工控通信协议分析

典型工业控制系统通信协议平安性分析报告启明星辰集团工控平安事业部2023/10/26目录TOC\o"1-2"\h\z\u前言 21ModbusTCP协议 31.1协议简介 31.2协议标准 41.3协议平安性分析 62OPC协议 82.1协议简介 82.2协议平安性分析 143DNP3协议 163.1协议简介 163.2协议标准 163.3协议平安性分析 184Ethernet/IP协议 204.1协议简介 204.2协议标准 204.3协议平安性分析 215EtherCAT协议 235.1协议简介 235.2协议标准 235.3协议平安性分析 25前言网络协议是计算机网络中进行数据交换而建立的规那么、标准或约定。要理解工业网络如何工作，首先要了解他们所使用的底层通信协议，及其应用场景和选择这些协议的原因。目前，已有的许多工业控制专用协议，大多是为了提高效率和可靠性而设计的，以满足大规模分布式控制系统的运行需要。同时，令人堪忧的是为了提升效率，而放弃了协议的平安特性，例如：要求额外开销的认证和加密等措施。更有许多工控协议为了能够适应以太网运行做了修改，使得协议存在可以被利用的漏洞。因此，启明星辰对常见的ModbusTCP、OPC、DNP3、Ethernet/IP、EtherCAT这五种常见协议进行平安性分析，以期发现基于协议漏洞的攻击方式。欢送各位专家提珍贵意见。技术联系人：郑凌鹏：孟雅辉：ModbusTCP协议协议简介Modbus是由Modicon(现为施耐德电气公司的一个品牌)在1979年创造的，是一个划时代、里程碑式的网络协议，作为上个世纪第一个在工业现场总线发挥作用的工业总线协议，Modbus协议由于其免费、开放、简单等优点，至今仍然活泼在工业、建筑、根底设施等领域中。随着时代的开展和需求的变化，Modbus己经衍生出ModbusPlus.ModbusTCP/IP等协议，其已经开展成一个协议簇。在我国，已制定国家标准GB/T19582-2023《基于Modbus协议的工业自动化网络标准》。Modbus协议是应用于电子控制器上的一种通用语言。通过此协议，控制器相互之间、控制器经由网络〔例如以太网〕和其它设备之间可以通信。使用Modbus协议，不同厂商生产的控制设备在各种网络体系结构内进行简单通信，每种设备(PLC、HMI、控制面板、驱动程序、动作控制、输入\输出设备)都能使用Modbus协议来启动远程操作，在基于串行链路和以太TCP/IP网络的MODBUS上可以进行相同通信。ModbusTCP以一种比拟简单的方式将Modbus帧嵌入TCP帧中。IANA(互联网编号分配管理机构)给Modbus协议赋予TCP端口502。如下列图所示，每种设备都能使用Modbus协议来启动远程操作，在基于串行链路和以太网TCP/IP的Modbus上可以进行相同的通信，一些网关允许在几种使用Modbus协议的总线或网络之间进行通信。图1-1ModbusTCP通信网络协议标准ModbusTCP是OSI通信参考模型第七层上的应用层报文传输协议，它在连接至不同类型总线或网络的设备之间提供客户机/效劳器通信。如下列图所示：协议格式如下：MBAP报文头功能代码数据图1-2ModbusTCP协议应用数据单元的结构Modbus协议的功能码分为三类：〔1〕公共功能码是较好地被定义的功能码；保证是唯一的；MODBUS组织可改变的；公开证明的；具有可用的一致性测试；MBIETFRFC中证明的；包含已被定义的公共指配功能码和未来使用的未指配保存供功能码。〔2〕用户定义功能码有两个用户定义功能码的定义范围，即65至72和十进制100至110；用户没有MODBUS组织的任何批准就可以选择和实现一个功能码；不能保证被选功能码的使用是唯一的；如果用户要重新设置功能作为一个公共功能码，那么用户必须启动RFC，以便将改变引入公共分类中，并且指配一个新的公共功能码。〔3〕保存功能码一些公司对传统产品通常使用的功能码，并且对公共使用是无效的功能码。图1-3Modbus功能码分类图1-4公共功能码定义协议平安性分析没有认证机制在网络连接方面，利用的是TCP协议。在知道目标IP地址的情况下，只要通过502端口就可以发起并建立通信连接。如果应用数据单元携带的功能码是Modbus设备所支持的，那么就可以建立起一个合法的Modbus会话。没有消息校验(只有ModbusTCP存在该问题)。在某些ModbusTCP实现中，校验和是在传输层而非应用层生成，从而使得假冒命令更加容易。没有权限区分对于任何人，只要他能够连接到目标Modbus设备上，那么他就可以执行所有Modbus设备所具有的功能。数据明文传输Modbus协议封装的是ADU，传输的也是这个ADU，在网络上都是以明文的形式传输，通过抓包技术就可以获取并解析出里面的数据。由于工厂生产环境特殊性，不到万不得已的地步，工厂很难做到随时停工停产进行生产设备的更新换代，因此在现有条件根底上对Modbus协议以上三点缺点进行平安加固工作很有必要。没有播送抑制(只有串行Modbus变体存在该问题)串行连接的所有设备都会收到所有消息，意味着在串行连接设备链中，可以通过对不明地址进行播送，有效地实现拒绝效劳(Dos)攻击。可编程性Modbus最危险的特点是它为编程控制器设计的，因此可以用来向RTU或PLC中注入恶意代码，该问题也存在于许多其他工业协议中。一些需要特别关注的Modbus消息的例子包括：强制从设备转到“只听〞(ListenOnly)模式的功能码重启通信的功能码去除、擦除或重置诊断信息(如计数器与诊断存放器)的功能码请求关于Modbus效劳器、PLC配置或其他敏感信息的功能码对定义点列表及其值的Modbus请求(配置扫描)请求从站标志信息请求从站附加信息大小或长度有问题的ModbusTCP数据包。可能的拒绝效劳攻击从效劳器到多个节点的Modbus流量，可能的拒绝效劳攻击TCP端口502上的非Modbus或缺陷Modbus报文从设备忙异常代码延迟〔异常码06〕，可能的拒绝效劳攻击确认异常代码延迟〔异常码05〕，可能的拒绝效劳攻击不正确的报文长度〔最大253〕，可能的拒绝效劳攻击配置扫描〔例如定义的点列及其值〕〔30秒内5个异常码02〕可用功能码扫描〔60秒内3个异常码01〕修改分隔符〔08-03〕周期较短〔实际阈值待定〕的无意义命令，暴力拒绝效劳播送性质的报文或一个主站向多个从站的请求包含在异常协议数据单元中的信息列出所有可用功能码的命令(功能扫描)OPC协议OPC(OLEforProcessControl，用于过程控制的OLE)是一个工业标准，管理这个标准国际组织是OPC基金会，OPC基金会现有会员已超过220家。遍布全球，包括世界上所有主要的自动化控制系统、仪器仪表及过程控制系统的公司。基于微软的OLE(现在的ActiveX)、COM〔部件对象模型〕和DCOM〔分布式部件对象模型〕技术。OPC包括一整套接口、属性和方法的标准集，用于过程控制和制造业自动化系统。OPC的出现解决了控制系统突破“信息孤岛〞的瓶颈问题。OPC技术建立了一组符合工业控制要求的接口标准，将现场信号按照统一的标准与SCADA，HMI等软件无缝连接起来，同时将硬件和应用软件有效地别离开。只要硬件开发商提供带有OPC接口的效劳器，任何支持OPC接口的客户程序均可采用统一的方式对不同硬件厂商的设备进行存取，无须重复开发驱动程序。这样大大提高了控制系统的互操作性和适应性。1995年，由Fisher-Rosemount、RockwellSoftware、Opto22、Intellution和IntuitiveTechnology发起成立OPC基金会。第一份OPC标准草案于1995年12月发布，第二份草案于1996年3月发布，第二份草案成功的吸引了大量开发人员的注意，并将其理念推向世界。OPC标准1.0版本于1996年8月29日正式出版，开始了全球范围的活动。截止2023年，OPC国际基金会总共拥有440余位公司成员/80多位最终用户成员，3500多家致力于开发OPC产品的公司，超过22000种产品，拥有3000多种产品资料，在包括中国在内的全球52个国家和地区拥有众多分支机构。随着技术的开展和市场的需求，OPC技术的开展经历了三个主要阶段，即经典OPC、OPCXML-DA和OPCUA。协议简介经典OPCOPC第一阶段的技术称为经典的OPC。根据工业应用的不同需求，经典OPC包括的标准：DataAccess(DA)，Alarm&Events(A&E)，HistoricalDataAccess(HDA)，OPCBatch，OPCSecurity，OPCDX和OPCComplexData。其中应用较多的有DA，AE和HAD。DA指出如何访问当前的过程数据，A&E提供了基于事件信息的接口，HDA描述了如何访问已存档的数据。所有的接口都提供通过地址空间导航获取可用数据的方法。OPCDAOPCDA即OPC数据访问标准，它是由OPC基金会定义的其中一种通信标准，定义了实时数据如何在数据源和数据接收体〔比方PLC，HMI〕之间，在不知道彼此特定通信协议的情况下仍然进行交换、传输。年份版本备注19961.0初始标准19971.0a数据访问，该名称用于区分与其并行开发的其它19982.0－2.05a多处标准澄清和修改20033.0进一步补充和修改表2-1OPCDA标准主要版本OPC数据存取标准定义了OPC效劳器中一组COM对象及其接口，并规定了客户程序对效劳器程序进行数据存取时需要遵循的标准。OPC数据存取标准以OPC对象模型逻辑为根底，该模型包含三类对象：OPC效劳器对象，OPC组对象和OPC项对象。OPC效劳器对象并作为OPC组对象的包容器维护有关效劳器的信息，OPC效劳器对象主要实现IUnknown和IOPCServer接口，OPC客户程序通过OPC效劳器的接口与OPC对象进行通信，存取数据源，数据源可以是现场设备，也可以是应用程序，效劳器内部封装了与I/O控制设备通讯及操作的具体实现过程；OPC组对象维护有关其自身的信息，提供包容OPC项的机制，并管理OPC项，它提供了一种客户程序组织数据的手段，例如一个组中可以包括一个设备中所有的数据项，客户程序和数据项之间可以建立基于“订阅〞的连接；有两种类型的组，公共组和局域组，公共组可以被多个客户共享，而局域组只能被一个客户使用，每个组中都可以定义一个或多个OPC项。图2-1OPCDA中的对象〔3〕OPCHDAOPCHDA即OPC历史数据存取标准，提供了一种统一的在各种不同的应用层面之间传递数据的方式，但跟OPCDA完全不同的是，OPCHDA在不同角色之间传递的是非实时数据，即不是当下的时刻，而是过去某点或某段时间内的过程数据。任何支持OPCHDA标准的数据可视化、数据分析或者趋势汇报的软件，都可以从任何一个支持OPCHDA的过程历史数据库中读取数据。因为OPCHDA已经是一种非常之成熟的OPC访问标准，所以现在市场上的主要过程历史数据库都支持OPCHDA，即使用户所用的历史数据库没有提供OPC通信，现在各大OPC供给商也都有为不同历史数据库提供OPC接口的软件。可以看出其应用主要不同的地方在于它是和过程数据库进行数据交换，其余的应用和之前的OPCDA标准根本相同，是为了适应新需求而升级的标准。OPC历史数据效劳器对象实现了与历史效劳器进行读取或写入数据的功能，数据类型取决于效劳器。通过接口可以获取所有的COM对象，客户端只能看到这些COM对象。〔4〕OPCA&EOPCA&E即OPC报警事件标准，提供了基于事件信息的接口。OPC支持两种类型的报警事件效劳器:简单的和复杂的。简单效劳器监测报警或事件，并提供给报警事件客户;复杂效劳器从多个数据源处(包括简单效劳器)监测报警或事件信息，并向报警事件客户提供信息。报警事件客户也分为三类：操作站、报警事件管理子系统和报警事件logging组件。OPC报警事件效劳器包含一系列的对象和接口，这些对象和接口向客户提供报警事件信息。OPC报警事件效劳器中涉及以下几个概念：报警〔Alarm〕：报警是一种非正常的状态。状态〔Condition〕：状态是OPC报警事件效劳器定义的，每个状态还可以包含假设干个子状态，状态最终是和现场数据项联系的。每一个状态都包含一个或多个子状态、属性和质量等属性。OPC报警事件效劳器中定义状态机处理相应的状态或子状态之间的变化。事件：OPC标准中定义了三种事件。条件事件：定义描述了状态的变化。跟踪事件:指当客户与OPC事件效劳器中定义的数据项之间发生交互时引发的事件。简单事件:指除以上两种事件以外的任何事件，例如，效劳器中定义的物理系统和设备的错误等。OPCA&E效劳器主要包括OPC事件效劳器对象、OPC事件订阅对象和OPC事件区域浏览对象。〔5〕OPCXML-DAOPCXML-DA是OPC基金会提出的一个基于XML标准和SOAP技术的接口标准，OPCXML-DA将要交换的结构化数据信息组织为SOAP消息来传送。基于XML技术和SOAP技术的特征使得它可以更好地促进工业现场数据跨越Internet的传输，简化不同应用间的互操作性，并将现场数据统一到企业层的运用中，实现诸如MES和ERP等系统的一体化连接，XML在OPC标准中的引入，为控制系统到信息系统之间的数据交换搭建了一个桥梁。控制系统现场采用XML描述的数据可以被管理信息系统中的标准XML解析器解析，而不需要根据不同的控制系统数据描述开发多种解析器，这使得统一和标准化的数据传输成为可能。OPCXML-DA支持8种效劳，每种效劳都包括1个请求和1个响应。通过对这些效劳的定义，提供了访问工业现场数据的标准接口，请求和响应按照SOAP协议标准被包装成SOAP信封，信封标题说明消息如何被处理，信封正文那么包含工业过程信息。OPCXML-DA支持的效劳类型具体包括：GetStatus：返回关于效劳器、版本、当前模式、运行状态等信息；Browse：在效劳器的命名空间里搜索所有可获取的项的名字；GetProperties：返回1个或多个项的属性相关信息；Write：向1个或多个项中写入新值；Read：返回1个或多个项的值、品质和时间戳；Subscribe：指定1个客户希望持续更新的项列表；SubscriptionCancel：删除在前一个Subscrible调用中指定的项列表；SubscriptionPolledRefresh：返回上次调用以来在项列表中数值发生变化的所有项。〔6〕OPCUAOPC通信标准的核心是互通性(Interoperability)和标准化(Standardization)问题。传统的OPC技术在控制级别很好地解决了硬件设备间的互通性问题，在企业层面的通信标准化是同样需要的。OPCUA之前的访问标准都是基于微软的COM/DCOM技术，这会给新增层面的通信带来不可铲除的弱点。随着传统OPC技术不够灵活、平台局限等问题逐渐凸显，OPC基金会于2006年发布了最新的OPC技术标准—OPC统一体系架构(OPCUA)，涵盖了OPC实时数据访问标准(OPCDA)、OPC历史数据访问标准(OPCHDA)、OPC报警事件访问标准(OPCA&E)和OPC平安协议(OPCSecurity)的不同方面，但在其根底之上进行了功能扩展。OPCUA是在传统OPC技术取得很大成功之后的又一个突破，让数据采集、信息模型化以及工厂底层与企业层面之间的通讯更加平安、可靠，它是未来OPC技术的核心开展技术标准。OPCUA的几大优势：与平台无关，可在任何操作系统上运行为未来的先进系统做好准备，与保存系统继续兼容配置和维护更加方便基于效劳的技术可见性增加通信范围更广通信性能提高OPCUA有效地将现有的OPC标准〔DA、A&E、HDA、命令、复杂数据和对象类型〕集成进来，成为现在的新的OPCUA标准。OPCUA提供了一致、完整的地址空间和效劳模型，解决了过去同一系统的信息不能以统一方式被访问的问题。通信性高OPCUA标准可以通过任何单一端口进行通信。这让穿越防火墙不再是OPC通信的路障，并且为提高传输性能控制工程网版权所有，OPCUA消息的编码格式可以是XML文本格式或二进制格式，也可使用多种传输协议进行传输，比方：TCP和通过HTTP的网络效劳。可靠性、冗余性OPCUA的开发含有高度可靠性和冗余性的设计。可调试的逾时设置控制工程网版权所有，错误发现和自动纠正等新特征，都使得符合OPCUA标准的软件产品可以很自如地处理通信错误和失败。OPCUA的标准冗余模型也使得来自不同厂商的软件应用可以同时被采纳并彼此兼容。标准平安模型OPCUA访问标准明确提出了标准平安模型，每个OPCUA应用都必须执行OPCUA平安协议，这在提高互通性的同时降低了维护和额外配置费用。用于OPCUA应用程序之间传递消息的底层通信技术提供了加密功能和标记技术，保证了消息的完整性，也防止信息的泄漏。平台无关OPCUA软件的开发不再依靠和局限于任何特定的操作平台。过去只局限于Windows平台的OPC技术拓展到了Linux、Unix、Mac等各种其它平台。基于Internet的WebService效劳架构(SOA)和非常灵活的数据交换系统，OPCUA的开展不仅立足于现在控制工程网版权所有，更加面向未来。OPCUA定义了一系列效劳器所能提供的效劳，特定的效劳器需要向客户打量细说明它们所支持的效劳；信息通过使用标准的和宿主程序定义的数据类型进行表达，效劳器定义客户端可识别的对象模型，效劳器可以提供查看实时数据和历史数据的接口，并且由报警和事件组件来通知客户端重要的变量或事件变化，OPCUA可以被映射到一种通信协议上并且数据可以以不同的形式进行编码来到达传输便捷和高效的目的。OPCUA的总体架构如下列图所示。图2-3OPCUA总体架构协议平安性分析由于使用DCOM与RPC、OPC与OLE受到同样漏洞的影响，从而导致OPC很容易受到攻击。此外，OPC基于Windows操作系统，很容易受到针对windows漏洞的攻击影响。虽然OPC及相关控制系统漏洞只有ICS-CERT授权会员才能获得，但大量现存OLE与RPC漏洞早已广为人知。因为在工业网络中为产品系统打补丁存在困难，所以目前正在使用的工控系统依然存在许多这样的漏洞，哪怕微软公司已经提供了相应的补丁，但这种平安状态一直没有得到改变。而且由于OPC基于Windows系统，通常的主机平安问题也会影响OPC系统。大量OPC主机使用弱平安认证机制，即使启用了认证机制也常使用弱口令。许多系统启用了与SCADA系统无关的额外Windows效劳，导致非必需的运行进程和开放端口。这些问题将OPC系统广泛暴露于攻击之下。令问题更严重的是，由于Windows2000/XP审计设置默认不会记录DCOM连接请求，因此攻击发生时，日志记录往往不充分甚至缺失，无法提供足够的详细证据。也就是说，与前述的简单且目的单一的协议不同，OPC必须使用最新操作系统与网络平安手段，将其作为大型系统对待。由于OPC依赖于微软公司授权机制，因而弱口令是威胁OPC效劳器平安的最严重脆弱性之一。另一个主要问题是，由于windows2000/XP的审计设置默认不会记录DCOM的连接请求、SMB登录以及访问系统对象的尝试，从而导致日志记录不充分。其他OPC平安问题包括：过时的授权效劳。受限于维护窗口、解释性问题等诸多因素，工业网络系统升级困难，导致不平安的授权机制仍在使用。例如，在许多系统中，仍在使用默认的Windows2000LanMan(LM)和WindowsNTLanMan(NTLM)机制，这些机制与其他过时的授权机制过于脆弱而易受攻击。RPC漏洞。由于OPC使用RPC，因而易受所有RPC相关漏洞影响，包括几个在授权前就暴露的漏洞。攻击底层RPC漏洞可以导致非法执行代码或DoS攻击。不必要的端口与效劳。OPC支持除TCP/IP外的其他网络协议，包括NetBEUI、在Ipx协议上面向连接的NetBIOS和HTTP互联网效劳等。OPC效劳器完整性。攻击者可以创立一个假冒OPC效劳器，并使用这个效劳器进行效劳干扰、DoS攻击、通过总线监听窃取信息或注入恶意代码。通过监控OPC网络或OPC效劳器〔效劳器活动可以通过采集与分析Windows日志监控〕可疑行为可以检测多种威胁，包括：从OPC效劳器发起的使用非OPC的端口与效劳。出现OPC(包括底层OLERPC与DCOM)攻击。来自未知OPC效劳器的OPC效劳(意味着存在假冒效劳器)。OPC效劳器上的失败授权尝试或其他授权异常。OPC效劳器上由未知或未授权用户发起的成功授权尝。DNP3协议协议简介DNP〔DistributedNetworkProtocol，分布式网络协议〕是HARRIS公司推出的一种远动通信协议，是目前电力系统自动化产品市场上的一种主流通信协议。DNP3.0是美国IEEE电力工程协会(PES)在IEC的根底上制定的国家标准。DNP3.0的开发是HARRIS公司集其多年SCADA通信规约应用经验，并参与了多个标准委员会的经验交流的结果(如IEEE，IEC，EPRI/UCA，MMSForum，AMRA，ANSI，CCAC，CIGRE等标准委员会组织)。协议标准DNP3.0基于IEC870-5标准，采用了ISO七层模型中的三层：物理层、数据链路层和应用层，其结构为增强协议结构。这种分层结构使得数据传送的可靠性大大提高，同时也便于软件编程的模块化。物理层一般采用普通的RS232或RS485；链路层采用CRC校验；为了满足较长数据包的传送，又增加了一个伪传输层。发送数据时它可以将较长的应用层报文拆分为多个短帧然后多帧传送，反之，接收时将短帧组装成完整的应用层报文。 图3-1DNP3通信协议结构图DNP3.0的数据链路层协议规定了DNP3.0版的数据链路层，链路协议数据单元(LPDU)以及数据链路效劳和传输规程。数据采用一种可变帧长格式：FT3。一个FT3帧被定义为一个固定长度的报头，随后是可以选用的数据块，每个数据块附有一个16位的CRC校验码。固定的报头含有2个字节的起始字，一个字节的长度〔LENGH〕，一个字节的链路层控制字〔CONTROL〕，一个16位的目的地址，一个16位的源地址和一个16位的CRC校验码，共10个字节。图3-2DNP3数据链路层协议格式传输层协议DNP的传输层是一个伪传输层。伪传输层功能专门设计用于在原方站和从方站之间传送超出链路规约数据单元〔LPDU〕定义长度的信息。其格式如下：图3-3DNP3传输层协议格式其中：传输层报头：传输控制字，1个字节数据块：应用用户数据1-249个字节应用层规约：DNP3.0应用层归约定义了应用层报文(APDU)的格式。这里，主站被定义为发送请求报文的站，而从站那么为附属设备。被请求回送报文的RTU或智能终端，只有被指定的主站能够发送应用层的请求报文，而从站那么只能发送应用层的响应报文。应用请求报文的格式：图3-4DNP3应用层响应报文格式请求〔响应〕报头：标识报文的目的，包含应用规约控制信息〔ACPI〕；对象标题：标识随后的数据对象；数据：在对象标题内的指定的数据对象；应用报文报头字段的定义：请求报头有两个字段。每个字段为8位的字节，说明如下：图3-5DNP3应用层请求报文报头响应报头有三个字段。前两个字段为8位的字节，第三个字段为两个字节，说明如下：图3-6DNP3应用层响应报文报头协议平安性分析DNP3的主要关注点集中在数据帧完整性方面，而它并没有使用授权或加密机制(尽管在平安DNP3中有)。由于DNP3功能代码与数据类型都已经明确定义，因此篡改DNP3会话变得相当容易。不过，在DNP3协议中引入平安机制的同时带来复杂度的增加，也为协议增加了出现漏洞的可能。ICS-CERT已报告了几个DNP3漏洞。由于存在漏洞，而且DNP3协议已得到广泛使用，因此建议对DNP3互联进行适当渗透测试和补丁修复操作。一些常针对DNP3进行攻击的实例包括使用MITM攻击来窃取地址然后用于操纵系统。实例如下：关闭自主报告以瘫痪告警。向主控站发送虚假自发响应事件，并欺骗操作员采取不当行为。通过注入播送数据，在DNP3系统内制造播送风暴进行DoS攻击篡改时间同步数据，导致同步失锁与通信错误。篡改或阻塞确认信息，导致持续重传。发起未授权的停止、重启或其他可能扰乱工控系统运行的指令通过监控DNP3会话，监视特定功能码和行为可以检测多种威胁：在DNP3端口上使用非DNP3通信(TCP与UDP端口20000)。使用配置功能代码23(禁用自发响应)。使用控制功能代码4、5或6(操作、直接操作、无确认的直接操作)。使用应用程序控制功能18(停止应用程序)。大量超时自发响应(响应风暴)。对需要授权的操作进行任何非法尝试。任何授权失败。任何源自或去向一个未显式定义为主/从设备的DNP3通信。Ethernet/IP协议协议简介Ethernet/IP是由ODVA(OpenDeviceNetVendorsAssociation)和ControlNetInternational两大国际工业组织所推出的面向工业自动化应用的工业应用层协议。Ethernet/IP是一个面向工业自动化应用的工业应用层协议。它建立在标准UDP/IP与TCP/IP协议之上，利用固定的以太网硬件和软件，为配置、访问和控制工业自动化设备定义了一个应用层协议。协议基于标准的以太网技术，使用所有传统的以太网协议和标准的TCP/IP协议，并且采用了通用工业协议(CommonIndustrialProtocol，CIP)，共同构成Ethernet/IP协议的体系结构。协议标准Ethernet/IP协议各层结构如下列图所示:图4-1Ethernet/IP协议结构图在物理层和数据链路层采用标准以太网技术意味着Ethernet/IP可以和现在所有的标准以太网设备透明衔接工作，并且保证了Ethernet/IP会随着以太网技术的开展而进一步开展。在网络层和传输层，采用UDP协议传送对实时性要求较高的隐式报文，将UDP报文映射到IP多播传送。实现高效I/O交换。用TCP协议的流量控制和点对点特性通过TCP通道传输非实时性的显式报文。基于标准的TCP/IP协议，在TCP或UDP报文的数据局部嵌入了CIP封装协议。CIP协议是一个端到端的面向对象并提供了工业设备和高级设备之间连接的协议，独立于物理层和数据链路层。使得连接在以太网上的各种设备具有较好的一致性，从而使不同供给商的产品能够互相交互。Ethernet/IP工业以太网有着Devicenet现场总线和Controlnet现场总线都不具备的特点，即其不仅采用了OSI模型中的物理层、数据链路层和应用层，还涉及网络层和传输层，并采用了TCP/IP协议。而Devicenet现场总线和Controlnet现场总线只对物理层、数据链路层和应用层进行了定义。Ethernet/IP通信协议模型在应用层的根底上新增加了用户层，并对工业控制中的功能块进行了标准化操作，事先对其输入、输出、算法和参数等进行规定，并组成为能够在现场设备中实现执行功能的应用进程，目的是为了实现不同类型制造商的设备进行混合组态。CIP通用工业协议是Ethernet/IP、Devicenet和Controlnet3种网络的交叉点，从而使3种网络之间实现共享，并借由工业路由器连接起来。Ethernet/IP封装协议Encapsulation位于TCP/IP和CIP协议之间，基于TCP/IP协议的Encapsulation协议数据包结构如下列图所示，其中封装信息EncapsulationMessage包括封装头Encapsulationheader和命令数据Commandspecificdata两局部组成。图4-2Ether/IP协议格式协议平安性分析Ethernet/IP是实时以太网协议，容易受以太网漏洞影响。由于UDP之上的Ethernet/IP是无法连接的，因此没有内在的网络层机制来保证可靠性、顺序性或进行数据完整性检查。同时CIP明确的对象模型也带来如下的特有平安问题：CIP未定义任何显式或隐式的平安机制；使用通用必需对象进行设备标识，为攻击者进行设备识别与枚举创造了条件；使用通用应用对象进行设备信息交换与控制，可能扩大遭受工业攻击的范围，令攻击者可以操纵更多的工业设备；Ethernet/IP使用UDP与播送数据进行实时传输，两者都缺少传输控制，攻击者易于注入伪造数据或使用注入IGMP控制报文操纵传输途径。EtherCAT协议协议简介EtherCAT技术是德国倍福(Beckhof)公司提出的实时工业以太网技术，它基于标准的以太网技术，具备灵活的网络拓扑结构，系统配置简单，具有高速、高有效数据率等特点，是一种开放式实时以太网在自动化控制技术领域，EtherCAT已经成为一种全球范围内先进的技术标准。EtherCAT技术组〔ETG〕成立于2003年11月，截至2023年