这一篇依然是协议层面的,协议层面会翻译三篇,下一篇是电力系统中用的比较多的DNP3。这一篇中大部分引用的资料都可以访问到,只有一篇reversemode.com上的writeup(http://reversemode.com/downloads/logix_report_basecamp.pdf)需要身份认证才能下载,如果有朋友能下载求分享。

Ethernet/IP

与Modbus相比,EtherNet/IP 是一个更现代化的标准协议。由工作组ControlNetInternational与ODVA在20世纪90年代合作设计。EtherNet/IP是基于通用工业协议(Common Industrial Protocol,CIP)的。CIP是一种由ODVA支持的开放工业协议,它被使用在诸如DeviceNet和ControlNet以及EtherNet/IP等串行通信协议中。美国的工控设备制造商Rockwell/Allen-Bradley已经围绕EtherNet/IP进行了标准化,其他厂商如Omron也在其设备上支持了EtherNet/IP。EtherNet/IP已经变得越来越受欢迎,特别是在美国。尽管EtherNet/IP比Modbus更现代化,但仍然存在协议层面的安全问题。EtherNet/IP通常通过TCP/UDP端口44818运行。此外,EtherNet/IP还有另一个端口TCP/UDP端口2222。使用这个端口的原因是EtherNet/IP实现了隐式和显示两种消息传递方式。显式消息被称为客户端/服务器消息,而隐式消息通常被称为I/O消息。

EtherNet/IP是为了在以太网中使用CIP协议而进行的封装。EtherNet/IP的CIP帧封装了命令、数据点和消息等信息。CIP帧包括CIP设备配置文件层、应用层、表示层和会话层四层。数据包的其余部分是EtherNet/IP帧,CIP帧通过它们在以太网上传输。EtherNet/IP分组结构如图5‑12所示。

CIP规范对数据包结构有很多的规定,这意味着每个使用EtherNet/IP的设备必须实现符合规范的命令。下面是EtherNet/IP首部中封装的CIP帧字段:

  • Command

    两字节整数,对应一个CIP命令。CPI标准要求,设备必须能接收无法识别的命令字段,并处理这种异常。

  • Length

    两字节整数,代表数据包中数据部分的长度。对于没有数据部分的请求报文,该字段为0。

  • Session Handle

    会话句柄(session handle)由目标设备生成,并返回给会话的发起者。该句柄将用于后续与目标设备的通信。

  • Status

    Status字段存储了目标设备执行命令返回的状态码。状态码“0”代表命令执行成功。所有的请求报文中,状态码被置为“0”。其它的状态码还包括:

- 0x0001无效或不受支持的命令

- 0x0002目标设备资源不足,无法处理命令

- 0x0003数据格式不正确或数据不正确

- 0x0065接收到无效的数据长度

  • Sender Context

    命令的发送者生成这六字节值,接收方将原封不动的返回该值。

  • Options

    该值必须始终为0,如果不为零,数据包将被丢弃。

  • Command-specific data

    该字段根据接收/发送的命令进行修改。

如果请求发送方是工程师站,大多数会话中执行的第一条命令是“List Identity”命令。如下所示的数据包,命令字段是0x63,代表“List Identity”命令,上下文是“0x00006a0ebe64”。这个命令与Modbus功能码43非常相似,可以查询设备信息,如供应商、产品、序列号、产品代码、设备类型和版本号等。使用在Github项目pyenip中找到的Python脚本ethernetip.py(https://github.com/paperwork/pyenip/blob/master/ethernetip.py),你可以查询Ethernrt/IP设备的信息。默认情况下,这个脚本不会解析一些响应,你需要取消脚本底部的testENIP()函数的注释后,它才会发送和接收“ListIdentity”命令。在执行脚本的。

同时,你可以使用Wireshark查看请求和响应的数据包。

我们在这个例子中没有提供脚本代码,因为它大约有1000行代码。你可以通过访问下面这个GitHub链接来获取脚本(https://github.com/paperwork/pyenip/blob/605ad6d026865e3378542d4428ec975e7c26d2e4/ethernetip.py)。

设备信息泄露

  • 流行程度:10

  • 利用难度:8

  • 影响面:3

  • 威胁评分:7

Digital Bond在项目Redpoint中实现了一个和pyenip很像的脚本,可以用来从远程设备中获取信息。Redpoint脚本使用了上一节提到的“ListIdentity”命令字,并使用NES脚本来解析请求。这个脚本有一个有意思的地方,它的“Conmmand Specific Data”部分包含了一个套接字地址(ip地址和端口号)。这是暴露的远程设备的真实ip地址和端口号,即使它位于NAT设备之后。

通过Shodan搜索(https://www.shodan.io/search?query=port%3A44818),我们发现大量的设备暴露的IP字段和实际扫描的IP地址不同。所以我们得出结论,大多数的Ethernet/IP设备部署在内部网络中,而不是直接暴露在互联网上。如下图5‑15所示的是使用nmap扫描CompactLogix控制系统的扫描结果,可以看到暴露的设备ip和扫描ip不匹配,说明目标系统位于路由器或防火墙之后。

上图显示了一些信息,包括设备的制造商“Rockwell”。设备的制造商在响应中是一个两字节的制造商ID,它映射了一组支持Ethernet/IP的厂商名单。但是,这个厂商名单不是公开的。我们在深入研究Wireshark捕获的数据包后,发现数据包被Wireshark解析后,制造商ID被替换成了制造商名称。这说明Wireshark拥有如何映射制造商ID和名称的信息。通过对Github上Wireshark源代码的一些搜索,我们发现了如下代码片段,它告诉我们该如何解析制造商ID。在解析工控协议的时候,Wireshark常常是一个强大而好用的资源。

使用像“List Identity”这样的命令,你可以简单的重放数据包,几乎不用修改数据包。会话句柄将被设置为0,意味着没有会话生成,因为该命令只是简单的发送命令和接收系统响应。为了进一步与设备进行通信,需要发送注册会话命令(0x65)。这个命令会设置会话句柄ID,这个ID将用于后续会话的通信。如下图5‑16所示,注册会话的请求使用标准ID“0x00000000”,目标设备返回了它生成的会话句柄“0x03A566BB”。

Ethernet/IP中间人攻击

  • 流行程度:5

  • 利用难度:8

  • 影响面:8

  • 威胁评分:7

Ethernet/IP具有和大多数工控协议相似的问题。资讯和培训公司Kenexis发布了针对Ethernet/IP的中间人攻击示例演示。这些示例可以在它们的Github项目主页上找到(https://github.com/kenexis/PortableICS-MITM)。与Modbus不同,简单的数据包重放对Ethernet/IP的某些指令无效。这使得攻击变得稍微复杂了一些。然而,对于大多数攻击者而言,只要对Ethernet/IP的协议稍有了解,这点困难将是微不足道的。一旦会话句柄通过协商被确定,只要通过手动改变序列号,就可以实现像之前Modbus-vcr工具那样的中间人攻击。

Ethernet/IP高危命令字

  • 流行程度:5

  • 利用难度:8

  • 影响面:8

  • 威胁评分:7

就像Modicon利用功能码90来终止CPU,一些Ethernet/IP设备也支持类似的命令字。Digital Bind的Basecamp项目中,发布了一个Metasploit模块(https://www.rapid7.com/db/modules/auxiliary/admin/scada/multi_cip_command),可以被用来终止一个Allen-Bradley ControlLogix控制系统中的大量PLC,以及其它的一些坏坏的事情,比如使以太网卡崩溃。

Digital Bond的Ruben Santamarta在撰写Basecamp项目的Writeup“Attacking ControlLogix”(http://reversemode.com/downloads/logix_report_basecamp.pdf)时写道“我们发送的每个数据包必须包含会话句柄。这就是全部,然后我们Hack了控制器。在协议层面没有更多的安全机制了。”[译者注:reversemode.com上的文档我下载不下来,有能够下载的朋友求分享]。Ruben指出,只要了解Session Handle即可轻松攻击Ethernet/IP。是这个攻击奏效的另一个关键是Allen-Bradley实现的一个命令字。Allen-Bradley在NOP(0x00)命令中实现了终止CPU的功能。

这个命令在CPI或Ethernet/IP的规范中没有记录,是Allen-Bradley/Rockwell控制器的私有实现。通过对大量设备的测试,我们发现,在一些旧的固件中,不仅ControlLogix CPU被终止,而且设备崩溃,需要重新启动硬盘。对于当前的型号,PLC必须拔下并重新插入才能再次运行。极少数情况下,PLC需要重新编程。

我们还是坚持一贯的建议,如果你想测试你的Ethernet/ip设备,请只对非生产设备执行这些测试,并确保你已经被授予对设备执行exploit的许可,因为在设备上执行这些测试的后果是不可测的。

工控安全入门之Ethernet/IP的更多相关文章

  1. 工控安全入门之 Ethernet/IP

    工控安全入门之 Ethernet/IP Ethernet/IP 与 Modbus 相比,EtherNet/IP 是一个更现代化的标准协议.由工作组 ControlNet International 与 ...

  2. 工控安全入门(二)—— S7comm协议

    在上一次的文章中我们介绍了施耐德公司的协议modbus,这次我们把目标转向私有协议,来看看另一家巨头西门子的S7comm.首先要说明,这篇文章中的内容有笔者自己的探索,有大佬们的成果,但由于S7com ...

  3. 工控安全入门(六)——逆向角度看Vxworks

    上一篇文章中我们对于固件进行了简单的分析,这一篇我们将会补充一些Vxworks的知识,同时继续升入研究固件内容. 由于涉及到操作系统的内容,建议大家在阅读本篇前有一定操作系统知识的基础,或者是阅读我的 ...

  4. 工控安全入门(三)—— 再解S7comm

    之前的文章我们都是在ctf的基础上学习工控协议知识的,显然这样对于S7comm的认识还不够深刻,这次就做一个实战补全,看看S7comm还有哪些值得我们深挖的地方. 本篇是对S7comm的补全和实战,阅 ...

  5. 工控安全入门(七)—— plc的网络

    上一篇我们详细分析了bootram和Vxworks的基本启动流程,这篇文章中我们把视线转到plc的网络部分,同时来复现我们第一个.第二个工控安全漏洞. VxWorks的网络设备驱动 一般我们说有三种设 ...

  6. 工控安全入门之Modbus(转载)

    工控安全这个领域比较封闭,公开的资料很少.我在读<Hacking Exposed Industrial Control Systems>,一本16年的书,选了的部分章节进行翻译,以其抛砖引 ...

  7. 工控安全入门(一)—— Modbus协议

    modbus基础知识 modbus协议最初是由Modicon公司在1971年推出的全球第一款真正意义上用于工业现场的总线协议,最初是为了实现串行通信,运用在串口(如RS232.RS485等)传输上的, ...

  8. 工控安全入门(五)—— plc逆向初探

    之前我们学习了包括modbus.S7comm.DNP3等等工控领域的常用协议,从这篇开始,我们一步步开始,学习如何逆向真实的plc固件. 用到的固件为https://github.com/ameng9 ...

  9. 工控安全入门(四)—— DNP3协议

    我们之前看过了法国施耐德的Modbus.德国西门子的S7comm,这次就让我们把目光投到美洲,看看加拿大的HARRIS的DNP3有什么特别之处. 这次选用的流量包部分来自w3h的gitbub: htt ...

随机推荐

  1. Java之使用HttpClient发送GET请求

    package LoadRunner; import org.apache.http.HttpEntity; import org.apache.http.HttpResponse; import o ...

  2. docker--Dockerfile--sonarqube

    FROM openjdk:8 ENV SONAR_VERSION=6.7.1 \ SONARQUBE_HOME=/opt/sonarqube \ # Database configuration # ...

  3. lightoj1038(数学期望dp)

    题意:输入一个数N,N每次被它的任意一个因数所除 变成新的N 这样一直除下去 直到 N变为1 求变成1所期望的次数 解析: d[i] 代表从i除到1的期望步数:那么假设i一共有c个因子(包括1和本身) ...

  4. Pairs Forming LCM LightOJ - 1236 (算术基本定理)

    题意: 就是求1-n中有多少对i 和 j 的最小公倍数为n  (i <= j) 解析: 而这题,我们假设( a , b ) = n ,那么: n=pk11pk22⋯pkss, a=pd11pd2 ...

  5. MT【13】三角函数求范围

    解答:AB显然正确,C中$a$取0时,解为三个,C 错误.我们主要看一下D 评:这里提供了一个处理$sin^2xcosx$的常见方法:平方,单变量后用算术几何不等式.

  6. [洛谷P4245]【模板】任意模数NTT

    题目大意:给你两个多项式$f(x)$和$g(x)$以及一个模数$p(p\leqslant10^9)$,求$f*g\pmod p$ 题解:任意模数$NTT$,最大的数为$p^2\times\max\{n ...

  7. 洛谷P2054 [AHOI2005]洗牌(扩展欧几里德)

    洛谷题目传送门 来个正常的有证明的题解 我们不好来表示某时刻某一个位置是哪一张牌,但我们可以表示某时刻某一张牌在哪个位置. 设数列\(\{a_{i_j}\}\)表示\(i\)号牌经过\(j\)次洗牌后 ...

  8. Python函数绘图

    最近看数学,发现有时候画个图还真管用,对理解和展示效果都不错.尤其是三维空间和一些复杂函数,相当直观,也有助于解题.本来想用mathlab,下载安装都太费事,杀鸡不用牛刀,Python基本就能实现.下 ...

  9. innerHTML、outerHTML、innerText、outerText的区别及兼容性问题

    今天看了很多文章关于innerHTML.outerHTML.innerText.outerText的区别,都是很模糊的一个介绍,所以自己总结下这些区别以及一些重点内容.很多文章在描述这些区别的时候,都 ...

  10. 架构师成长之路6.1 DNS理论

    点击返回架构师成长之路 架构师成长之路6.1 DNS理论 1.DNS一些基本概念       ① FQDN:Full Qualified Domain Name,完全限定域名,即每个域在全球网络都是唯 ...