Modbus

0x00 系列總結與防護概述 歡迎來到 Modbus TCP 深度解析系列的最終篇！在前面五集中，我們從基礎協議學到了攻擊技術，現在是時候學習如何保護我們的工控系統了。 系列回顧： 協議基礎與封包結構 - 理解 Modbus TCP 基本原理 功能碼詳解與實戰範例 - 掌握各種操作功能 資料模型與地址空間 - 深入資料組織方式 錯誤處理與異常診斷 - 學習故障排除技術 安全威脅與攻擊分析 - 了解潛在威脅 0x01 從真實攻擊事件學習防護策略 MITRE ATT&CK for ICS 框架概述 MITRE ATT&CK for ICS 是專門針對工控系統的攻擊技術框架，將攻擊生命週期分為以下階段： 🎯 Initial Access (初始存取) ↓ 🔍 Discovery (偵察發現) ↓ 🏃 Lateral Movement (橫向移動) ↓ 🎛️ Collection (資料收集) ↓ 💥 Impact (影響破壞) 讓我們透過真實案例來了解每個階段的防護策略。 案例研究 1：烏克蘭電網攻擊事件 (2015 年) 事件背景： 2015 年 12 月 23 日，烏克蘭西部電力公司遭受網路攻擊，導致約 23 萬居民停電數小時。這是全球首起確認由網路攻擊導致的大規模停電事件。 ...

0x00 前情提要 在前一集中，我們學習了錯誤處理和診斷技術。今天我們要從資安的角度深入分析 Modbus TCP 的安全威脅，這對於保護工控系統至關重要。 上集練習題答案： 練習 3：錯誤封包分析 00 05 00 00 00 03 01 86 03 解析： - Transaction ID: 0x0005 - 錯誤功能碼: 0x86 (0x06 + 0x80) = 寫入單個暫存器錯誤 - 異常碼: 0x03 = Illegal Data Value - 問題：嘗試寫入的數值超出允許範圍 0x01 Modbus TCP 安全弱點分析 協議層面的安全缺陷 Modbus TCP 協議設計於工業環境安全性要求較低的年代，存在以下根本性安全問題： ┌─────────────────────────────────────────────────────────┐ │ Modbus TCP 安全弱點 │ ├─────────────────┬───────────────────────────────────────┤ │ 認證機制 │ ❌ 無內建身份驗證 │ │ 加密保護 │ ❌ 明文傳輸，無加密機制 │ │ 授權控制 │ ❌ 無存取權限控制 │ │ 完整性檢查 │ ❌ 無資料完整性驗證 │ │ 防重放攻擊 │ ❌ 無時間戳或序號保護 │ │ 會話管理 │ ❌ 無安全會話機制 │ └─────────────────┴───────────────────────────────────────┘ 攻擊面分析 網路層 ←→ TCP 層 ←→ Modbus 應用層 ←→ 設備層 ↓ ↓ ↓ ↓ 網路掃描 連線洪水 協議攻擊 設備控制 ARP 偽造 TCP 劫持 功能碼濫用 參數篡改 連線注入 資料注入 韌體攻擊 0x02 網路層攻擊技術 網路探測與指紋識別 攻擊者首先會進行網路偵察，識別 Modbus 設備： ...

0x00 前情提要 在前一集中，我們學習了 Modbus 的資料模型和地址規劃。今天我們要探討當事情出錯時如何處理，這在實際工業應用中至關重要。 上集練習題答案： 練習 1：馬達控制器地址規劃 資料類型 | Modbus地址 | 功能描述 -----------------|-----------|------------------ Coils | 00001 | 馬達啟動控制 Coils | 00002 | 馬達停止控制 Discrete Inputs | 10001 | 運行狀態回饋 Discrete Inputs | 10002 | 故障狀態指示 Holding Registers| 40001 | 速度設定點 (RPM) Holding Registers| 40002 | 加速時間 (秒) Input Registers | 30001 | 實際速度 (RPM) Input Registers | 30002 | 馬達電流 (0.1A) 練習 2：浮點數陣列轉換 def floats_to_registers(float_array): registers = [] for f in float_array: high, low = ModbusDataConverter.float32_to_registers(f) registers.extend([high, low]) return registers result = floats_to_registers([123.45, 67.89, -12.34]) # 結果: [0x42F6, 0xE666, 0x4287, 0x1CAC, 0xC145, 0x70A4] 0x01 Modbus 錯誤處理機制 錯誤回應的基本結構 當 Modbus 伺服器遇到錯誤時，會返回特殊的錯誤封包： ...

0x00 前情提要 在前兩集中，我們學習了 Modbus TCP 的基礎知識和功能碼。今天我們要深入探討 Modbus 的資料模型，這是理解工控系統資料組織的關鍵。 上集練習題答案： 練習 1： 00 08 00 00 00 09 01 10 00 32 00 02 04 00 64 00 C8 解析： - 功能碼: 0x10 (批次寫入暫存器) - 起始地址: 0x0032 (50) - 數量: 0x0002 (2 個暫存器) - 資料: Register 50 = 0x0064 (100), Register 51 = 0x00C8 (200) 練習 2： 設定線圈狀態為 "1010110011001100" (16 bits) 資料位元組: 0xCC, 0xAC (小端序排列) 請求封包: 00 09 00 00 00 08 01 0F 00 00 00 10 02 CC AC 0x01 Modbus 資料模型概述 Modbus 定義了四種不同的資料區域，每種都有特定的用途和特性： ...

0x00 前情提要 在上一集中，我們深入了解了 Modbus TCP 的基本概念和封包結構。今天我們將聚焦於功能碼 (Function Code)，這是 Modbus 協議的核心，決定了每個請求要執行什麼操作。 上集練習題答案： Hex: 00 05 00 00 00 06 01 06 00 0A 03 E8 解析： - Transaction ID: 0x0005 (5) - 這是一個請求封包 - 功能碼: 0x06 (寫入單個暫存器) - 目標地址: 0x000A (10) - 寫入數值: 0x03E8 (1000) 0x01 功能碼總覽 Modbus TCP 支援多種功能碼，可分為以下幾類： 標準功能碼分類 類別 功能碼範圍 說明 讀取功能 0x01-0x04 讀取各種資料型別 寫入功能 0x05-0x06 寫入單一數值 批次寫入 0x0F-0x10 批次寫入操作 診斷功能 0x08 診斷和測試 其他功能 0x2B 設備識別等 常用功能碼對照表 功能碼 名稱 資料型別 操作類型 0x01 Read Coils 線圈 (1bit) 讀取 0x02 Read Discrete Inputs 離散輸入 (1bit) 讀取 0x03 Read Holding Registers 保持暫存器 (16bit) 讀取 0x04 Read Input Registers 輸入暫存器 (16bit) 讀取 0x05 Write Single Coil 線圈 (1bit) 寫入 0x06 Write Single Register 保持暫存器 (16bit) 寫入 0x0F Write Multiple Coils 線圈 (1bit) 批次寫入 0x10 Write Multiple Registers 保持暫存器 (16bit) 批次寫入 0x02 讀取功能碼詳解 0x01 - Read Coils (讀取線圈) 線圈是 1 位元的離散輸出，通常用於控制開關、閥門、指示燈等。 ...

0x00 前言 Modbus TCP 作為工業控制系統中最重要的通訊協議之一，在現代工廠自動化、SCADA 系統和物聯網設備中扮演關鍵角色。本系列教學將帶領大家從零開始，深入理解 Modbus TCP 的方方面面。 系列文章規劃： 協議基礎與封包結構 ← 本篇 功能碼詳解與實戰範例 資料模型與地址空間 錯誤處理與異常診斷 安全威脅與攻擊分析 防護策略與最佳實務 0x01 Modbus TCP 協議概述 什麼是 Modbus TCP？ Modbus TCP 是基於乙太網的 Modbus 協議變體，它在傳統的 Modbus 協議基礎上增加了 TCP/IP 網路支援。相比於 Modbus RTU/ASCII，Modbus TCP 具有以下特點： 傳輸層：使用 TCP 協議，預設埠號 502 無需校驗：TCP 本身提供可靠傳輸，無需額外的 CRC 校驗 網路化：支援多個客戶端同時連接 更大的資料量：支援更大的資料封包 跨平台：可在不同作業系統間通訊 協議棧結構 ┌─────────────────────────┐ │ Modbus Application │ 應用層 ├─────────────────────────┤ │ TCP │ 傳輸層 (Port 502) ├─────────────────────────┤ │ IP │ 網路層 ├─────────────────────────┤ │ Ethernet │ 資料鏈結層 └─────────────────────────┘ 0x02 TCP 連線建立過程 三次握手過程 在 Modbus 通訊開始前，首先需要建立 TCP 連線： ...

常見十大工控協定與攻擊手法 Modbus 協定十大攻擊手法 1. 設備枚舉 (Device Enumeration) 攻擊手法: 透過系統性地發送讀取指令並遍歷所有可能的 Slave ID (0-247)，攻擊者可以掃描並繪製出整個 Modbus 網路的拓撲，識別所有在線的從站設備及其支援的資料區，為後續攻擊提供精確目標。 參考來源: CISA (Cybersecurity and Infrastructure Security Agency) - Control Systems Network Auditing: https://www.cisa.gov/sites/default/files/recommended_practices/RP_Control_Systems_Network_Auditing_S508C.pdf SANS Institute - ICS410: ICS/SCADA Security Essentials: https://www.sans.org/cyber-security-courses/ics-scada-cyber-security-essentials/ Nmap Scripting Engine - modbus-discover.nse: https://nmap.org/nsedoc/scripts/modbus-discover.html 2. 未授權讀取 (Unauthorized Read) 攻擊手法: 由於 Modbus 協定本身缺乏認證機制，任何能連上網路的攻擊者都可以發送合法的讀取功能碼 (如 0x01, 0x02, 0x03, 0x04)，自由讀取設備的線圈和暫存器狀態，從而竊取關鍵的生產參數、設備組態或製程配方。 參考來源: Modbus-IDA - Modbus Application Protocol Specification V1.1b3: https://modbus.org/docs/Modbus_Application_Protocol_V1_1b3.pdf Fortinet - What Is the Modbus Protocol?: https://www.fortinet.com/resources/cyberglossary/modbus-protocol MITRE ATT&CK for ICS - T0859 Read Input/Output Image: https://collaborate.mitre.org/attackics/index.php/Technique/T0859 3. 惡意指令注入 (Command Injection) ...