分你所享、信息共享、轻松分享
来自民间的思想 | 送人玫瑰,手有余香。

深度解析工控网络流量特点

*本文作者:scu-igroup,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

前言

工控安全关系着国家安全,从工控网络流量中发现威胁行为是保护工控系统的手段之一。由于工业控制中的网络流量大多是由工控设备按照生产工艺自动产生,与大部分由人为产生的互联网流量有极大的区别。因此,充分了解工业控制系统流量的特点有利于更好地开发有效的威胁检测手段。由于大部分的研究都是基于流量统计特性来对周期性进行说明,却没有深入到数据包的字段中。本人即是通过深入解析工控流量的字段,来探寻工控流量的特点。

实验数据

本次的实验数据由工控实验平台产生,由上位机控制西门子S7-300PLC,PLC控制电机转速设备。在无任何人为操作的情况下,本次实验共抓取111815个数据包,足够用来对工控流量的特点进行分析。如下图所示。 深度解析工控网络流量特点 上位机的IP为:192.168.1.33;PLC的IP为:192.168.1.10。由于上位机到PLC是命令下达的方向,而PLC到上位机一般是响应答复。因此,本文主要探寻上位机到PLC方向的控制信道流量特点。为了更好地分析数据包,本人写了一个简单的程序帮助分析[传送门]。首先,提取上位机到PLC的数据包。利用程序,先查看实验数据的四元组信息。 深度解析工控网络流量特点 如图所示,上位机到PLC的流量为第[1]条。并通过程序过滤出这一方向的数据包,保存为102.pcap。下面就开始正式的分析吧。

分析步骤

用wireshark打开102.pcap,先粗看下数据包是否具有周期性。 深度解析工控网络流量特点 由上图可得,仅从数据包长度看为:91-61-91-61-61-91-61-61-61-91-61-61-91…感觉有点周期,但并不是整齐的周期。其中还出现了少量长度为87的数据包。但一想到,控制信道中,数据包种类固定,可以先来看看,这个信道中有多少种不同长度的数据包。还是运行程序。 深度解析工控网络流量特点 由上图可得,有3种不同长度的数据包。这里的数据包长度取的是传输层tcp协议承载的数据长度,而wireshark取的是数据帧的长度,所以数值不一样。我这里的长度加上14就与wireshark的长度一致了。可以看到,控制通道里只出现47,77,73这三种长度,对应到wireshark,刚好是61,91,87。那出现的这3种数据包,自身具不具备周期性呢,这就可以看下数据包应用层数据的分布了。还是借助程序。先选取长度为47的数据包。