外文翻译范例3.docx

1、外文翻译范例3Modbus协议的攻击分类Peter Huitsing, Rodrigo Chandia, Mauricio Papa, SujeetShenoiDepartment of Computer Science, University of Tulsa, 800 S. Tucker Drive, Tulsa, OK 74104, USA班级：通信0903 姓名：熊明明 学号：200943151摘要：Modbus协议及其扩展被广泛应用于工业控制，尤其是在石油和天然气行业的流水线作业中。本文介绍了在Modbus串行和Modbus TCP协议上的主要攻击方式和相应的攻击分类。根据这些攻击的

2、威胁类别、目标以及对控制系统的影响进行了总结。这些攻击的分类通过阐明了在Modbus控制系统和网络上安全威胁的性质和范围，促进了正式的风险分析工作。此外，这些理论的提出在策略缓解和执行这些策略的相对成本和效益的控制上有了突破。1 引言Modbus协议定义了过程控制系统的交互控制和数据采集的消息结构和通信规则，以实现对流程工业的操作和控制。Modbus协议的开发性和其在TCP范畴的扩展为它的普及做出了贡献，尤其是在石油和天然气行业，它是主要的管道操作协议。Modbus协议有两个主要的扩展，Modbus协议和Modbus TCP协议。在Modbus串行协议中，Modbus串行协议的消息在主设备和从

3、设备之间通过串行线，并使用ASCII或RTU传输模式进行传输。较新的Modbus TCP协议提供了连接在Modbus网络（主设备与站），以及IP连接的Modbus网络（多主机，与可能有的站进行通信）的通信方式。TCP的扩展，使一个主机允许有多个未完成的连接，允许从站设备同时与多个主机进行通信。在Modbus系统和网络上的攻击可以产生的影响主要是从现场设备（传感器和执行器）的零星中断，到大规模的停电，甚至主设备失去控制。第一类是利用Modbus协议规则攻击，第二类是利用实现了Modbus协议的供应商，第三类的攻击的目标是所支持的基础设施，其中包括信息技术设备，网络设备和电信资产。本文认为，这里所

4、有利用Modbus实现的常见攻击都是符合协议规范的，分析重点研究了Modbus串行和Modbus TCP协议，并提出相应的攻击分类。主要目标包括主、现场设备、串行通信链路（Modbus串行）或网络通信路径（Modbus TCP），主要的四种威胁包含侦听、干扰、修改和伪造。攻击条件包括提供一个Modbus协议的侦听和/或数据的注入。攻击的途径包括主、现场设备、串行通信链路或网络的通信路径。通过对Modbus综合分析已确定了20种串行协议攻击和28种TCP协议的攻击。这些攻击可以被分别用于59种不同方式的串行协议攻击和113种不同方式的TCP协议攻击。由于篇幅的关系，不可能详细讨论所有攻击的，但是

5、，对具有代表性的攻击进行了讨论和相应的分类。这次攻击的分类，洞察了安全威胁的性质和范围以及为保护Modbus系统和网络提供了策略。2 Modbus协议Modbus协议最初是在1979年制定的，是一个最古老的，但使用最广泛的工业控制协议。Modbus是在控制中心和现场设备之间从事简单的请求/应答的通信机制。例如，一个控制中心（主单元）可能会发出一种可读写的消息到传感器（从属设备）以获得的处理参数的值（例如，压力）。或者，它可能发送一个“写”的消息到促动器（从设备），执行控制操作（例如，打开一个阀门）。一个主设备和一个拥有地址的从设备的单播通信涉及到两个消息，一个请求消息（例如，测量压力或打开一个

6、阀）和相应的响应消息（例如，压力测量，确认阀门被打开，或出现错误消息，指示的操作不能执行）。广播通信涉及到的是主设备将消息发送到所有的从设备，从设备不发送响应消息。一个简单的例子就是一个可写的消息通过串行线路重置所有传感器和执行器。最近，各行业多使用TCP/IP作为传输机制，以下各节描述了Modbus串行和TCP更详细的协议。图1 Modbus串行结构2.1 Modbus串行协议Modbus串行协议的消息在主设备和从设备之间通过串行线，并使用ASCII或RTU传输模式进行传输（图1）。消息拥有三个字段：1、从设备的地址值；2、Modbus应用协议数据单元（PDU）；3、错误检查字段。从设备地址

7、在请求消息中标识接受者，在回应消息中的回应地址值中标识回应的从设备，单播消息的地址值在1,247之间来辨别某个从设备，广播消息使用从站地址为0，而248,255之间属于保留的地址值。Modbus PDU两个字段，包含一个字节的功能码和功能参数（最大252个字节）。功能码段在请求消息中指定主设备的操作要求，相应回复字段中的响应消息被用来传送状态信息到主站（例如，当异常发生时的错误信息在从设备中）。功能参数字段包含关于功能调用的数据（请求消息）或功能的结果（响应消息）。Modbus功能码指定从设备的读写操作、诊断功能和错误条件。Modbus有三种类型的功能码：公共码，用户自定义的码和保留码。公共码

8、对应的功能，其语义在Modbus标准中有明确规定。有效的公共码在非连续范围：1，64，73，99和111，127之中。用户自定义的代码，在65，72和100，110的范围中而且没有相应的Modbus标准可参考，它们的实现都留给供应商。保留的功能码是公开的代码，可供使用，以确保与旧系统的兼容性。在未使用的范围128，255的功能码能够指出在回应消息中的错误条件。响应消息具有相同的结构。Modbus规范定义了正面的和负面的回应请求消息。正面的回应通知主站设备，从站已成功地进行所请求的操作，在这种情况下，功能码的请求消息包含在响应消息中。负面的回应通知主设备，寻址的从设备无法进行通信。负面响应的功能

9、代码的计算方法是通过添加128到该请求消息之中。因此，功能代码在128，255范围内表示错误条件。负面的响应，还包括一个异常代码作为函数参数，它提供信息错误的原因。Modbus规范定义9个异常响应，其格式和内容完全取决于发行实体的事件的类型。图2 Modbus TCP结构2.2 Modbus TCP协议Modbus TCP协议可以在局域Modbus网络（一个主设备和它的从设备）中通信，也可以在IP连接的Modbus网络（多主设备，每一个与多个从站）之中通信。Modbus TCP协议扩展使主设备可以有多个未完成的通信，从设备可以同时与多个主机进行通信。图2显示了多个从设备通过主IP网络连接起来的

10、方式。请注意，主站也可以被连接到控制中心，如数据库和历史记录。Modbus从站侦听传入的TCP连接端口502（IANA分配的端口）或者是任选额外的端口。在Modbus TCP通信中，从设备被指定为服务器，因为它是基于Modbus主站执行的操作，Modbus主设备，在TCP上执行主动的打开操作，一旦TCP建立通信信道，Modbus角色将不能在该通道上改变，但是，多个未完成的通信可能还存在该通道上。一种新的通信通道必须打开，以允许Modbus设备承担不同的角色。Modbus TCP的事务处理与串行设备交换PDU类似，区别在于它将事务封装到TCP消息中。因此，一个Modbus TCP PDU包括Mo

11、dbus应用协议（MBAP），MBAP头有四个段：(1)交易识别码，(2)协议标识符，(3)长度，(4)单元标识（图2）。事务标识符允许设备对匹配请求和回复进行响应。协议标识符表示应用程序协议MBAP头的封装。长度字段指示的是剩余域的字节长度（单元标识符和PDU）。单元标识符指示的是通信相关联的从站。由于应用程序的PDU的最大大小为253字节，MBAP的固定长度为七个字节，因而一个Modbus TCP数据单元的最大大小是260个字节。3 攻击识别方法在一般情况下，现场总线系统和网络的攻击，可以分为三类：第一类是利用Modbus协议规则攻击，第二类是利用实现了Modbus协议的供应商，第三类是利

12、用所支持的基础设施攻击，其中包括信息技术设备，网络设备和电信资产。本文认为，所有的攻击都符合Modbus系统协议规范。注意，一些控制系统供应商可能无法实现某些Modbus功能码或子功能代码（尤其是诊断码）中列出的Modbus规格。显然，攻击利用这些未使用的代码是行不通的，因而攻击识别方法涉及到每个协议的全面的分析。4个威胁类别分别为侦听、干扰、修改和伪造。在Modbus串行协议下，主要目标是主设备，现场设备，串行通信链路和消息。相应的Modbus TCP的目标是主设备，现场设备，网络通信路径和消息。攻击理论基础上的可行性在于实现Modbus协议的监听和数据的注入，修改和制作任意Modbus报文

13、和消息序列。攻击主要的入口点包括主设备、现场设备和串行通信链路。攻击的发生，是通过检查被攻击目标的各种表现来实现的。例如，直接从设备控制，攻击涉及到锁住主设备，控制一个或多个现场设备，可以用来中断或改变一个现场设备，也可以伪造一个主设备。攻击根据实例可将攻击分类为Modbus串行协议和TCP协议。该行的数据表中列出的威胁类别（侦听、中断、修改和伪造）。影响每次攻击的目标，实例评价的结果总结在表3和表4中。攻击的结果包括访问消息或现场设备数据，拒绝服务到主单元，现场设备或通信链路或网络路径，提供错误数据到主单元，现场设备或信息链路，捕获主单元和现场设备的控制。表1 Modbus 串行攻击（有下滑

14、线的为Digital Bond 攻击）20中不同的攻击（59种实例）主设备现场设备通信链路消息侦听s5-1 b6-1 b7-1b8-1 b9-1 b12-1b14-1b6-2 b9-2b12-2 b14-2b14-3干扰b2-1 b10-1b14-1s2-1 s3-1 s4-1b1-1 b2-1 b4-1b5-1 b10-2 b11-1b14-5 b15-1b14-6b2-3 b11-2b14-7修改b2-4 b3-1 b10-3b11-3 b13-1b14-8 b15-2s1-1 s2-2 s3-2 s4-2 s1-2 s2-5s3-2 s4-2 s5-2s10-4 s11-4s13-2 s

15、14-9 s15-3b14-10b14-11伪造b4-3 b14-12b2-6 b14-13b14-14b14-154 Modbus协议的攻击本节讨论的是Modbus串行和Modbus TCP协议的攻击。为了简化演示文稿，将攻击分为三组：（一）基于Modbus串行协议的攻击，（二）基于常见的Modbus串行和Modbus协议的攻击，（三）基于Modbus TCP协议的攻击。表1和表2是目前的攻击分类，即标准Modbus串行和TCP协议。Modbus串行攻击指定的Sx-y，其中x标识的是攻击而y表示的攻击实例。攻击常见的Modbus串行和TCP协议和攻击独特的Modbus TCP协议被指定为Bx

16、-y和Tx-y。分析已经确定了20个不同的Modbus串行攻击和59的攻击实例。 Modbus TCP是一个更复杂的协议，因此，攻击的数量和攻击实例较高，分别是28和113。表2 Modbus TCP攻击（有下滑线的为Digital Bond 攻击）28中不同的攻击（113种实例）主设备现场设备网络路径消息侦听t2-1 t4-1 b6-1b7-1 b8-1 b9-1b12-1 b14-1t2-2 b6-2 b9-2b12-2 b14-2T2-3 t4-2 b14-3干扰t1-1 t2-2 t3-1t4-3 t5-1 t6-1t7-1 t8-1 t9-1t10-1 t11-1t12-1t13-1

17、 b2-1 b10-1b14-4t1-2 t2-5 t3-2t4-4 t5-2 t6-2t7-2 t8-2 t9-2t10-2 t11-2 t12-2 t13-2 b1-1b2-2 b4-1 b5-1b10-2 b11-1 b14-5 b15-1t2-6 t4-5 t8-3t9-3 t10-3t11-3 b14-6t2-7 t4-6 t7-3 t8-4 t9-4 t10-4t11-4 t12-3t13-3 b2-3b11-2 b14-7修改t3-3 b2-4 b3-1b10-3 b11-3b11-3 b13-1b14-8 b15-2t1-3 t2-8 t3-4 t4-7 b2-5 b3-2 b

18、4-2 b5-2 b10-4 b11-4 b13-2 b14-9 b15-3t2-9 t4-8b14-10t2-10 b14-11伪造t1-4 t2-11b4-2 b14-12t2-12 b2-6b14-13t2-13 t4-9b14-14t1-5 t2-14b14-154.1 Modbus串行协议的攻击五种不同的攻击确定了Modbus串行协议。所有的五种攻击需要实现Modbus协议的侦听和一个消息发生器，连接到主设备或串行通信链路。它们涉及到发送一个具有特殊功能码值或子码值Modbus消息。Modbus串行攻击以各种方式影响控制系统资产。对保密性的攻击涉及阅读Modbus消息或获取从设备配置

19、数据。攻击的完整性包括插入错误的数据或重新配置设备。攻击的结果是从设备失去关键的功能（例如，能够读取Modbus消息），或者是重新启动，或者是崩溃。例如，诊断寄存器复位（S1）：这种攻击将发出含有功能码08和子码0A的消息来清除在地址段域内所有设备的计数器和诊断寄存器。攻击将改变设备的配置和影响诊断操作，但不影响控制和通信功能。远程重启（S4）：这种攻击将发出功能码08和子码01的消息来使现场设备重启和电源开启测试，解决现场设备不可操作时要求重启多次。4.2 Modbus串行和TCP协议的攻击总共15种攻击（B1至B15）同时利用到了Modbus串行协议和Modbus TCP协议。这些攻击需要

20、实现Modbus协议的侦听和消息的注入，随着进入主设备的访问或串行通信链路（Modbus串行），网络通信路径或现场设备（Modbus TCP）。对保密性的攻击，包括阅读Modbus消息，获得相关的网络信息，或获得从属设备的配置和其他数据。对完整性的攻击涉及插入，修改错误数据的Modbus消息或网络交通通信路径，提供破坏主设备或重新配置从站设备的数据。这些也可能是受欺骗的主单元，现场设备，网络路径或消息。攻击的可用性结果是主站或从站设备服务的停止，从设备可能会失去重要的功能，重新启动或崩溃。它也是Modbus消息可以阻止和关闭通信链路或网络路径的原因。最严重的攻击事件是那些获取现场设备控制权和禁

21、用旁路的主单元。4.3 Modbus TCP协议的攻击TCP攻击（如T1至T13）是唯一发生在Modbus TCP中的。这些攻击需要实现Modbus协议的侦听，一起进入主设备，网络路径或现场设备。对保密性的攻击涉及读取现场设备的数据，网络交通或消息。可靠的攻击涉及将错误的数据放入Modbus消息中或网络交通中，将主或现场设备的重新配置。它也是可能是欺骗主或现场设备的错误消息。攻击的可用性是破坏TCP/IP网络连接，或导致主或现场设备失去重要的功能，重启或死机。最严重的袭击事件可能夺取主站或现场设备控制权。表3 Modbus 串行攻击在目标资产上的影响20种不同的攻击（59种实例）主设备现场设备

22、通信链路消息侦听7获得现场设备数据4获得通信链路数据1 读取消息干扰3 Dos主设备11 Dos现场设备1 Dos通信链路3 块消息修改7 主设备错误数据11 现场设备错误数据3 控制现场设备1 链路阻塞1 错误消息伪造2 控制过程2 伪造现场设备1 伪造通信链路1 伪造消息5 攻击的影响表3总结了影响网络通讯协议二十种连环攻击(59攻击实例)。共有十二种攻击实例影响保密性使攻击者能够获取现场设备的信息，4个影响通信链接。令人担忧的是18个攻击实例有中断主单元(3实例)、控制现场设备(11)、影响链接操作(1)和消息传递(3)。同样严重的是另外23种攻击实例，修改运用Modbus协议的资产，改

23、变主设备接收的数据，11个结果是导致现场设备获得坏数据，一个影响通信链接和信息。另外三个修改攻击实例结果导致现场设备控制不当。六个攻击目标是Modbus串行链路。每个都影响到主设备，两个现场设备和一个影响通信链接和信息。两个最严重的攻击实例是他们锁定主单元和从属设备的控制权。表4 Modbus TCP攻击在目标资产上的影响28种不同的攻击（113种实例）主设备现场设备网络路径消息侦听8获得现场设备数据5获得网络路径数据3 读取消息干扰16 Dos主设备21 Dos现场设备7 Dos网络路径12 块消息修改8 主设备错误数据12 现场设备错误数据3 控制现场设备3 网络阻塞2 错误消息伪造4 控

24、制过程3 伪造现场设备3 伪造网络路径3 伪造消息表5 攻击对控制目标的影响串行攻击TCP攻击共有的攻击失去保密性12（7）16（8）11（6）失去意思27（13）67（23）24（10）失去控制20（14）30（23）16（10）表5指出失去保密性攻击时，会发生显示现场设备，网络拓扑结构或有关的信息消息。失去意识时，会发生运营商无法获得准确和及时的相关信息，这个过程是由于拒绝主服务或数据修改。该行列出了攻击实例和攻击过程，中断字段设备，网络连接或消息，以及那些，修改主或涉及制造领域设备。最糟糕的一类，失去控制，发生在攻击者欺骗的主站和获取控制权过程中，该行为包括攻击实例和攻击过程，修改现场设

25、备，网络路径或消息。产生的结果将会影响运行之中的主设备、网络、路径或消息。6 结论本文详细分析了基于Modbus串行和Modbus TCP协议方面的威胁。协议的分析是彻底的，但肯定是不全面的。事实上，很多攻击尚未被总结出来。然而，攻击的数量和攻击实例，发现比预期的要高得多。更令人惊讶的是大比例的攻击影响，特别是那些涉及到中断的过程，希望这些工作可以激发各界发现更多的Modbus和其他SCADA协议的攻击特征。研究结果将有助于弄清关键基础设施资产所面临的威胁的性质和范围。此外，也将支持正式的风险分析和风险缓解策略以及设计和部署下一代更为安全的，可靠的和有弹性的SCADA协议。参考文献1 S. B

26、oyer, SCADA: Supervisory Control and Data Acquisition, Instrumentation, Systems and Automation Society, Research Triangle Park, North Carolina, 2004.2 DigitalBond. .3DigitalBond, Modbus TCP IDS signatures. 4 Modbus IDA, MODBUS Application Protocol Specification v1.1a, North Grafton, Massachusetts. w

27、ww.modbus.org/specs.php, 2004.5 Modbus IDA, MODBUS Messaging on TCP/IP Implementation Guide v1.0a, North Grafton, Massachusetts. www.modbus.org/specs.php, 2004.6 Modbus.org, MODBUS over Serial Line Specification and Implementation Guide v1.0, North Grafton, Massachusetts.www.modbus.org/specs.php, 2002.7 C. Pfleeger, S. Lawrence Pfleeger, Security in Computing, Prentice Hall, Upper Saddle River, New Jersey, 2007.8 Snort.org, Snort - The de facto standard for intrusion detection and prevention.www.snort.org.