第3章通信安全網絡通信基礎網絡安全防護技術網絡攻擊概述工業(yè)云平臺基本概念通信網絡是通過各種通信手段和一定的連接方式將終端設備連接起來的通信整體。通信網絡的基本構成要素包括終端設備、傳輸鏈路、轉接交換設備等硬件設備和管理網絡運行、實現信息相互交換的軟件協議。工業(yè)云平臺的通信網絡包括云基礎設施內部構建的網絡、接入工業(yè)云平臺的工業(yè)網絡和企業(yè)信息網絡。網絡傳輸包括雙絞線、同軸電纜、光線、微波等多種介質；網絡拓撲包括總線形、環(huán)形、星形以及復合形等不同結構。網絡通信基礎3.1OSI參考模型TCP/IP協議TCP/IP協議的體系結構：網絡接口層：對應OSI參考模型中的物理層和數據鏈路層。事實上，TCP/IP本身并未定義該層協議，而由參與連接的網絡使用自己的物理層和數據鏈路層協議，然后與TCP/IP的網絡接口層進行連接。網際互聯層：對應OSI參考模型的網絡層，主要解決主機到主機的通信問題。該層有4個主要協議：網際協議(IP)、地址解析協議(ARP)、反地址解析協議(RARP)和互聯網控制報文協議(ICMP)。IP協議是網際互聯層最要的協議，它提供一個不可靠、無連接的數據報傳遞服務。TCP/IP協議TCP/IP協議的體系結構：傳輸層：對應OSI參考模型的傳輸層，為應用層實體提供端到端的通信功能。該層定義了2個主要的協議：傳輸控協議(TCP)和用戶數據報協議(UDP)。TCP協議提供一種可靠的、面向連接的數據傳輸服務；UDP協議提供不可靠的、無連接的數據傳輸服務。應用層：對應OSI參考模型的高3層，為用戶提供所需要的各種服務，例如FTP、Telnet、DNS、SMTP等。TCP/IP協議TCP報文格式：TCP/IP協議TCP三次握手建立連接：TCP/IP協議部分知名TCP端口：端口號協議模塊簡要說明20/21FTP文件傳輸協議，用于文件的上傳和下載22SSH建立在應用層和傳輸層基礎上的安全協議23TELNET遠程登錄協議，用于遠程登錄25SMTP簡單郵件傳輸協議，用于發(fā)送郵件53DNS域名服務，DNS在區(qū)域傳輸時使用TCP，其他時候使用UDP80HTTP超文本傳輸協議，用于超文本的傳輸110POP3用于支持使用客戶端遠程管理服務器上的電子郵件123NTP用于同步網絡中的計算機時間的協議443HTTPSHTTPS是以安全為目標的HTTP通道TCP/IP協議IP數據包格式：工業(yè)協議工業(yè)網絡通信協議：Modbus協議、Profibus現場總線、FFH1現場總線、PROFINET實時以太網、EtherCAT實時以太網、Modbus-RTPS實時以太網、西門子S7Comm協議……Modbus協議：由Modicon公司開發(fā)的通信協議，由于應用廣泛，是一種事實上的標準協議。Modbus通信使用“主-從”技術，即只有一個設備作為主設備，負責初始化傳輸（查詢）；其他設備作為從設備，根據主設備查詢提供的數據做出相應的回應。Modbus協議定義了主設備查詢消息的格式：設備（或廣播）地址、功能代碼、所有要發(fā)送的數據、校驗字段。Modbus協議定義了從設備回應消息的格式：確認功能代碼字段、要返回的數據、校驗字段。工業(yè)協議常用的Modbus報文格式：ModbusASCII報文格式ModbusRTU報文格式工業(yè)協議常用Modbus功能代碼：功能代碼功能描述功能代碼功能描述01H讀線圈寄存器02H讀離散輸入寄存器03H讀保持寄存器04H讀輸入寄存器05H寫單個線圈寄存器06H寫單個保持寄存器0FH寫多個線圈寄存器10H寫多個保持寄存器工業(yè)協議西門子S7協議：S7協議是西門子專有的工業(yè)協議。S7協議被封裝在TPKT和ISO-COTP協議中，作為PDU（協議數據單元）通過TCP傳送。TPKT協議對應OSI模型的第5層會話層；COTP協議對應第6層表示層；S7協議對應第7層應用層。工業(yè)協議COTP數據包分為COTP連接包和COTP功能包兩種。COTP連接包：COTP功能包：工業(yè)協議S7數據報文包括包頭字段、參數字段和數據字段三個部分。S7包頭字段結構：工業(yè)協議S7數據報文：S7PDU類型字段的可選值取值含義0x01JOBJobwithacknowledgement，作業(yè)請求0x02ACKAcknowledgementwithoutadditionalfield，確認響應0x03ACK_DATAAcknowledgementwithadditionalfieldUserData，確認數據響應0x07USERDATA，原始協議擴展工業(yè)協議S7數據報文：S7功能碼字段的可選值取值含義

取值含義0xF0建立通信

0x04讀取值0x05寫入值

0x1A請求下載0x1B下載塊

0x1C下載結束0x1D開始上傳

0x1E上傳0x1F上傳結束

0x28程序調用服務0x29PLC停止

網絡攻擊概述3.2網絡攻擊類型網絡攻擊是指任何非授權而進入或試圖進入他人計算機網絡的行為，是入侵者實現入侵目的所采取的技術手段和方法。網絡攻擊行為包括對整個網絡的攻擊，也包括對網絡中的服務器、防火墻、路由器、計算機等單個節(jié)點的攻擊，還包括對節(jié)點上運行的某一個應用系統(tǒng)或應用軟件的攻擊。主動攻擊：指攻擊者為了實現攻擊目的，主動對需要訪問的信息進行非授權訪問的行為。主動攻擊一般可以分為中斷、篡改和偽造三種類型。被動攻擊：被動攻擊是利用網絡存在的漏洞和安全缺陷對網絡系統(tǒng)的硬件、軟件及系統(tǒng)中的數據進行的攻擊。被動攻擊一般不會對數據進行篡改，而是利用截取或竊聽等方式在未經用戶授權的情況下對消息內容進行獲取，或者對業(yè)務數據流進行分析。被動攻擊主要分為竊聽和流量分析兩種方式。網絡攻擊過程一次完整的網絡攻擊行為根據其生命周期可以分為攻擊發(fā)起階段、攻擊作用階段和攻擊結果階段。攻擊發(fā)起階段：在攻擊發(fā)起階段，攻擊者進行攻擊前的準備，如確定攻擊所針對的操作系統(tǒng)類型、應用平臺的類型等，這些系統(tǒng)和應用程序存在哪些可以利用的漏洞等。攻擊作用階段：在攻擊發(fā)起階段確定了攻擊的平臺和利用的漏洞后，攻擊就進入了作用階段。在此階段，攻擊者要選擇被攻擊者系統(tǒng)的某些資源作為攻擊對象，以達到獲得某些“利益”的目標，稱為“作用點”。攻擊結果階段：攻擊結果就是攻擊對目標系統(tǒng)所造成的后果，也是被攻擊者所能感受到的攻擊帶來的影響。主要攻擊方法網絡攻擊主要利用網絡通信協議本身存在的設計缺陷或因安全配置不當而產生的安全漏洞而實施。端口掃描：端口掃描是向目標主機的服務端口發(fā)送探測數據包，并記錄目標主機的響應。通過分析響應的數據包來判斷服務端口是否處于打開狀態(tài)，進而得知端口提供的服務或信息。端口掃描一般通過TCP連接的建立機制來實現。口令攻擊：口令是使用最廣泛的一種身份認證方式。攻擊者通過猜測口令，并且將計算出的Hash值進行比對的過程稱為口令攻擊。常見的口令攻擊方式有在線竊聽、獲取口令文件、字典攻擊等。主要攻擊方法網絡攻擊主要利用網絡通信協議本身存在的設計缺陷或因安全配置不當而產生的安全漏洞而實施。漏洞攻擊：漏洞被認為是存在于一個系統(tǒng)內的弱點或缺陷，該弱點或缺陷會導致系統(tǒng)對一個特定的威脅攻擊或危險事件具有敏感性，或導致對系統(tǒng)進行威脅攻擊的可能性。根據產生原因不同，漏洞可以分為設計方面的原因，實現方面的原因，配置方面的原因。高級持續(xù)威脅：高級持續(xù)威脅(AdvancedPersistentThreat，APT)也稱為針對特定目標的攻擊，是一種綜合了技術和非技術因素的復合型攻擊方式。APT是一種復雜的網絡攻擊活動，它在受害者完全不知或即使知道攻擊已經發(fā)生但不清楚原因而無法采取行動的狀態(tài)下進行。隱蔽性和持續(xù)性是APT的兩大特點。網絡安全防護技術3.3防火墻技術常見防護措施包括防火墻、入侵檢測、訪問控制、身份認證、數據加密、網絡蜜罐、安全審計等。防火墻在網絡通信過程中執(zhí)行一種訪問控制，根據預設的訪問控制策略允許、拒絕、監(jiān)測出入網絡的信息流量。入侵檢測技術入侵檢測技術是通過對系統(tǒng)活動、用戶行為、網絡流量等進行監(jiān)視、分析，實時檢測網絡入侵行為的技術，是一種積極、動態(tài)的網絡安全防護技術。異常檢