工控安全:工控常见协议识别

最新推荐文章于 2024-09-18 12:50:34 发布
原创 最新推荐文章于 2024-09-18 12:50:34 发布 · 1.8k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #python #网络 #linux #http

本文介绍了一项针对工业控制系统常见协议的流量识别与收集任务。通过使用nmap工具和特定的脚本,对包括Siemens S7、Modbus、IEC60870-5-104等在内的多种工控协议进行识别,提供了详细的命令示例。旨在为工控安全研究提供基础数据。

20160718101501863.jpg

前言

首先是因为接到一个任务:需要对工控常见协议的识别流量进行收集。
项目见:https://github.com/hi-KK/ICS-Protocol-identify (含nse脚本和识别pcap流量)

360截图18770527116454.png

工控常见协议

协议通信端口
Siemens S7tcp102
Modbustcp502
IEC 60870-5-104tcp2404
DNP3tcp20000
EtherNet/IPudp44818
BACnetudp47808
Tridium Niagara Foxtcp1911
Crimson V3tcp789
OMRON FINStcp9600
PCWorxtcp1962
ProConOstcp20547
MELSEC-Qtcp5007

工控协议识别

Siemens S7

nmap -sS -Pn -p 102 --script s7-info -iL 123.txt -oX 123.xml

Modbus

nmap -sS -Pn -p 502 --script modicon-info -iL 123.txt -oX 123.xml

IEC 60870-5-104

nmap -Pn -n -d --script iec-identify.nse  --script-args='iec-identify.timeout=500' -p 2404 <host>

DNP3

nmap --script dnp3-info -p 20000 <host>

EtherNet/IP

nmap --script enip-info -sU  -p 44818 <host>

BACnet

nmap --script bacnet-info -sU -p 47808 <host>

Tridium Niagara Fox

nmap --script fox-info.nse -p 1911 <host>

Crimson V3

nmap --script cr3-fingerprint -p 789 <host>

OMRON FINS

nmap --script omron-info -sU -p 9600 <host>
nmap --script ormontcp-info -p 9600 <host>
nmap --script ormonudp-info -sU -p 9600 <host>

PCWorx

nmap --script pcworx-info -p 1962 <host>

ProConOs

nmap --script proconos-info -p 20547 <host>

MELSEC-Q

nmap -script melsecq-discover -sT -p 5007 <host>
nmap -script melsecq-discover-udp.nse -sU -p 5006 <host>
KEY0NE
关注
工控安全职业证书技能实践:工控安全事件技术对应表设计与编写-泛洪攻击.docx
07-09
工控安全事件技术对应表设计与编写 课程级别 信息安全专业工业互联网安全方向。 实验概述 此实验主要内容是对工控安全事件中的技术进行分析,并设计表格将其汇总。 实验目标 能对工控安全事件技术进行整合; 能对技术进行简要分析; 预备知识 熟悉泛洪攻击类型 了解泛洪攻击原理 了解事件类型表 事件分类 子类名称 事件特征描述 有害程序事件 计算机病毒事件 计算机病毒事件(CVI)是指蓄意制造、传播计算机病毒,或是因受到计算机病毒影响而导致的工控安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码,它可以破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制 蠕虫事件 蠕虫事件(WI)是指蓄意制造、传播蠕虫,或是因受到蠕虫影响而导致的工控安全事件。蠕虫是指除计算机病毒以外,利用信息系统缺陷,通过网络自动复制并传播的有害程序 特洛伊木马事件 特洛伊木马事件(THI)是指蓄意制造、传播特洛伊木马程序,或是因受到特洛伊木马程序影响而导致的工控安全事件。特洛伊木马程序是指伪装在信息系统中的一种有害程序,具有控制该信息系统或进行信息窃取等对该信息系统有害的功能 僵尸网络事件 僵
应用层协议识别
04-09
该论文可以有效识网络中传输数据的协议,准确率高,效率高。
基于内容分析的协议识别研究
06-28
协议识别用于确定网络流量所属的协议类型。在基于内容分析的协议识别中,报文体与一组模式 进行匹配,如Linux上的L7一Filt一¨和口P2P[2】。由于正则表达式的强大功能,入侵检测系统开始使用正 则表达式取代串模式,Snort[31从2003年开始使用正则表达式,Bro【4’使用的模式也为正则表达式。有关 正则表达式的基础理论来源于文献[5]。
工程控制协议.rar
08-12
我收集到的几个工控协议脚本,bacnet,crimson v3,dicom,dnp3,enip,iec,mms,knx,melsecq,modbus,fox,fins,pcworx,proconos,profinet,s7
工业控制系统协议的安全性
m0_73803866的博客
11-01 813
端单元、微机保护装置为核心,将变电所的控制、信号、测量、计费等回路纳入计算机系统, 从而取代传统的控制保护屏,降低变电站的占地面积和设备投资,提高二次系统的可靠性。作为能量管理系统(EMS)的一个最主要的子系统,为 EMS 系统提 供大量的实时数据,在减轻调度员的负担,实现电力调度自动化与现代化,提高调度的效率 和水平等方面有重要的作用。协议的安全性工业控制系统(ICS)广泛应用于电力、油气、市政、水利、铁路、化工、制造业等行业 的数据采集与监视控制。市政 供水、供电、供暖、供气、水处理、交。
工控协议解析:ModbusTCP异常流量检测.pdf
04-27
本文聚焦计算机信息安全核心技术,揭示黑客攻击的常见手法与防范策略。通过行业洞察与技术前瞻,帮助读者理解信息安全的底层逻辑,掌握实用的安全防护技巧。让我们共同提升安全意识,用技术为数字生活保驾护航。
工控异常检测:Modbus协议异常流量识别实战.pdf
04-30
本文聚焦计算机信息安全核心技术,揭示黑客攻击的常见手法与防范策略。通过行业洞察与技术前瞻,帮助读者理解信息安全的底层逻辑,掌握实用的安全防护技巧。让我们共同提升安全意识,用技术为数字生活保驾护航。
工控安全职业证书技能实践:工控安全事件技术对应表设计与编写-Modbus协议.docx
07-12
4. **预备知识**:学习这个课程需要对Modbus协议有深入理解,以及对工控安全事件的常见类型和特性有全面的认识。此外,了解如何使用工具如Smod进行渗透测试也是必要的,以便评估和预防Modbus系统中的安全风险。 5. ...
Using nmap NSE scripts for identifying common ICS protocols使用nmap的nse脚本对常见工控协议进行识别,附对应nse脚本,并记录pcap
最新发布
12-09
工控常见协议 工控协议识别 Siemens S7 360截图16261006315874 Modbus 360截图162412289895122 IEC 60870-5-104 360截图16620607109125137 DNP3 360截图16280721688569 EtherNet/IP 360截图162807227386120 BACnet ...
基于正则表达式的协议识别论文(12篇)
12-19
收集的12篇关于正则表达式协议识别的论文
宏电DTU的DDP协议GPRS DSC中心源代码DEMO SDK
08-31
包含DDP开发包和DSC的DEMO,包括C#、Delphi、VB、VB.NET、VC等语言的无线数据中心DEMO代码 本来应该是公开的资料但是不知为何很难找 发上来分享下
宏电DTU DDP协议规范 V30
09-25
最新的宏电DTU DDP协议规范V30 各种DTU通用
协议识别】H323协议数据流识别
Walter的专栏
05-19 6294
H323信令子集H225和H245。H323是一个信令族,包含H225和H245等子集,工作模式有快慢之分。H225负责维护通道,H245负责能力协商 1、H225:解析H225的connect连接可获取H245的数据流连接的IP地址和端口 src->dst setup:发起呼叫,H225数据包中包含当前信令流的源目的IP地址和端口号。 dst->src:callprocessing和ale
网络协议识别
powerchun的专栏
02-28 1166
对近期研究网络协议进行简单的总结 网络七层协议的划分: 物理层:以太网 · 调制解调器 · 电力线通信(PLC) · SONET/SDH · G.709 · 光导纤维 · 同轴电缆 · 双绞线等数据链路层:Wi-Fi(IEEE 802.11) · WiMAX(IEEE 802.16) ·ATM · DTM · 令牌环 · 以太网 ·FDDI · 帧中继 · GPRS · EVDO ·HSP...
工控安全工控常见协议识别
qq_45927819的博客
01-12 3582
sT 表示TCP全连接扫描 -sS 表示TCP半开扫描,该选项扫描的最大好处是,扫描动作极少会被记录,更具有隐蔽性!-sP Ping扫描 快速发现网络,扫描网段 -Pn 非ping扫描,不执行主机发现,可以跳过防火墙 ( 常用) -sV 探测打开端口对应服务的版本信息 -O 操作系统检测 -iL [ ip地址列表文件 ] 扫描一个目标列表 -oX xml 将结果以xml格式输出 -n 不反向解析IP地址到域名 -sU UDP扫描。
如何识别网络应用层协议?
qq_42009262的博客
12-15 3151
本篇文章将重点介绍协议识别问题的几个基本概念 ,以及目前主要实现方式各自的优缺点及关键技术和当前具有代表性的实现项目。
IP头部协议字段表
weixin_33845477的博客
06-15 590
Registry: Decimal Keyword Protocol References ------- --------------- --------------------------------------- ------------------ 0 HOP...
工控自动化人必知的7种PLC通讯协议
首席技术总监的专栏
09-18 4449
Modbus、Profibus、Ethernet/IP、Profinet、CAN、DeviceNet和OPC是工业自动化领域的通信协议,各具特点。Modbus简单开放,Profibus高速可靠,Ethernet/IP和Profinet适用于大规模系统,CAN广用于汽车和工业,DeviceNet基于CAN技术,OPC实现设备间数据交换。
工控安全深度解析:RFC821-SMTP中文版
防火墙是企业网络安全架构中常见的防护措施之一。 ### 勒索软件 勒索软件是一种恶意软件,它通过加密用户的数据并要求支付赎金来解锁,以达到勒索目的。勒索软件攻击可以导致重要数据的丢失,严重影响企业的正常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值