- 1、本文档共33页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
任务3工业协议安全解析
工控安全监测审计平台是一款专为工业控制网络设计的行为监测审计系统,能够对HTTP、FTP、TELNET等多种普通协议以及MMS、IEC104、OPC、S7、Profinet、DNP3等多种工业协议的分析监测。任务描述熟悉网络流量分析的基础技术原理,掌握使用工控安全监测审计平台的配置使用以及抓包分析的基本方法。
关于工控协议安全测试1以Modbus/TCP协议为例,在该协议中,所有的数据均通过明文进行传输,包括寄存器地址、数值、变量类型等敏感数据。一旦攻击者进入网络监听,就可以直接读取这些信息。此外,协议中没有设置CRC等校验机制,这意味着攻击者可以轻松地对该网络实施中间人攻击等。事实上,Modbus/TCP协议存在的安全问题也是目前大部分工控协议所共有的。这些工控协议在设计时并未考虑工控系统与外界网络的交互,因此安全机制薄弱。知识导入
私有性出于系统安全、商业目的等多方面的考虑,大部分工控厂商选择保留协议规约的私有性,即不公开协议的格式等信息。知识导入封闭性工控协议应用于多种工控设备中,而这些设备出于各种原因通常不开放调试端口,导致工控协议具有封闭性。场景性工控协议所传递的数据通常来自现实的控制系统,数据在不同的场景下有不同的意义,分析数据背后的工控语义可以获取系统的部分知识。
私有协议分析2协议规约包含三个要素:协议的语法、语义和时序。其中,语法定义协议报文中各个字段的边界,语义定义各字段对应的功能,时序则定义报文的顺序规范。知识导入协议语义和语法构成协议的格式,协议时序定义协议状态机。协议逆向分析就是通过各种手段得到上述要素的过程。
私有协议分析2(1)基于网络流量的协议逆向基于网络流量的协议逆向通过分析大量报文数据集,提取报文的字节变化频率和取值特征进行报文格式的恢复。在传输相同类型的功能信息时,报文的结构具有一定的相似性;在同一个会话中,报文的时序关系相对固定,其中包含协议状态机的格式,也就是协议状态机的子集。利用相关的算法对上述特性进行提取,就可以得到比较理想的结果。知识导入
私有协议分析2(2)基于程序分析的协议逆向协议报文在程序内部进行处理时,由不同的程序段处理协议的不同部分,因此可以利用这一特点从程序运行记录中获取协议的格式信息。目前,主流的方法是使用动态污点分析(DynamicTaintAnalysis)进行程序运行记录的分析并获取格式信息。知识导入
私有协议分析2动态污点分析方法最早用于程序脆弱性分析,其原理是,先将程序输入标记为污点数据(Source),在程序运行过程中通过事先定义的污点传播规则进行污点传播。知识导入
私有协议分析2①建立字段树的根节点root。通常这个节点代表调用Socket等套接字函数的函数名,也就是首次出现污点数据的函数。②对于函数f1和f2,如果f1调用了f2,则f1是f2的父节点,按照此方式建立函数调用的树结构。③如果函数中使用了污点数据,则关联函数对应污点数据(其在源数据中的偏移量)。④重复步骤2和步骤3,直至根节点退出。知识导入
工业协议认证方式与突破3工控协议认证机制的工作原理是,用户访问工控设备时,需提供有效的身份标识,设备根据协议规则核验标识并根据核验结果决定用户是否有操作设备的权限。(1)常用认证方式工控协议种类繁多,其认证机制也不尽相同。下面总结几种常见的认证方式。知识导入
无认证早期的工控设备没有接入网络,以“孤岛”的形式运行,很多旧版本设备没有安全认证。知识导入口令认证大多数公司都为产品设置了口令认证功能,以防止未经授权的访问和操作。操作人员可以为设备设置访问口令,用户访问设备时必须输入口令。会话认证在密码学中,两个用户建立通信时,会将临时交互号作为会话的唯一标识,从而保证会话的安全性。类似的认证机制也存在于工控设备的通信中。
信息完整性认证为了防止上位机与设备之间的通信数据被篡改,部分工控协议中包含完整性验证机制。在传输数据前,利用一定的加密算法,根据数据包中的程序、参数、变量值等重要信息生成摘要值,随数据包一同发送。知识导入复杂认证机构部分协议为了提高安全性,设置了独特的认证机制。例如,S7comm协议在V3版本中设置了四次握手验证机制和会话密钥生成机制,涉及椭圆曲线加密等复杂的加密算法,大大提高了设备通信的安全性。
工业协议认证方式与突破3(2)认证突破方式在对工控设备进行认证突破时,常使用Wireshark工具来观察上位机与设备间的流量包。如果协议被Wireshark解析,就可以看到数据包的结构、各层次内容,甚至是认证方式。在对协议有一定了解之后,可根据认证方式采用不同方法突破。知识导入
重放攻击如果协议没有认证机制,那么可以通过重放攻击对设备进行操作。知识导入获取会话认证码只有会话认证的工控协议也可能被攻破。利用
您可能关注的文档
- 工业互联网安全 课件 任务1 工业互联网FTP暴力破解的应急响应.pptx
- 工业互联网安全 课件 任务1 工业互联网基础信息收集.pptx
- 工业互联网安全 课件 任务1 工业互联网设备数据采集.pptx
- 工业互联网安全 课件 任务1 工业互联网应用固件程序测试.pptx
- 工业互联网安全 课件 任务1 网络安全的构建.pptx
- 工业互联网安全 课件 任务2 Linux系统安全加固.pptx
- 工业互联网安全 课件 任务2 风险评估报告编写.pptx
- 工业互联网安全 课件 任务2 工业互联网安全的内涵.pptx
- 工业互联网安全 课件 任务2 工业互联网安全应急响应预案的编写.pptx
- 工业互联网安全 课件 任务2 工业互联网数据采集安全与检测.pptx
- 全国消防宣传月活动方案.docx
- (外研版三起)五年级英语上册同步分层作业设计M5U1 There are only nineteen crayons.(含答案).docx
- 企业人力资源战略管理.docx
- QCT-29078-92汽车用空气压缩机技术条件之令狐文艳创作 .pdf
- (外研版三起)五年级英语上册同步分层作业设计M6U1 You can play football well.(含答案).docx
- 三伏灸活动方案7篇.docx
- QCKY 0001S-2012 速冻复合肉卷 .pdf
- 创业计划书范文.doc
- 青商活动策划方案模板优质6篇.docx
- 清明的活动方案必威体育精装版7篇.docx
文档评论(0)