EEPW论坛

协议分析仪通过深度解析网络通信中的协议字段、时序和状态，能够精准识别多种异常行为，涵盖从配置错误到恶意攻击的广泛场景。以下是其可监测的核心异常行为类型及具体实例：

1. 字段格式错误

• Modbus TCP：请求报文中的“Unit ID”字段超出0x00-0xFF范围（如0x100），可能触发缓冲区溢出。

• CAN总线：数据帧的“DLC”（数据长度）字段为0x00但实际携带数据，违反ISO 11898标准。

• 实例：

• 风险：导致设备崩溃、数据解析错误或恶意代码执行。

2. 时序异常

• IEC 60870-5-104：主站连续发送“召唤命令”（C_IC_NA_1）间隔小于协议规定的1秒最小间隔，可能引发从站队列溢出。

• MQTT：客户端在未完成TCP握手时发送PUBLISH报文，违反MQTT over TCP的时序要求。

• 实例：

• 风险：造成通信阻塞、设备状态不一致或服务拒绝。

3. 状态机跳转异常

• TLS：客户端在未完成“Certificate Verify”步骤时直接发送“Finished”报文，跳过身份验证关键环节。

• S7Comm（西门子PLC协议）：在未建立“Setup Communication”连接时发送“Read”请求，违反协议状态机逻辑。

• 实例：

• 风险：绕过安全检查、未授权访问或协议栈崩溃。

1. 默认配置未修改

• BACnet：设备使用默认密码“admin/admin”，且未启用“Who-Is/I-Am”广播限制，允许任意主机扫描网络拓扑。

• OPC UA：服务器未配置证书吊销列表（CRL）检查，允许被吊销的客户端证书继续访问。

• 实例：

• 风险：攻击者可轻松获取设备控制权或敏感数据。

2. 弱加密或无加密

• Modbus TCP：未启用TLS加密，明文传输关键指令（如阀门开度设置）。

• DNP3：使用弱加密算法（如DES）或固定密钥（如“00000000”），易被破解。

• 实例：

• 风险：数据窃听、篡改或中间人攻击（MITM）。

3. 访问控制缺失

• PROFINET：未配置VLAN隔离或ACL规则，允许任意主机访问PLC的“Write”功能码。

• SNMP：社区字符串（Community String）设置为“public”，允许读取设备状态信息。

• 实例：

• 风险：横向移动攻击、设备配置被恶意修改。

1. 重放攻击（Replay Attack）

• IEC 61850：攻击者捕获合法的“GOOSE”报文（如断路器分闸指令）并重复发送，导致设备误动作。

• Modbus：重放“Write Single Register”（功能码0x06）报文，篡改传感器读数。

• 实例：

• 检测方法：协议分析仪可记录报文时间戳，识别短时间内重复出现的相同指令。

2. 注入攻击（Injection Attack）

• CAN总线：向总线注入伪造的“Engine Speed”报文（ID 0x0CF00400），干扰发动机控制。

• MQTT：向主题/sensor/temperature注入虚假数据（如“1000°C”），触发安全联锁。

• 实例：

• 检测方法：对比历史数据分布，识别异常值或非预期报文。

3. 拒绝服务攻击（DoS）

• S7Comm：发送大量非法“Job”请求（如功能码0x01未携带有效数据），耗尽PLC内存。

• DNP3：伪造“Unsolicited Response”报文洪泛主站，导致其处理队列溢出。

• 实例：

• 检测方法：统计单位时间内特定协议报文数量，识别突发流量峰值。

4. 协议混淆攻击（Protocol Obfuscation）

• Modbus TCP：在“Function Code”字段插入随机字节（如0x06 → 0x60），绕过基于特征码的IDS检测。

• TLS：使用非标准扩展字段（如extended_master_secret）隐藏恶意载荷。

• 实例：

• 检测方法：协议分析仪需支持深度解码，识别字段值与协议规范的偏差。

1. 隐蔽通道（Covert Channel）

• ICMP：利用“Payload”字段携带加密的C2指令（如Meterpreter会话数据）。

• DNS：通过DNS查询的子域名（如evil.example.com）传递控制命令。

• 实例：

• 检测方法：协议分析仪可解析非标准字段内容，结合威胁情报匹配已知隐蔽通道模式。

2. 隧道攻击（Tunneling Attack）

• HTTP：将Modbus TCP流量封装在HTTP POST请求中（如/api/upload?data=...），绕过工业防火墙规则。

• SSH：通过SSH隧道转发PROFINET流量，隐藏真实通信端口。

• 实例：

• 检测方法：协议分析仪需支持多层协议剥离，识别内层被隧道化的协议。

1. 硬件故障

• CAN总线：设备持续发送错误帧（如“Bit Stuffing Error”），可能因总线终端电阻损坏。

• Modbus RTU：从站未响应“Exception Response”（功能码0x80+原功能码），可能因串口芯片故障。

• 实例：

• 检测方法：协议分析仪可统计错误帧率或超时次数，触发硬件告警。

2. 固件漏洞利用

• S7-1200 PLC：利用CVE-2020-15782漏洞，通过S7Comm协议触发堆溢出，导致设备重启。

• Schneider Electric Modicon PLC：通过CVE-2021-22779漏洞读取内存数据，泄露加密密钥。

• 实例：

• 检测方法：协议分析仪需集成漏洞库，匹配报文特征与已知漏洞攻击模式。

1. 数据泄露

• OPC UA：未启用“Audit Log”功能，未记录用户访问敏感节点（如/Objects/DeviceSet/Alarm）的操作。

• DNP3：主站未加密存储从站上报的“Analog Input”数据，违反GDPR第32条要求。

• 实例：

• 检测方法：协议分析仪可解析报文内容，识别未加密的敏感字段（如信用卡号、位置数据）。

2. 审计日志缺失

• IEC 62351：变电站自动化系统未记录用户登录、配置修改等关键事件，违反NERC CIP标准。

• BACnet：设备未生成“Event Notification”日志，无法追溯空调温度异常修改记录。

• 实例：

• 检测方法：协议分析仪可模拟审计日志查询，验证设备是否按规范生成日志。

• 工业协议：优先选择支持Modbus TCP/RTU、PROFINET、S7Comm、IEC 60870-5-104等协议的专业工具（如ProfiTrace、PLC Analyzer）。

• 通用协议：Wireshark（开源）+定制插件可覆盖HTTP、TLS、MQTT等协议，但需手动配置解码规则。

• 高性能场景：Spirent TestCenter或Ixia BreakingPoint支持线速捕获和模糊测试，适合大规模网络审计。

通过协议分析仪的深度监测，企业可实现从“被动防御”到“主动狩猎”的转变，提前发现并阻断潜在威胁，同时满足等保2.0、IEC 62443等合规要求。