。主服務(wù)器隨后傳輸新的配置文件，攻擊者攔截并修改該文件，再將其上傳至目標(biāo)設(shè)備。13.4.4其他攻擊DNP3協(xié)議缺乏認(rèn)證、加密和授權(quán)機(jī)制，攻擊者只需找到一個(gè)合法地址