一種基于ARP欺騙的Modbus TCP協議攻擊技術實現

魏國柱 賴滇 胡德勇 孔潤 楊仕榮

摘? ?要：本文結合經典的中間人網絡攻擊方式與工業控制系統中常用的Modbus協議在現實應用場景中的網絡狀況，介紹了在利用ARP協議實施MAC地址欺騙的前提下，實現針對Modbus TCP協議數據傳輸與控制的有效攻擊的技術方法以及實現流程，對于結合傳統網絡安全技術與現代工業控制系統特點，實現工業控制系統安全有很好的借鑒意義。

關鍵詞：工業控制系統;中間人攻擊;ARP欺騙;Modbus TCP協議

中圖分類號：? TM921.5? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?DOI：10.12296/j.2096-3475.2021.07.087

一 、引言

工業控制系統（ICS）是指用于操作、控制、輔助控制自動化工業生產過程的設備、系統、網絡以及控制器的集合[1]。近年來，工業控制系統向“互聯網化”不斷推進，其從孤立封閉的系統發展為開放交互的標準系統，致使工控系統信息安全風險日益增加。工業控制網絡不再獨立與封閉，越來越開放和互聯，廣泛地采用接口技術，實現數據的交互，其所面臨的安全風險也已由內部擴展到外部，工業控制系統的網絡安全形勢日益嚴峻。

在此種大形勢下，電力系統作為工業控制系統中最為重要的領域之一，維護電力工業控制網絡系統（簡稱電力網絡）的安全性，也就成為工業控制系統網絡安全測試的關鍵領域。Modbus協議是電力工控行業最常見的協議之一，針對Modbus協議開展攻擊技術測試研究，對于加強電力工控行業的安全性具有很好的示范意義。

而在現實場景中，攻擊者往往難以直接接觸到電力工控設備，無法直接對設備開展漏洞攻擊或協議攻擊，在此類場景下，如何在安全測試者掌握較少的網絡權限環境，探索開展遠程安全測試技術的技術方法，實現對電力設備的攻擊測試，本文著重探討了在基于工業控制協議Modbus TCP通信條件下，處于網絡中間人攻擊位置下，利用ARP欺騙開展工控協議內容篡改的原理與技術實現，并設計了試驗環境與系統來測試實現了攻擊過程。

二、 Modbus TCP協議

Modbus協議1978年由施耐德制定，是應用于電子控制器上的一種通用語言，用以實現控制器相互之間、控制器經由網絡（例如以太網）和其它設備之間的通信，支持傳統的 RS-232-/422/485設備和以太網設備。到1996 年施耐德公司推出了基于TCP/IP的Modbus協議即Modbus TCP協議，該協議成本低廉，適用于各種應用的解決方案，是一種高效的控制方案解決標準，已成為自動化設備最廣泛支持的協議[2]。作為工業控制領域常用的通信協議Modbus，在工業控制領域顯示了巨大的影響力，由于其簡單而精致的結構，在電力系統中也得到了廣泛的應用[3]。

Modbus TCP協議屬于Modbus協議的一種，標準的Modbus協議的報文（或幀）的基本格式是：表頭 + 功能碼 + 數據區 + 校驗碼，校驗碼的存在主要是為了確保Modbus協議數據傳輸的安全可靠，而在Modbus TCP中，這種保障由TCP/IP協議本身的安全校驗機制就可以完成，因此Modbus TCP去掉了CRC校驗的部分，其數據幀可分為兩部分：ADU=MBAP+PDU = MBAP + 功能碼 + 數據域，MBAP? 7byte，功能碼1byte，數據域不確定，由具體功能決定。

由此可以看出，Modbus協議本身在傳輸中的安全校驗主要依托于TCP/IP協議本身，而TCP/IP的校驗和機制都是公開的，任何掌握TCP之上的應用層協議內容的發送方，都可以構造符合校驗機制的TCP/IP數據包傳送給接收方，從而使得攻擊者在劫持數據后的偽造封裝變得沒有困難。

三、 中間人攻擊

中間人攻擊（Man-in-the-Middle Attack）是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間，這臺計算機就稱為“中間人”。

隨著計算機通信網技術的不斷發展，中間人攻擊也越來越多樣化。最初，攻擊者只要將網卡設為混雜模式，偽裝成代理服務器監聽特定的流量就可以實現攻擊，這是因為很多通信協議都是以明文來進行傳輸的，如HTTP、FTP、Telnet等。后來，隨著交換機代替集線器，簡單的嗅探攻擊已經不能成功，必須先進行ARP欺騙才行。

ARP欺騙的核心就是向被攻擊者發送偽造的IP-MAC映射。假設主機C為實施ARP欺騙的攻擊者，其目的是截獲主機B和主機A之間的通信數據。C先向B發送ARP應答包，其中源IP地址為A的IP地址，但是源MAC地址卻是主機C的MAC地址。主機B收到該ARP應答后，將根據新的IP地址與MAC映射對更新ARP緩存。這以后當B給A發送數據包時，目標MAC地址將使用C的MAC地址，因此交換機根據C的MAC地址就將數據包轉發到攻擊者C所在的端口。同理，攻擊者C發送ARP應答使主機A確信主機B的MAC地址為C的MAC地址。在間歇的發送虛假ARP應答的同時，攻擊者C將被劫持的數據包轉發到正確的目的主機，這時攻擊者對主機A和B來說是完全透明的，通信不會出現異常，但實際上數據包卻被C非法截獲，攻擊者C成為了“中間人”[4]。

四、攻擊系統的設計與實現

1.實驗環境設計

考慮到實現中間人環境的網絡目標環境，簡化相關的工控系統與環節，設置一臺PC機作為工業控制上位機，一臺使用Modbus TCP協議通信的工業控制設備，中間用一個交換機作為網絡連接設備，一臺接入同一交換機下的PC機作為攻擊機。試驗環境如下圖所示：

2.試驗系統設計與實現

（1）系統總體結構

由于對上位機和PLC之間的通信進行劫持攻擊，為了便于測試開展，測試系統設計了用戶可配置輸入的接口，便于在不同的定制化環境下開展測試研究，同時綜合利用Winpcap底層驅動庫進行底層抓包和發包，通過ARP協議包偽造欺騙和TCP/IP數據重定向分析兩個線程的處理，一方面將上位機和PLC之間的通信劫持到攻擊機，一方面對TCP/IP以及封裝在TCP/IP之上的Modbus協議進行修改重組，完成對上位機和PLC組成的電力工控系統的攻擊測試，系統總體結構如圖2所示：

用戶通過配置輸入解析獲取外部給予的IP地址、MAC地址、協議類型等各種參數配置，在此配置下，綁定相應目標機網卡，進行數據劫持。其中底層數據包的捕獲依賴于Winpcap底層的NDIS動態庫，通過底層的包過濾驅動程序將相應的數據包過濾抓取到本地緩沖區后，軟件利用網絡數據抓包接口進行以太網數據的抓包分析，同時利用Winpcap底層的網絡數據發送接口，通過偽造ARP協議包并向目標進行發送，完成ARP協議欺騙的效果，綜合利用抓取欺騙過來的數據包的轉發，實現TCP/IP數據重定向，將目標機與工業控控設備之間的數據重定向到本地進行轉發，實現數據的劫持。在此之上，對TCP/IP協議之上的Modbus協議規格進行分析，從而對符合條件的數據進行修改替換。整個系統按以上設計可以分為主程序、ARP欺騙模塊和數據分析處理模塊三個主要部分。

（2）系統主程序流程

首先對軟件中使用的部分變量參數進行預設置與準備工作，然后通過處理輸入參數獲得外部指定設置的參數，包括發起攻擊的IP和MAC（即本機）、目標IP和MAC（即上位機）、網關IP和MAC（即工控設備）以及IEC104協議的端口號、協議種類（遙信/遙測）、地址點位、替換數值等。而后測試網卡是否能夠正常打開、設置混雜模式并創建ARP欺騙處理接口線程和數據劫持修改處理接口線程，最后在線程出錯退出的情況下，釋放網卡等相關資源。

（3） ARP欺騙流程

流程如圖所示，先對ARP欺騙中使用的部分變量參數進行預設置與初始化準備工作，然后通過死循環判定：欺騙數據包是否發送足夠多次，若是則結束ARP欺騙流程，否則判斷是否已接到外部停止欺騙信號，若是則結束ARP欺騙流程，否則修改ARP數據包MAC地址欺騙網關攻擊機為目標機，并向網關發送修改后的ARP數據包，然后判斷發送數據包是否出錯，若出錯則打印出錯信息并退出ARP欺騙，否則修改ARP數據包MAC地址欺騙目標機攻擊機為網關，并向目標機發送修改后的ARP數據包，然后判斷發送數據包是否出錯，若出錯則打印出錯信息并退出ARP欺騙，否則返回死循環之初開始判斷發送欺騙包次數，完成整個欺騙流程。

（4） 數據分析處理流程

用戶通過配置輸入解析獲取外部給予的IP地址、MAC地址、協議類型等各種參數配置，在此配置下，綁定相應目標機網卡，進行數據劫持。其中底層數據包的捕獲依賴于Winpcap底層的NDIS動態庫，通過底層的包過濾驅動程序將相應的數據包過濾抓取到本地緩沖區后，軟件利用網絡數據抓包接口進行以太網數據的抓包分析，同時利用Winpcap底層的網絡數據發送接口，通過偽造ARP協議包并向目標進行發送，完成ARP協議欺騙的效果，綜合利用抓取欺騙過來的數據包的轉發，實現TCP/IP數據重定向，將目標機與工業控控設備之間的數據重定向到本地進行轉發，實現數據的劫持。在此之上，對TCP/IP協議之上的Modbus協議規格進行分析，從而對符合條件的數據進行修改替換。

（5） 試驗結果

為了驗證上述軟件的正常運行，研究人員針對IP地址為192.168.1.11的Modbus TCP工控通信機和IP地址為192.168.1.100的上位機之間的通信數據進行了劫持，將原本回應給上位機的數據包最后一位0xf9改為0x08，即實現了將開關線圈狀態True修改為False。

五、結語

本文通過研究中間人攻擊技術以及Modbus協議特點，針對電力工控環境下的Modbus TCP協議傳輸條件下，攻擊者位于上位機和電力設備網絡之間的場景，提出了針對上位機和電力工控設備之間的Modbus TCP協議傳輸進行數據劫持篡改的攻擊測試思路，并構建了模擬的試驗環境網絡，利用Winpcap作為底層網絡數據捕獲和偽造支撐基礎，設計程序流程并編程實現了針對Modbus TCP協議的ARP欺騙劫持攻擊測試流程，從實踐結果看，效果良好，從研究和測試實踐結果來看，Modbus TCP協議在傳輸中由于缺少身份認證等安全機制，易使系統遭受ARP欺騙攻擊。

參考文獻：

[1]Wilhiot K.Whos really attacking your ICS equipment[R].Silicon Valley：Trend Micro Incorporated，2013

[2]鄧欣茹，丁建興，楊翼，邢建春.Modbus/Tcp工業以太網的現狀與發展[J].工業控制計算機，2004年第9期，14-16

[3]張海源，任春梅，張冉.Modbus協議在電力系統中的應用[J].繼電器，2007年第35卷17期，31-34

[4]楊萍，李杰.基于ARP欺騙的中間人攻擊的分析與研究[J].計算機時代，2007年第5期，26-27

基金項目：四川省科技計劃項目資助（2020YFG0202）“基于電力網絡高性能推演的攻防輔助平臺”

（成都錦江電子系統工程有限公司? 四川成都? 610051）