物联网与工控协议流量分析技术指南<\/h1>

一、流量分析基础工具与技巧<\/h2>

1.1 Wireshark使用技巧<\/h3>

过滤规则<\/h4>

基本过滤<\/strong>：针对工控流量中非TCP协议的混乱情况，可对大量出现的正常数据流进行过滤，追踪剩余数据的ID<\/li>
正则匹配<\/strong>：将匹配内容拖到窗口自动生成匹配规则<\/li>

数据导出<\/strong>：可提取大量数据包进行导出分析<\/li> <\/ul>
追踪流功能<\/h4>

右键点击感兴趣的数据包，选择"追踪流"（主要针对TCP协议）<\/li>
工控协议中使用较少<\/li> <\/ul>
1.2 Tshark使用<\/h3>
主要用于提取大量二进制数据<\/p>
常用指令模板<\/strong>：<\/p>
# 去除重复行<\/span> <\/span><\/span>tshark -r 1.pcapng -Y "dns"<\/span> -T fields -e dns.qry.name | uniq > data.txt <\/span><\/span><\/code><\/pre>1.3 关键词搜索方法<\/h3> Flag检索<\/strong>：常见转换包括Base64、16进制<\/li> Strings检索<\/strong>：strings | grep flag{<\/code><\/li> Wireshark检索<\/strong>：直接搜索协议或关键词<\/li> 协议检索<\/strong>：根据题目提示直接检索对应协议<\/li> <\/ul> 二、工控协议详解<\/h2> 2.1 Modbus协议<\/h3> 协议类型<\/h4> Modbus\/RTU<\/strong><\/p> 格式：从机地址1B + 功能码1B + 数据字段xB + CRC值2B<\/li> 最大长度：256B<\/li> <\/ul> <\/li> Modbus\/ASCII<\/strong><\/p> 使用ASCII字符表示数据<\/li> 格式：开始标记(0x3A) + 从机地址1B + 功能码2B + 数据字段(最大252B) + LRC校验值2B + 结束标记(\r\n)<\/li> <\/ul> <\/li> Modbus\/TCP<\/strong><\/p> 不使用从机地址，使用UnitID<\/li> 格式：传输标识符2B + 协议标识符2B + 长度2B + 从机ID 1B + 功能码1B + 数据字段xB<\/li> <\/ul> <\/li> <\/ol> 功能码汇总<\/h4> 功能码<\/th> 描述<\/th> 请求数据字段<\/th> 响应数据字段<\/th> <\/tr> <\/thead> 01<\/td> 读线圈状态<\/td> 起始地址(2B) 读取数量(2B)<\/td> 字节计数(1B) 线圈状态(NB)<\/td> <\/tr> 02<\/td> 读离散输入<\/td> 起始地址(2B) 读取数量(2B)<\/td> 字节计数(1B) 输入状态(NB)<\/td> <\/tr> 03<\/td> 读保持寄存器<\/td> 起始地址(2B) 读取数量(2B)<\/td> 字节计数(1B) 数据(NB)<\/td> <\/tr> 04<\/td> 读输入寄存器<\/td> 起始地址(2B) 读取数量(2B)<\/td> 字节计数(1B) 数据(NB)<\/td> <\/tr> 05<\/td> 写单个线圈<\/td> 地址(2B) 状态(2B)<\/td> 地址(2B) 状态(2B)<\/td> <\/tr> 06<\/td> 写单个保持寄存器<\/td> 地址(2B) 值(2B)<\/td> 地址(2B) 值(2B)<\/td> <\/tr> 15<\/td> 写多个线圈<\/td> 起始地址(2B) 写入数量(2B) 字节计数(1B) 线圈状态(NB)<\/td> 起始地址(2B) 写入数量(2B)<\/td> <\/tr> 16<\/td> 写多个保持寄存器<\/td> 起始地址(2B) 写入数量(2B) 字节计数(1B) 数据(NB)<\/td> 起始地址(2B) 写入数量(2B)<\/td> <\/tr> <\/tbody> <\/table> CRC校验<\/h4> 算法<\/strong>：使用CRC-16-CCITT多项式(0x8005)<\/li> 计算流程<\/strong>：初始化CRC寄存器为0xFFFF<\/li> 逐字节处理数据<\/li> 对每个字节进行异或和移位操作<\/li> 最终CRC值附加在数据帧末尾<\/li> <\/ol> <\/li> <\/ul> 2.2 S7comm协议<\/h3> 协议栈结构<\/h4> OSI层<\/th> 协议<\/th> <\/tr> <\/thead> 应用层<\/td> S7 communication<\/td> <\/tr> 表示层<\/td> S7 communication(COTP)<\/td> <\/tr> 会话层<\/td> S7 communication(TPKT)<\/td> <\/tr> 传输层<\/td> ISO-on-TCP (RFC 1006)<\/td> <\/tr> 网络层<\/td> IP<\/td> <\/tr> 数据链路层<\/td> Ethernet<\/td> <\/tr> 物理层<\/td> Ethernet<\/td> <\/tr> <\/tbody> <\/table> 主要功能码<\/h4> 0xF0<\/strong>：建立通信<\/li> 0x04<\/strong>：读取值<\/li> 0x05<\/strong>：写入值<\/li> 0x1A<\/strong>：请求下载<\/li> 0x1B<\/strong>：下载块<\/li> 0x1C<\/strong>：下载结束<\/li> 0x1D<\/strong>：开始上传<\/li> 0x1E<\/strong>：上传<\/li> 0x1F<\/strong>：上传结束<\/li> 0x28<\/strong>：程序调用服务<\/li> 0x29<\/strong>：PLC停止<\/li> <\/ul> 数据包结构<\/h4> Header<\/strong>：<\/p> 协议ID(0x32)<\/li> PDU类型<\/li> 参数长度<\/li> 数据长度<\/li> 错误类和错误代码<\/li> <\/ul> <\/li> Job & Ack_Data<\/strong>：<\/p> 第一个字段是function(1字节无符号整数)<\/li> 不同function对应不同数据结构<\/li> <\/ul> <\/li> <\/ul> 2.3 IEC104协议<\/h3> 基本概述<\/h4> 电力自动化系统常用通信协议<\/li> 基于TCP\/IP<\/li> 用于监视和控制电力系统设备<\/li> <\/ul> 传输模式<\/h4> 平衡传输模式<\/strong>：<\/p> 每个client和server都可启动消息传输<\/li> 支持的服务类型： SEND\/CONFIRM：发送消息并要求确认<\/li> SEND\/NO REPLY：广播消息，不等待回复<\/li> <\/ul> <\/li> <\/ul> <\/li> 非平衡传输模式<\/strong>：<\/p> 只有控制站(client)能启动消息传输<\/li> 受控站(server)只能响应请求<\/li> <\/ul> <\/li> <\/ol> 协议帧结构<\/h4> APDU<\/strong>：应用协议数据单元 APCI<\/strong>：应用控制帧型 I-FORMAT：包含ASDU，携带应用层数据<\/li> S-FORMAT：只有APCI，用于确认接收<\/li> U-FORMAT：用于控制功能(测试帧、传输停止\/开启)<\/li> <\/ul> <\/li> ASDU<\/strong>：应用服务数据单元数据单元识别符(固定6B)<\/li> 数据段(一个或多个信息对象)<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ul> 常见类型标识<\/h4> 监视方向信息<\/strong>：<\/p> 1：单点信息<\/li> 3：双点信息<\/li> 5：步位量信息<\/li> 7：32比特串<\/li> 9：归一化测量值<\/li> <\/ul> <\/li> 控制方向信息<\/strong>：<\/p> 45：单命令<\/li> 46：双命令<\/li> 47：步调节命令<\/li> 48：设点命令(归一化值)<\/li> <\/ul> <\/li> <\/ul> 2.4 MMS协议<\/h3> 基本概述<\/h4> 制造报文规范(Manufacturing Message Specification)<\/li> 用于IEC61850标准站控层和间隔层之间的通信<\/li> 通过面向对象建模实现设备互操作<\/li> <\/ul> 协议分类<\/h4> Initiate-RequestPDU<\/strong>：启动请求<\/li> Confirmed-RequestPDU<\/strong>：确认请求<\/li> Initiate-ResponsePDU<\/strong>：启动应答<\/li> Confirmed-ResponsePDU<\/strong>：确认应答<\/li> <\/ol> COTP协议<\/h4> 连接包<\/strong>：用于S7Comm握手<\/li> 功能包<\/strong>：用于数据传输，结构更简洁<\/li> <\/ul> 三、实战案例分析<\/h2> 3.1 Modbus流量分析案例<\/h3> 案例1：异常数据查找<\/h4> 筛选Modbus协议<\/li> 分析各功能码流量数量，找出最少的功能码(如16)<\/li> 在对应功能码中查找flag<\/li> <\/ol> 案例2：转速写入分析<\/h4> 筛选写操作(modbus.func_code==6<\/code>)<\/li> 查找转速超过2000(16进制0x7D0)的数据<\/li> 分析异常写入数据包<\/li> <\/ol> 3.2 S7comm流量分析案例<\/h3> 案例1：二进制数据提取<\/h4> 过滤有响应数据的流量((s7comm)&&(s7comm.resp.data)<\/code>)<\/li> 提取二进制数据并分组<\/li> 使用工具解密提取的数据<\/li> <\/ol> 案例2：异常写入查找<\/h4> 筛选写入操作((s7comm) && (s7comm.param.func == 0x05)<\/code>)<\/li> 筛选JOB包(s7comm.header.rosctr == 1<\/code>)<\/li> 排除正常数据(!(s7comm.resp.data == 66)<\/code>)<\/li> 提取异常数据<\/li> <\/ol> 3.3 IEC104流量分析案例<\/h3> 案例1：破损数据处理<\/h4> 筛选协议(iec60870_asdu<\/code>)<\/li> 过滤同一TCP流(tcp.stream == 0<\/code>)<\/li> 筛选标准化值(iec60870_asdu.normval<\/code>)<\/li> 排除常见类型ID(iec60870_asdu.typeid != 34 && iec60870_asdu.typeid != 9<\/code>)<\/li> <\/ol> 案例2：Flag直接检索<\/h4> 直接筛选iec60870_104协议<\/li> 向下检索flag关键词<\/li> <\/ol> 3.4 MMS流量分析案例<\/h3> 案例1：异常ID查找<\/h4> 过滤domainID和itemID<\/li> 排除常见前缀(!(mms.itemId contains "LLN0")<\/code>)<\/li> 分析偏移字符提取flag<\/li> <\/ol> 案例2：文件操作分析<\/h4> 查找文件打开操作(mms.confirmedServiceRequest == 72<\/code>)<\/li> 过滤特定文件名(mms.FileName_item == "flag.txt"<\/code>)<\/li> 跟踪文件读取操作(mms.fileRead<\/code>)<\/li> <\/ol> 3.5 GOOSE流量分析案例<\/h3> 案例1：异常长度分析<\/h4> 筛选GOOSE协议<\/li> 分析不同长度数据包(如205和206)<\/li> 提取Base编码数据解密<\/li> <\/ol> 案例2：异常数据查找<\/h4> 筛选GOOSE协议<\/li> 过滤特定appid(goose.appid==8<\/code>)<\/li> 查找异常Data值(如"VBfMWV")<\/li> 提取并解密字符串<\/li> <\/ol> 四、总结与最佳实践<\/h2> 4.1 分析流程建议<\/h3> 协议识别<\/strong>：首先确定使用的工控协议类型<\/li> 功能码分析<\/strong>：了解协议的功能码含义和用途<\/li> 异常过滤<\/strong>：通过排除法过滤大量正常数据<\/li> 数据提取<\/strong>：使用tshark等工具提取关键数据<\/li> 解密分析<\/strong>：对提取的数据进行解码和转换<\/li> <\/ol> 4.2 常见Flag隐藏方式<\/h3> 直接明文<\/strong>：在协议字段中直接显示<\/li> Base编码<\/strong>：Base64、Base32等编码<\/li> 二进制数据<\/strong>：需要提取后解码<\/li> 异常参数值<\/strong>：在正常数据流中的异常值<\/li> 文件操作<\/strong>：通过文件读写操作传输flag<\/li> <\/ol> 4.3 工具推荐<\/h3> Wireshark<\/strong>：基础流量分析<\/li> Tshark<\/strong>：批量数据提取<\/li> CyberChef<\/strong>：数据解码和转换<\/li> Python脚本<\/strong>：自定义数据处理<\/li> Hex编辑器<\/strong>：二进制数据分析<\/li> <\/ol> 通过掌握这些协议特性和分析方法，可以有效识别和提取工控流量中的关键信息，解决各类工控安全挑战。<\/p>