OPC包深度解析及工业防火墙（上）

kkus123

已于 2022-02-14 11:26:47 修改

阅读量7.7k

点赞数 21

文章标签：网络 rpc 后端 c语言

于 2020-12-21 08:30:14 首次发布

本文链接：https://blog.youkuaiyun.com/kkus123/article/details/82373105

版权

上篇带大家分析了一下服务端的软件，现在更进一步，对OPC的包进行深度解析。OPC使用的RPC协议和其它的工控协议有所不同，如Modbus协议服务端的固定端口是502，RPC协议在真正建立数据连接之前通讯双方要协商使用的服务端口，即要有一个绑定的过程。基于RPC协议本身的定义，RPC建立连接时有一个固定的135号端口供客户端绑定专用，然后RPC从服务端的端口池（1024 ~ 65535）中选一个未使用的端口返回给客户端（如下图中的1118）。客户端以后用此端口作为后续真正请求使用的端口。注意该端口是动态暂时的，该会话结束若再请求的话会得到一个不同的端口。具体的RPC访问初始绑定建立的过程见下图。

注意这里的ISystemActivator接口，它是负责真正地请求和返回服务端口的连接，但也不是唯一能达到此目地的接口，后面会另外介绍另一个接口也可以返回动态端口。

Windows下的RPC是基于TCP协议的，它的丰富的PDU(Protocol Data Unit)有二十多种不同的类型，有的负责绑定（11-13），有的负责请求和响应（0，2）。也有的是维护连接的长期有效（1）。本文关心的主要是请求/应答和绑定类型。

使用自创的OPC三合一客户端程序（见该篇），在建立一个实例前设置断点，然后启动Wireshark，运行客户端完成一个读操作，获得相应的一系列捕获的包，见下，

这张图片给了我们什么信息？我们看到，这是一个请求(0)类型的PDU，它的协议栏标为ISystemActivator接口而不是DCERPC，该接口下被调用的函数是RemoteCreateInstance，操作代码(Opnum)是4。请求方的端口在某个时间点从135变成了53286，而这个时间点正是ISystemActivator协议应答后发生的，由此我们有理由相信这个应答带回了动态端口信息，需要仔细审视。也许有人会问在协议栏，为什么标为ISystemActivator，不像其它行一样标为DCERPC？这里涉及到COM和DCOM及DCERPC的区别。COM一般都定义在IDL文件中，需要注册才能被用户使用。DCOM一般是系统使用，它只定义了一些有限的接口，而这些接口有的并没有在注册表出现，因为不是供用户使用的，比如ISystemActivator，IRemoteActivation等等。DCOM接口如下，

由此可见，DCOM是一些特殊的DCERPC请求/应答PDU，是微软平台下专有的接口，因此在协议栏中使用接口名称而不是一般的DCERPC。那么ISystemActivator到底是什么？查看源码，

获得了ISystemActivator的uuid，000001A0-0000-0000-C000-000000000046，但是如果搜索注册表却找不到它的相关信息，因为它不是给用户使用的，用户也不应直接调用。根据uuid再查相关信息，

看来ISystemActivator改名了，现在叫IRemoteSCMActivator，进一步查下它，

我们没有微软的相应IDL来查看该接口，但从文档上可以看到IRemoteSCMActivator接口下共有五个函数，最后一个就是抓包中所展现的RemoteCreateInstance，它相应的Opnum值是4，也就是说它是该接口下的第五个函数。看到这里大家应该对Opnum有个概念了，其实它是用来表示接口下的函数顺序，告诉服务端我要调用某个接口下的第x个函数。

绕了一大圈，有了这些铺垫，现在专注于ISystemActivator的应答，