自动化网-工控人家园官网移动版

主页 > 工控品牌 > 西门子 >

西门子plc之间的通讯协议 举例说明:新型PLC蠕虫病毒应对策略

西门子plc有4大类,几十个型号类型,PLC不同所支持的通讯协议也不相同。
S7-200系列支持的协议有:PPI、MPI、PROFIBUS、以太网、S7协议、AS-INTERFACE、USS、MODBUS、自由口。
S7-300\400系列支持的协议有:MPI、PROFIBUS、ETHERNET网、ISO协议、ISO-ON-TCP、MODBUS等。
相同点是同一协议物理传输介质相同。比如S7协议可以使用DP、以太网作为传输介质。
不同之处是每个协议都对应不同的组态方式和程序。
一、PPI通讯

PPI协议是S7-200CPU最基本的通信方式,通过原来自身的端口(PORT0或PORT1)就可以实现通信,是S7-200 CPU默认的通信方式。
二、RS485串口通讯
第三方设备大部分支持,西门子S7 PLC可以通过选择自由口通信模式控制串口通信。最简单的情况是只用发送指令(XMT)向打印机或者变频器等第三方设备发送信息。不管任何情况,都必须通过S7 PLC编写程序实现。
当选择了自由口模式,用户可以通过发送指令(XMT)、接收指令(RCV)、发送中断、接收中断来控制通信口的操作。
三、MPI通讯
MPI通信是一种比较简单的通信方式,MPI网络通信的速率是19.2Kbit/s~12Mbit/s,MPI网络最多支持连接32个节点,最大通信距离为50M。通信距离远,还可以通过中继器扩展通信距离,但中继器也占用节点。
MPI网络节点通常可以挂S7-200、人机介面、编程设备、智能型ET200S及RS485中继器等网络元器件。
西门子plc与PLC之间的MPI通信一般有3种通信方式:
1、全局数据包通信方式
2、无组态连接通信方式
3、组态连接通信方式
四、以太网通讯
以太网的核心思想是使用共享的公共传输通道,这个思想早在1968年来源于厦威尔大学。 1972年,Metcalfe和David Boggs(两个都是著名网络专家)设置了一套网络,这套网络把不同的ALTO计算机连接在一起,同时还连接了EARS激光打印机。这就是世界上第一个个人计算机局域网,这个网络在1973年5月22日首次运行。Metcalfe在首次运行这天写了一段备忘录,备忘录的意思是把该网络改名为以太网(Ethernet),其灵感来自于“电磁辐射是可以通过发光的以太来传播”这一想法。 1979年,DEC、Intel和Xerox共同将网络标准化。 

1984年,出现了细电缆以太网产品,后来陆续出现了粗电缆、双绞线、CATV同轴电缆、光缆及多种媒体的混合以太网产品。 以太网是目前世界上最流行的拓朴标准之一,具有传传播速率高、网络资源丰富、系统功能强、安装简单和使用维护方便等很多优点。
五、PROFIBUS-DP通讯
PROFIBUS-DP现场总线是一种开放式现场总线系统,符合欧洲标准和国际标准。PROFIBUS-DP通信的结构非常精简,传输速度很高且稳定,非常适合PLC与现场分散的I/O设备之间的通信。

西门子PLC举例说明:新型PLC蠕虫病毒应对策略

plc全称为Programmable Logic Controller,即可编程逻辑控制器,是一种采用一类可编程的存储器,用于其内部存储程序,执行逻辑运算、顺序控制、定时、计数与算术操作等面向用户的指令,并通过数字或模拟式输入/输出控制各种类型的机械或生产过程。西门子作为全球PLC市场占有率最高的PLC设备厂家,其产品系列主要包括S7-200、S7-300、S7-400、S7-1200、S7-1500等。其中S7-200、S7-300、S7-400系列的PLC采用早期的西门子私有协议S7Comm进行通信。S7Comm协议已被研究者完全掌握,并且在github上可以下载到该协议的插件。S7-1200系列固件版本为V3.0以下的PLC采用西门子新一代的S7Comm-Plus协议进行通信。该协议采用了一些特殊编码规范,并且做了抗重放攻击的防护。但是其安全防护仍然较弱,已被基本破解。S7-1200系列固件版本为V3.0以上,以及S7-1500系列的PLC,采用了最新的S7Comm-Plus协议,该协议对比之前S7Comm-Plus协议,采用了加密算法,目前仍未被研究透彻。

西门子plc通过Step7以及WinCC软件进行组态,目前最新版本为TIA Portal V13。其中使用Step7进行下位机组态,WinCC进行上位机组态。

在Step7组态软件中,用户通过编写POU程序块来完成工业现场的控制以及工艺流程的实现。西门子POU程序块包括:

OB(Organization Block ):组织块,为用户程序的入口程序块

FB(Function Block):功能函数块,实现一些封装好的函数功能

FC(Function):函数块,为用户编写的程序

DB(Data Block):数据块,用来存放全局变量

SFB(System Function Block):系统功能函数库,系统内部封装的函数块

SFC(System Function):系统函数库,系统内部封装的函数

Step7程序块的组态语言包括LD(梯形图),FBD(功能块图)、SCL(结构化控制语言)、STL(语句列表)。

西门子PLC在进行程序下装的过程中,首先会在下装前停止PLC的运算,下装程序完成后再重新启动PLC。

病毒的实现

对于病毒的实现流程,首先选择IP尝试建立连接,如果连接建立成功,则检查目标PLC是否已被感染。如连接未建立成功,或目标PLC已被感染,则选择新IP重新尝试建立连接。如目标PLC未被感染,则停止目标PLC,下装病毒程序,最后重新启动目标PLC。流程如图1所示。

2016091409480682

病毒实现流程

寻找目标

所有的西门子PLC通过102端口进行TCP通信,因此可以通过尝试建立102端口的TCP通信来进行目标的寻找。Step7组态软件中提供了两个FB块,TCON以及TDISCON,如图2所示。TCON用来建立TCP连接,其中REQ输入管脚通过上升沿信号触发,CONNECT输入管脚配置TCON建立连接的如对端IP、对端端口号,本机端口号,通信方式等相关参数。TDISCON用来断掉TCP连接,REQ上升沿触发。

2016091409480783

 

图3为尝试建立连接的FC块,首先使用TCON块建立连接,如果建立成功,即输出管脚DONE为TRUE时,则置状态字con_state为20,继续下一步病毒的传播感染操作。如连续200次建立连接不成功,则置状态字con_state为0。

2016091409480784

使用TCON块尝试建立连接

如连接未成功建立或病毒传播完成,即状态字con_state为0时,则使用TDISCON做断开连接操作,如果输出管脚ERROR或输出管脚DONE为TRUE时,将TCON输入管脚CONNECT中的对端IP末位加一,并使用该新IP再次尝试建立连接。实现过程如图4所示。

2016091409480785

使用TDISCON进行连接的断开并更改IP

成功建立连接后,首先判断目标PLC是否已经感染该病毒,通过TSEND功能块发送相关数据报文,并对返回的报文进行判断,如未被感染,则继续执行病毒的传播过程,如已感染,则置状态字con_state为0,重新更换IP尝试建立连接。

2016091409480786

检测目标PLC是否已感染病毒

传播感染

正常情况下,博途软件会对PLC进行程序的下装操作,而下装过程正式利用了西门子私有的S7协议。在西门子PLC简介章节中提到西门子S7Comm协议以及早期的S7Comm-Plus协议已可以被研究者熟悉利用。因此在传播感染阶段,可以根据S7协议的内容,通过伪造博途软件下装程序的报文,可以实现PLC到PLC的程序传输操作。也就是说已感染病毒的PLC向目标PLC发送下装程序块的报文,而目标PLC识别到报文后,误以为是博途软件对其进行下装,最后会将报文中的相关功能块存储在PLC中。

Step7组态软件中使用TSEND功能块进行数据的发送,使用TRCV功能块进行数据的接收,如图6所示。在TSEND块中,REQ输入管脚上升沿触发,DATA为需要发送的数据区。在TRCV中,EN_R上升沿触发,DATA为接收数据的存储区,RCVD_LEN为实际接收到数据的长度。

2016091409480787

发送及接收数据功能块

在程序的发送过程中,需要满足S7协议的相关通信时序以及报文格式。图7所示为S7建立连接的过程。首先是TCP的三次握手,接下来建立COTP连接,建立完成后进行S7协议的连接建立。建立成功后可以使用S7协议进行启停PLC、下装程序、PLC中数据读写等正常操作。

2016091409480888

S7协议通信时序

S7通信协议应用层数据封装模型如图8所示,其中:

TCP:即传输控制协议,是一种面向连接(连接导向)的、可靠的、基于IP的传输层协议,在IETF的RFC 793标准中进行定义。

ISO-ON-TCP:即基于TCP的ISO传输服务,在在IETF的RFC1006标准中进行说明。

ISO Transport protocol:即ISO传输协议,在ISO8073中进行说明。

2016091409480889

S7协议应用层数据分布

图9为下装程序块的S7Comm数据报文,其中0x32为S7Comm协议标识符,Protocol Data Unit Reference为协议数据单元标识符,在S7Comm协议中用作通信过程的时序标记。Function标识了该数据报文的功能。Data报文区为所对应功能块的内容。

2016091409480990

功能块下装数据报文

在博途软件中,使用FC功能块实现连接的建立,寻找新的目标IP,判断目标PLC是否已被感染病毒,并进行病毒程序的传播等功能。使用一个DB数据块存放FC功能块中所用到的所有全局变量,使用另外一个DB数据块存放病毒感染全部过程所需要的报文内容。

激活

建立调用病毒程序的OB块OB9999,并将其存植入到目标PLC中,用以激活病毒,并进行新的病毒传播感染。西门子PLC在运行时,会按照从OB1到OB9999的顺序进行调用。如图10所示。

2016091409480991

西门子PLC程序调用步骤

恶意功能的实现 C&C服务器 一旦PLC被感染病毒,会基于TCP主动去连接C&C服务器。通过C&C服务器,可以远程控制PLC,包括PLC的启停,输出值的改变等。 Socks4代理 一旦PLC被病毒感染,在局域网中的其他PLC,可以通过Socks4代理连接到C&C服务器。 拒绝服务攻击 可以向PLC中下装例如死循环、除零或者负数开方的程序,让PLC停止工作。 改变输出值 可以通过编写正常的PLC程序,来改变输出值,进而影响现场设备的正常运行。

检测与防护病毒的检测 利用博途软件 博途软件提供了PLC程序在线与离线差异的检测功能,如图11所示。程序块后面的绿色圆圈表示在线程序与离线程序一致,蓝色与橘黄色组成的圆形表示在线程序与离线程序不一致。

观察PLC的状态灯 下装程序的过程中会导致PLC的停止与启动,在此期间,所有模拟量数值与开关量状态会保持不变。然后该时间仅有几秒钟,操作员可能会忽视该细节。 使用工控漏扫设备 使用工控漏扫设备对PLC进行扫描,由于病毒程序必须利用较大编号的OB块。因此扫描较大编号的OB块可以对病毒进行检测。 检测网络 在病毒进行传播的过程中,网络中会出现PLC与PLC通信的数据报文,根据该异常报文可以检测出病毒测存在。 病毒的存活性 重启PLC 病毒为正常的程序块,因此重启PLC后,该病毒仍存在于PLC中,并且正常运行。 恢复到出厂设置 恢复到出厂设置会清空PLC中的所有程序,因此病毒程序连同正常程序一起会被清空。 下装程序

如果有正常的OB9999组织块,或者与病毒同编号的FC块、DB块的下装,则病毒会被新下装的程序覆盖,并且不会再次被感染

病毒的防护 设置权限密码 工控厂商对于自己产品,在协议层设置权限密码,没有密码的清空下,不可以利用协议来与PLC建立通信连接。 在工控系统中布置IDS/审计系统 布置IDS/审计系统,通过工控协议特征值的采集、分析与识别,如发现异常数据包,则记录日志或报警 布置工控防火墙 通过工控防火墙,对异常数据包进行检测以及隔离防护。

(责任编辑:admin)