CN111277548A - 一种监测西门子s7-plc设置会话密码的方法 - Google Patents

一种监测西门子s7-plc设置会话密码的方法 Download PDF

Info

Publication number
CN111277548A
CN111277548A CN201811477104.6A CN201811477104A CN111277548A CN 111277548 A CN111277548 A CN 111277548A CN 201811477104 A CN201811477104 A CN 201811477104A CN 111277548 A CN111277548 A CN 111277548A
Authority
CN
China
Prior art keywords
data packet
byte
plc
executing
s7comm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811477104.6A
Other languages
English (en)
Inventor
梁效宁
黄旭
向科林
杨先珉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shaanxi Cisco Rudi Network Security Technology Co Ltd
Original Assignee
Shaanxi Cisco Rudi Network Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shaanxi Cisco Rudi Network Security Technology Co Ltd filed Critical Shaanxi Cisco Rudi Network Security Technology Co Ltd
Priority to CN201811477104.6A priority Critical patent/CN111277548A/zh
Publication of CN111277548A publication Critical patent/CN111277548A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种监测西门子S7‑PLC设置会话密码的方法,其特征在于包括以下步骤:S001:将交换机设置为旁路镜像的工作模式,并将西门子S7‑PLC的所有PLC通信流量进行镜像;S002:解析所镜像的PLC通信流量,判断所述PLC通信流量中数据包的应用层协议是否为s7comm协议,如果是,执行步骤S003,否则执行步骤S002;S003:判断s7comm数据包的头部分的远程操作服务控制字段值是否为指定值,如果是,执行步骤S004,否则执行步骤S002;S004:判断s7comm数据包的参数部分的子功能字段值是否为指定值,如果是,执行步骤S005,否则执行步骤S002;S005:记录当前数据包中源IP地址、源MAC地址、源端口号、目标IP地址、目标MAC地址、目标端口号,以供后续分析使用。

Description

一种监测西门子S7-PLC设置会话密码的方法
技术领域
本发明属于工控网络安全领域,具体涉及监测西门子S7-PLC的方法,尤其涉及一种监测西门子S7-PLC设置会话密码的方法。
背景技术
随着工业 4.0、中国制造 2025、互联网+、物联网、 两化融合进程的不断交叉融合,越来越多的信息技术应用于工控领域,工控系统的开放程度也越来越高,在为工业生产带来极大推动的同时也带来了诸如木马、病毒、网络攻击等安全问题。这些都成为了制约信息化与工业化深度融合发展的重要因素,传统的以物理隔离为主的防护措施已远远不能满足工业信息化发展的需求。目前工业控制系统普遍存在一些严重的安全问题,主要表现为:
一、各类安全漏洞不能及时加固,系统存在严重的安全隐患
现在运行的工控系统普遍在设备、系统、协议等层面存在安全漏洞,且基于工控系统特殊的运行机制,工控具有系统软件难以实时升级、安全漏洞难以及时加固、设备使用周期长以及系统补丁兼容性差、发布周期长等特点, 导致工控系统存在严重的安全隐患。
二、工业网络及总线通讯缺乏安全机制,易于被攻击和利用
工控系统以实时性和可靠性为目的,追求效率和速度,对身份认证、规则检查、加密传输、完整性检查等缺乏安全措施,极易受到攻击;工控系统现场总线大量使用明码传输,极易被破译和伪造。
三、“互联网+工业控制系统”及两化融合等使得工控系统安全威胁全面升级
深度网络化和多层面互联互通的两化融合增加了工业环境中潜在的攻击路径,传统IT产品的引入带来了更多安全漏洞,而新兴信息技术在工业控制领域的安全理论、防护体系尚不成熟,安全防护手段亦显不足,这使得工控网络在网络攻击面前“不堪一击”。
四、传统信息安全领域的安全产品在工业控制网络中的不适应性
传统信息网络安全产品由于要具有广泛的应用场景,因此只能以黑名单为基础进行特征、危险行为检测,而大量的传统信息安全的特征、行为、协议在工控环境中并不存在。并且黑名单方式的安全检测需要长期、成熟的工控安全行业的技术积累和大量样本分析才有可能做到一定的检测有效性。而工控环境中,通信设备相对较少,通信协议相对单一,通信业务相对固定,因此具备以白名单为基础的安全检测。
德国西门子(SIEMENS)公司生产的可编程序控制器在我国的应用也相当广泛,在冶金、化工、印刷生产线等领域都有应用。西门子(SIEMENS)公司的PLC产品包括LOGO、S7-200、S7-1200、S7-300、S7-400等。 西门子S7系列PLC体积小、速度快、标准化,具有网络通信能力,功能更强,可靠性高。S7系列PLC产品可分为微型PLC(如S7-200),小规模性能要求的PLC(如S7-300)和中、高性能要求的PLC(如S7-400)等。但是,西门子S7-PLC同样也面临本领域的上述问题,具体地,现有技术中尚无一种监测西门子S7-PLC设置会话密码的方法。
发明内容
本发明针对现有技术的不足问题,提出了一种监测西门子S7-PLC设置会话密码的方法,通过解析西门子S7-PLC控制器的通信数据,判断是否有设置会话密码的行为并记录诸如源IP地址、源MAC地址、源端口号、目标IP地址、目标MAC地址、目标端口号等关键信息,供后续分析使用,包括以下步骤:
S001: 将交换机设置为旁路镜像的工作模式,并将西门子S7-PLC的所有PLC通信流量进行镜像;
S002: 解析所镜像的PLC通信流量,判断所述PLC通信流量中数据包的应用层协议是否为s7comm协议,如果是,执行步骤S003,否则执行步骤S002;
S003: 判断s7comm数据包的头部分的远程操作服务控制字段值是否为指定值,如果是,执行步骤S004,否则执行步骤S002;
S004: 判断s7comm数据包的参数部分的子功能字段值是否为指定值,如果是,执行步骤S005,否则执行步骤S002;
S005: 记录当前数据包中源IP地址、源MAC地址、源端口号、目标IP地址、目标MAC地址、目标端口号,以供后续分析使用。
优选地,所述步骤S002包括以下步骤:
S0021: 查找数据包中是否包含请求连接标识0x11e00000000100c0010ac1020100c202,如果是,执行步骤S0022,否则执行步骤S0021,其中0xe0表示请求建立PLC通信连接;
S0022: 查找所述请求连接标识0x11e00000000100c0010ac1020100c202后的数据包中是否包含确认连接标识0x11d00001000100c0010ac1020100c202,如果是,执行步骤S003,否则执行步骤S0021,其中,0xd0表示确认连接。
优选地,所述步骤S003中所述指定值为0x07。
优选地,所述步骤S003中,所述s7comm数据包的头部分的第2字节的内容为所述远程操作服务控制字段值。
优选地,所述步骤S004中,所述指定值为设置密码,其中,设置密码以0x01表示。
优选地,所述步骤S004中,所述s7comm数据包的参数部分的第17字节的内容为所述功能字段值。
优选地,当前数据包的第1字节至第6字节的内容为所述目标MAC地址, 第7字节至第12字节的内容为所述源MAC地址,第27字节至第30字节的内容为所述源IP地址,第31字节至第34字节的内容为所述目标IP地址,第35字节至第36字节的内容为所述源端口号,第37字节至第38字节的内容为所述目标端口号。
本发明的有益效果是:
1. 本发明获取通信数据是通过交换机旁路镜像方式接入工控网络,被动接受数据,不会影响生产企业工控系统的功能和性能。
2. 通过解析西门子PLC网络数据包,来识别是否存在设置会话密码的行为,增加了工控网络的安全性。
附图说明
图1为本发明的流程图。
具体实施方式
下面结合附图和实施例对本发明作进一步阐述。如图1所示,本发明的方法包括以下步骤:
S001: 将交换机设置为旁路镜像的工作模式,并将西门子S7-PLC的所有PLC通信流量进行镜像;
S002: 解析所镜像的PLC通信流量,判断PLC通信流量中数据包的应用层协议是否为s7comm协议,如果是,执行步骤S003,否则执行步骤S002; 步骤S002的具体步骤包括:
S0021: 查找数据包中是否包含请求连接标识0x11e00000000100c0010ac1020100c202,如果是,执行步骤S0022,否则执行步骤S0021,其中0xe0表示请求建立PLC通信连接;
S0022: 查找请求连接标识0x11e00000000100c0010ac1020100c202后的数据包中是否包含确认连接标识0x11d00001000100c0010ac1020100c202,如果是,执行步骤S003,否则执行步骤S0021,其中0xd0表示确认连接。
S003: 判断s7comm数据包的Header(即头部分)的远程操作服务控制ROSCTR字段值是否为指定值0x07(即Userdata),如果是,执行步骤S004,否则执行步骤S002;其中,s7comm数据包的Header(即头部分)的第2字节的内容为远程操作服务控制ROSCTR字段值,下述为本发明实施例中包含s7comm数据包的Header(即头部分)的数据:
3207000057000008000c0001120411450100ff0900086467020662651710
如上述数据中带下划线部分所示,该s7comm数据包的头部分的第2字节的内容0x07(即Userdata)为远程操作服务控制ROSCTR字段值。
S004: 判断s7comm数据包的Parameter(即参数部分)的SubFunction(子功能)字段值是否为指定值0x01,如果是,执行步骤S005,否则执行步骤S002;其中,0x01代表设置密码(即PLC password);s7comm数据包的Parameter(即参数部分)的第17字节的内容为SubFunction(子功能)字段值,下述为本发明实施例中包含s7comm数据包的Parameter(即参数部分)的数据:
3207000057000008000c0001120411450100ff0900086467020662651710
如上述数据中带下划线部分所示,该数据包的Parameter(即参数部分)的第17字节的内容0x01表示设置密码(PLC password)。
S005: 记录当前数据包中源IP地址、源MAC地址、源端口号、目标IP地址、目标MAC地址、目标端口号,以供后续分析使用。下述为本发明实施例中当前数据包的数据:
e0dca03a331ce0dca040519708004500008f1dd740004006993ac0a80104c0a80103da25 0066f30ecbc5000874585018390840d000000300006702f080320100000188005600000407120a10060001000184000d70120a10010001000184000c82120a10010001000184000c86120a10010001000184000c88120a10010001000184000c89120a10060001000184000d90120a10060001000184000db0
如上述数据中斜体字部分所示,当前数据包的第1字节至第6字节的内容为目标MAC地址0xe0dca03a331c,即目标MAC地址为e0-dc-a0-3a-33-1c;第7字节至第12字节的内容为源MAC地址0xe0dca0405197, 即源MAC地址为e0-dc-a0-40-51-97。
如上述数据中带下划线部分所示,第27字节至第30字节的内容为源IP地址0xc0a80104,即源IP地址为192.168.1.4; 第31字节至第34字节的内容为目标IP地址0xc0a80103,即目标IP地址为192.168.1.3;第35字节至第36字节的内容为源端口号0xda25,即源端口号为55845;第37字节至第38字节的内容为目标端口号0x0066,即目标端口号为102。
通过本发明提供的方法,解决了现有技术中尚无一种监测西门子S7-PLC设置会话密码的方法的技术问题。
应当理解的是,本发明不限于上述的举例,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (7)

1.一种监测西门子S7-PLC设置会话密码的方法,其特征在于包括以下步骤:
S001:将交换机设置为旁路镜像的工作模式,并将西门子S7-PLC的所有PLC通信流量进行镜像;
S002:解析所镜像的PLC通信流量,判断所述PLC通信流量中数据包的应用层协议是否为s7comm协议,如果是,执行步骤S003,否则执行步骤S002;
S003:判断s7comm数据包的头部分的远程操作服务控制字段值是否为指定值,如果是,执行步骤S004,否则执行步骤S002;
S004:判断s7comm数据包的参数部分的子功能字段值是否为指定值,如果是,执行步骤S005,否则执行步骤S002;
S005:记录当前数据包中源IP地址、源MAC地址、源端口号、目标IP地址、目标MAC地址、目标端口号,以供后续分析使用。
2.根据权利要求1所述的一种监测西门子S7-PLC设置会话密码的方法,其特征在于,所述步骤S002的具体步骤包括:
S0021:查找数据包中是否包含请求连接标识0x11e00000000100c0010ac1020100c202,如果是,执行步骤S0022,否则执行步骤S0021,其中0xe0表示请求建立PLC通信连接;
S0022:查找所述请求连接标识0x11e00000000100c0010ac1020100c202后的数据包中是否包含确认连接标识0x11d00001000100c0010ac1020100c202,如果是,执行步骤S003,否则执行步骤S0021,其中,0xd0表示确认连接。
3.根据权利要求1所述的一种监测西门子S7-PLC设置会话密码的方法,其特征在于,所述步骤S003中所述指定值为0x07。
4.根据权利要求1所述的一种监测西门子S7-PLC设置会话密码的方法,其特征在于,所述步骤S003中,所述s7comm数据包的头部分的第2字节的内容为所述远程操作服务控制字段值。
5.根据权利要求1所述的一种监测西门子S7-PLC设置会话密码的方法,其特征在于,所述步骤S004中,所述指定值为设置密码,其中,设置密码以0x01表示。
6.根据权利要求1所述的一种监测西门子S7-PLC设置会话密码的方法,其特征在于,所述步骤S004中,所述s7comm数据包的参数部分的第17字节的内容为所述子功能字段值。
7.根据权利要求1所述的一种监测西门子S7-PLC设置会话密码的方法,其特征在于,当前数据包的第1字节至第6字节的内容为所述目标MAC地址, 第7字节至第12字节的内容为所述源MAC地址,第27字节至第30字节的内容为所述源IP地址,第31字节至第34字节的内容为所述目标IP地址,第35字节至第36字节的内容为所述源端口号,第37字节至第38字节的内容为所述目标端口号。
CN201811477104.6A 2018-12-05 2018-12-05 一种监测西门子s7-plc设置会话密码的方法 Pending CN111277548A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811477104.6A CN111277548A (zh) 2018-12-05 2018-12-05 一种监测西门子s7-plc设置会话密码的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811477104.6A CN111277548A (zh) 2018-12-05 2018-12-05 一种监测西门子s7-plc设置会话密码的方法

Publications (1)

Publication Number Publication Date
CN111277548A true CN111277548A (zh) 2020-06-12

Family

ID=71001437

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811477104.6A Pending CN111277548A (zh) 2018-12-05 2018-12-05 一种监测西门子s7-plc设置会话密码的方法

Country Status (1)

Country Link
CN (1) CN111277548A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003053025A1 (en) * 2001-12-18 2003-06-26 Siemens Energy & Automation, Inc. Security features for an integral plc modem
CN102299913A (zh) * 2010-06-22 2011-12-28 西门子公司 网络保护装置
CN105574168A (zh) * 2015-12-17 2016-05-11 福建六壬网安股份有限公司 一种内存数据库的安全审计系统及审计方法
CN105847251A (zh) * 2016-03-22 2016-08-10 英赛克科技(北京)有限公司 采用s7协议的工控系统安全防护方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003053025A1 (en) * 2001-12-18 2003-06-26 Siemens Energy & Automation, Inc. Security features for an integral plc modem
CN102299913A (zh) * 2010-06-22 2011-12-28 西门子公司 网络保护装置
CN105574168A (zh) * 2015-12-17 2016-05-11 福建六壬网安股份有限公司 一种内存数据库的安全审计系统及审计方法
CN105847251A (zh) * 2016-03-22 2016-08-10 英赛克科技(北京)有限公司 采用s7协议的工控系统安全防护方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
GONGMO: "工控协议 | 西门子S7协议学习分享", 《HTTPS://WWW.SOUHU.COM/A/207043694_354899》 *
身在江湖的郭大侠: "西门子s7Commplc协议", 《CSDN》 *

Similar Documents

Publication Publication Date Title
Chandia et al. Security strategies for SCADA networks
KR101977731B1 (ko) 제어 시스템의 이상 징후 탐지 장치 및 방법
CN109922085B (zh) 一种基于plc中cip协议的安全防护系统及方法
US20040093520A1 (en) Firewall system combined with embedded hardware and general-purpose computer
CN110719250B (zh) 基于PSO-SVDD的Powerlink工控协议异常检测方法
CN101345766A (zh) 一种基于三元对等鉴别可信网络连接的可信网络管理方法
CN111131154A (zh) 网管数据摆渡方法和系统、存储介质以及计算机设备
CN110691097A (zh) 一种基于hpfeeds协议的工控蜜罐的系统及其工作方法
Luo et al. Security analysis of the TSN backbone architecture and anomaly detection system design based on IEEE 802.1 Qci
WO2021042736A1 (zh) 一种水利工业控制系统中应用数据单元加密方法
CN113873512A (zh) 一种物联网边缘网关安全架构系统
CN103067389B (zh) 基于短网址的高安全性文件传输方法
Paul et al. Towards the protection of industrial control systems–conclusions of a vulnerability analysis of profinet IO
CN105959289A (zh) 一种基于自学习的OPC Classic协议的安全检测方法
CN1173529C (zh) 基于边界网关协议报文的控制报文安全保护方法
CN113472520B (zh) 一种ModbusTCP协议安全增强方法及系统
CN108833333B (zh) 一种基于dcs分布式控制的蜜罐系统
CN101547127B (zh) 一种内、外网络报文的识别方法
CN109450928A (zh) 一种基于UDP和Modbus TCP的跨云端数据透传方法及系统
Alsabbagh et al. Silent Sabotage: A Stealthy Control Logic Injection in IIoT Systems
CN111277548A (zh) 一种监测西门子s7-plc设置会话密码的方法
CN111277547A (zh) 一种监测西门子s7-plc设置内部时钟的方法
CN106899616B (zh) 一种无ip防火墙的安全规则配置方法
CN111277545A (zh) 一种监测西门子s7-plc控制器启停的方法
CN111277617A (zh) 一种监测西门子s7-plc上传下载程序块的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 710072 b1901, innovation building, West University of technology, No. 127, Youyi West Road, Beilin District, Xi'an City, Shaanxi Province

Applicant after: Shaanxi University of technology Ruidi Information Technology Co.,Ltd.

Address before: 710072 b1901, innovation building, West University of technology, No. 127, Youyi West Road, Beilin District, Xi'an City, Shaanxi Province

Applicant before: Shaanxi CISCO Rudi Network Security Technology Co.,Ltd.

WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20200612