- 1C++:[STL]浅谈Allocator以及详解STL之sequence container的操作及使用(vector)_allocatortype
- 2NLP学习笔记二 - onehot编码和一般的数值编码_nlp onehot csdn
- 3deepin系统docker学习1:命令总结_deepin删除docker
- 4Postgresql数据库安全性配置-密码_postgres数据库安全策略设置
- 5html2canvas使用之填坑记_html2canvas option
- 6机器学习笔记二——模型评估与选择1——评估方法_模型与估计方法有哪些
- 79.5k star,一款高颜值、现代化的 Git 可视化管理工具
- 8ROS功能包|mav_control_rw(基于MPC的无人机轨迹跟踪控制)---支持平台与topic汇总_航迹跟踪控制 开源飞控
- 9eclipse配置c语言环境变量,Eclipse环境安装C/C++插件
- 10数据库技术基础 7.3 关系代数
西门子S7系列中间人攻击:防御和流量异常检测(三)_工控流量 cotp_工控安全事件 中间人攻击
赞
踩
先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
正文
正常情况下在企业PLC网络区会做禁止外联的操作,突然出现一个新的IP,也就代表有新的设备接入,这也是憨憨入侵者做的事。一般只需通过简单的ARP协议进行探测,物理地址广播,如果对照平时积攒的MAC地址表不一样,将会及时告警处理。理想的网络安全信任关系应建立在IP+MAC基础上。
我们也可以用到ICMP协议,来确认IP包是否成功到达目标地址以及通知我们在发送过程中IP包被丢弃的原因。检测设备A为了知道新的设备B的MAC地址而通过路由器发送ARP包,经过多次发送ARP请求包后,由于始终无法到达设备B,路由器返回一个ICMP Destination Unreachable给A。也可以尝试通过简单网络管理协议(SNMP)的GET命令从设备读取数据,例如操作系统和网络协议状态等。
当然也可以使用我之前介绍的ICS/SCADA态势感知开源工具GRASSMARLIN来进行实时的数据捕获,绘制网络拓扑图,查看是否有新增设备。
其输出的Details信息也很好展示了GRASSMARLIN所获取的信息,例如下图,是否是PLC,使用的通讯协议以及可能的操作系统版本等,可以大大方便我们的检测。
也可以打印所有在通信的IP,不管是Src或者Dst,这样更方便明了可以看出是否存在陌生的IP设备。
另外的话也可以使用CSET或者Splonebox专注于工业控制系统的网络评估工具,对其网络及其设备进行持续的分析,因这些工具功能较多,后续单独开一期讲。链接奉上:https://github.com/cisagov/cset
二、两个IP之间无通信,突然之间互通信
第二点我们需要关注下从无通信的设备突然之间有了通信,是不是有人在做坏事。这个简单,我们将抓取的流量包用wireshark分析一下就好,例如下图设置ip.src==231,ip.dst=163看那一下他们之间是否有通信就好。
三、两个IP之间有通信,突然之间有S7通信
其实可以理解为两台设备之间突然有COTP、S7comm、S7comm-plus协议的通信,而我们需要做的就是检测这些通信协议。除了用wireshark、Xplico和Tcptrace等软件直接进行分析外,我们也可以用Pcap-Analyzer可视化工具,也可以自己开发工具进行检测,总之方法很多。链接奉上:https://github.com/HatBoy/Pcap-Analyzer
四、协议包长度检测
这个我为什么要单独拎出来讲呢,因为很多特殊的包长度是固定的,例如第二篇讲的S7-300提交密码的数据包长度为91,接下来就是要进行读写操作了,S7-1200进行停启操作携带Session id的数据包也是固定155,我们用python里的scapy模块从pcap包里面提取五元组信息进行检测分析就行。
五、功能码检测 Function Code
所谓的行为异常,就是正常情况下哪有那么多频繁的停启操作对不对!还有比较生僻的功能码,例如修改安全功能、时间功能和数控编程等都需注意,可能有些特殊的情况用的比较多,但是根据自己ICS实际情况该检测的还得检测。说句中肯的,即使PLC在生产过程中关闭,很多工程师首先想到的也会是机械故障,而不是外部攻击!
六、攻击类型检测
这里拓展一下,其实流量异常类型也有好多种:
1、中间人攻击:通过拦截HMI 与PLC 之间正常工作时的网络通信数据,并对数据进行篡改和嗅探,可以同时达到欺骗HMI 与PLC 的目的。
2、Snap7 攻击:工业控制场景中往往缺乏PLC 对于HMI 设备的检测认证机制,因此可以通过在局域网内的另一台主机上安装S7 协议的编程软件,对PLC 进行编程操作。
3、响应注入攻击:HMI 组态软件除了对系统进行数据收集的功能外,也会同时对PLC 返回的各项参数如发电机转速值进行监测,如果转速超过一定阈值,HMI软件就会对操作人员进行告警,通过捕获PLC 发往HMI 的响应数据包,并修改数据包中的关键内容,可以掩盖PLC 的异常运行信息。
4、序列攻击:通过修改数据包的传送次序,来达到篡改工业控制系统运行逻辑的目的,因为数据包是网络中出现的正常数据包,对单一数据包的检验方式无法发现这种异常。
写在最后
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。
需要完整版PDF学习资源私我
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
