用免费蜜罐工具设置Modbus工控蜜罐

皇冠管理端

www.x2w00.com)实时更新发布最新最快最有效的皇冠管理端网址,包括皇冠管理端手机网址,皇冠管理端备用网址,皇冠管理端最新网址,皇冠管理端足球网址,皇冠管理端网址大全。

,

本文作者:Falcon

DecoyMini是一个免费的蜜罐工具,其特色是仿真能力接纳与软件松耦合的仿真模板来举行治理。通过一键式导入云端仿真模板库里的模板就可以在网络里快速部署多样化的虚伪服务和应用,支持仿真模板自界说功效,支持接纳可视化仿真编排引擎通过界面设置即可实现对自界说的网络协议、服务或应用的仿真能力。

本文将用DecoyMini免费蜜罐工具来设置自界说的ModbusTCP工控仿真模板,并先容部署后的Modbus蜜罐的使用效果。

1 DecoyMini工具先容

DecoyMini•智能仿真与攻击诱捕工具是北京吉沃科技有限公司(http://www.decoyit.com)基于商业化蜜罐产物积累而推出的免费蜜罐工具。工具支持主流操作系统,安装使用简朴,支持通过仿真模板实现仿真环境的快速应用和部署。通过部署虚伪的服务和应用仿真环境,吸引攻击者举行攻击,在虚伪环境中对攻击者行为举行抓取和存储,基于对攻击者的行为剖析来实现攻击预警、威胁剖析和溯源取证。

DecoyMini免费蜜罐工具集成可视化仿真编排引擎,支持通过界面设置来界说对网络请求数据的剖析方式,基于对请求参数的判断来响应对应的数据,实现对服务和应用的仿真能力。

对网络请求数据的处置支持多种方式,包罗:

1、直接读取网络请求数据:支持直接读取指定长度,也支持按指定数据末尾来举行读取,对读取的数据可以直接存储到参数里,也可以将数据缓存,以便举行二次剖析。

2、对缓存数据的剖析:支持通过字节偏移、位偏移等方式从缓存数据里提取指定局限的数据。

对提取的数据支持以指定的类型存储到参数里,包罗:

● 字符串

● 字节数组

● 整数(大端)

● 整数(小端)

在请求响应部门,引擎凭证请求参数的综合条件判断,来决议给请求方的响应数据,支持的响应数据类型包罗:

● 字符串

● 二进制

● 指定的设置文件

● 指定的数据文件

同时支持响应后关闭毗邻、跳转到指定参数来继续执行等操作。

在应答的同时,可以按需开启日志纪录功效,纪录的内容包罗操作用户、操作类型、操作效果、日志形貌、日志级别、请求参数等,以实现对攻击行为的详细纪录。

2 Modbus先容

Modbus是由Modicon(现在的https://baike.baidu.com/item/%E6%96%BD%E8%80%90%E5%BE%B7%E7%94%B5%E6%B0%94Schneider Electric)公司于1979年开发,已经成为工业领域通讯协议的业界尺度,现在是工业电子装备之间常用的毗邻方式,已经是工业领域全球最盛行的协议。

Modbus协议是一种应用层报文传输协议,用Master/Slave方式通讯,在1996年施耐德公司推出基于以太网TCP/IP的ModbusTCP协议后,Modbus共支持ASCII、RTU、TCP三种报文类型,物理层接口支持RS232、RS422、RS485和以太网等接口。

2.1 协议花样先容

ModbusTCP的数据帧可分为两部门:MBAP+PDU。

2.1.1 报文头MBAP

MBAP为报文头,长度为7字节,组成如下:


各属性寄义注释如下:

2.1.2 帧结构PDU

PDU由功效码+数据组成。功效码为1字节,数据长度不定,由详细功效决议。

功效码界说

Modbus的操作工具有四种:线圈、离散输入、保持寄存器、输入寄存器。


凭证工具的差异,Modbus的功效码界说如下:


功效码更详细的说明如下:


错误代码表说明如下:


更详细的协议花样界说,请读者查阅Modbus协议规范。

3 仿真模板设置

领会ModbusTCP协议后,最先Modbus仿真模板设置。安装好DecoyMini工具,登录进治理中央。


进入仿真模板,用TCP自界说引擎新建“ Modbus TCP 协议”模板,设置基本的模板参数,最先连系Modbus协议花样来设置模板对应的剖析规则。

3.1 请求数据剖析

DecoyMini会根据顺序从第一条规则往后执行剖析规则。依次设置参数剖析规则来剖析事务处置标识、协议标识、长度、单元标识符等参数。

3.1.1 事务处置标识

事务处置标识为报文头前2个字节,界说名为number的参数直接从网络请求数据中读取2个字节的数据即可。在响应数据里可以通过{{number}}形式来对事务处置标识值举行引用。

设置的规则如下:


3.1.2 协议标识

协议标识为事务处置标识随后2个字节,界说名为protocol的参数继续从网络请求数据中读取2个字节的数据。读取的数据将会存放在protocol参数中,在响应数据里可以通过{{protocol}}形式来引用对应的数据。

设置的规则如下:


3.1.3 数据长度

数据长度为协议标识后2个字节,界说名为length的参数继续从网络请求数据中读取2个字节的数据按整数(大端)花样存储到参数中。在响应数据里可以通过{{length}}形式来引用数据长度对应的值。

设置的规则如下:


3.1.4 读取数据区域

数据长度后为详细的数据区域,需要凭证数据长度值来读取对应长度的数据,界说名为readdata的参数从网络请求数据中读取{{length}}个字节的数据存储到参数中;由于随后还需要对readdata数据举行进一步剖析,因此需要为此参数启用缓存数据功效。

设置的规则如下:


3.1.5 单元标识符

单元标识符为数据区域的第一个字节,因此,需要从已缓存的readdata参数里去举行剖析。界说名为devno的参数,设置剖析数据源为缓存数据,指定缓存数据名称,设置为通过字节偏移(0:1)来获取数据。

设置的规则如下:


3.1.6 功效码

功效码为PDU首部,在单元标识符后面,从已缓存的readdata参数里去举行剖析。界说名为function的参数,设置剖析数据源为缓存数据,指定缓存数据名称,设置为通过字节偏移(1:2)来获取功效码对应数据。

设置的规则如下:


3.1.7 数据

数据为PDU第二部门,从已缓存的readdata参数里去举行剖析。界说名为data的参数,设置剖析数据源为缓存数据,指定缓存数据名称,设置为通过字节偏移(2:{{length}})来获取请求数据。

2022世界杯欧洲区赛

www.x2w8888.com)实时更新发布最新最快的2022世界杯欧洲区赛、2022世界杯会员线路、2022世界杯备用登录网址、2022世界杯手机管理端、2022世界杯手机版登录网址、2022世界杯皇冠登录网址。

设置的规则如下:


最终设置完成的剖析参数完整列表如下:


3.2 请求响应设置

3.2.1 协议花样检查

需要先检查是否为有用的Modbus请求,凭证协议标识符以及现实读取的数据长度是否和报文头里界说的长度一致来判断。若是不知足条件,则为非Modbus协议毗邻,直接关闭TCP毗邻。

判断协议标识符是否有用规则界说如下:


判断数据长度是否有用规则界说如下:


3.2.2 读线圈

在装备中读线圈状态(功效码为0x01)

● 请求:MBAP 功效码 起始地址H 起始地址L 数目H 数目L

● 响应:MBAP 功效码 数据长度 数据

本示例直接返回装备故障的异常功效码(81)和错误码(04),读者可以按需修改为所需的返回数据。返回数据后跳转到第一个参数,重新吸收新的请求。

对应的响应数据设置规则如下:


3.2.3 写单个线圈

写装备中的一个输出(功效码为0x05)

● 请求:MBAP 功效码 输出地址H 输出地址L 输出值H 输出值L

● 响应:MBAP 功效码 输出地址H 输出地址L 输出值H 输出值L

本示例直接返回装备故障的异常功效码(85)和错误码(04),读者可以按需修改为所需的返回数据。返回数据后跳转到第一个参数,重新吸收新的请求。

对应的响应数据设置规则如下:


3.2.4 写多个线圈

写装备中的一个线圈序列的值(功效码为0x0F)

● 请求:MBAP 功效码 起始地址H 起始地址L 输出数目H 输出数目L 字节长度 输出值H 输出值L

● 响应:MBAP 功效码 起始地址H 起始地址L 输出数目H 输出数目L

本示例直接返回装备故障的异常功效码(95)和错误码(04),读者可以按需修改为所需的返回数据。返回数据后跳转到第一个参数,重新吸收新的请求。

对应的响应数据设置规则如下:


3.2.5 读离散量输入

从装备中读多个延续的离散量输入状态(功效码为0x02)

● 请求:MBAP 功效码 起始地址H 起始地址L 数目H 数目L

● 响应:MBAP 功效码 数据长度 数据

本示例直接返回装备故障的异常功效码(82)和错误码(04),读者可以按需修改为所需的返回数据。返回数据后跳转到第一个参数,重新吸收新的请求。

对应的响应数据设置规则如下:


3.2.6 读输入寄存器

从装备中读多个延续输入寄存器(功效码为0x04)

● 请求:MBAP 功效码 起始地址H 起始地址L 寄存器数目H 寄存器数目L

● 响应:MBAP 功效码 数据长度 寄存器数据

本示例直接返回装备故障的异常功效码(84)和错误码(04),读者可以按需修改为所需的返回数据。返回数据后跳转到第一个参数,重新吸收新的请求。

对应的响应数据设置规则如下:


3.2.7 读保持寄存器

从装备中读保持寄存器延续块的内容(功效码为0x03)

● 请求:MBAP 功效码 起始地址H 起始地址L 寄存器数目H 寄存器数目L

● 响应:MBAP 功效码 数据长度 寄存器数据

本示例直接返回装备故障的异常功效码(83)和错误码(04),读者可以按需修改为所需的返回数据。返回数据后跳转到第一个参数,重新吸收新的请求。

对应的响应数据设置规则如下:


3.2.8 写单个保持寄存器

在装备中写一个保持寄存器(功效码为0x06)

● 请求:MBAP 功效码 寄存器地址H 寄存器地址L 寄存器值H 寄存器值L

● 响应:MBAP 功效码 寄存器地址H 寄存器地址L 寄存器值H 寄存器值L

本示例直接返回装备故障的异常功效码(86)和错误码(04),读者可以按需修改为所需的返回数据。返回数据后跳转到第一个参数,重新吸收新的请求。

对应的响应数据设置规则如下:


3.2.9 写多个保持寄存器

在装备中写延续寄存器块(功效码为0x10)

● 请求:MBAP 功效码 起始地址H 起始地址L 寄存器数目H 寄存器数目L 字节长度 寄存器值

● 响应:MBAP 功效码 起始地址H 起始地址L 寄存器数目H 寄存器数目L

本示例直接返回装备故障的异常功效码(96)和错误码(04),读者可以按需修改为所需的返回数据。返回数据后跳转到第一个参数,重新吸收新的请求。

对应的响应数据设置规则如下:


3.2.10 未知操作处置

若是功效码非上述值,则为不支持的功效码请求操作,直接关闭链接。


4 蜜罐部署效果

在DecoyMini上部署设置好的Modbus仿真模板,用Modbus工具来举行毗邻测试,设置准确的IP和端口后可以正常毗邻。


执行种种功效请求,也可以按预期举行准确响应。


由此可见,通过DecoyMini的仿真模板经由简朴的设置就实现了对Modbus工控协议、装备的仿真。以上设置的模板可以到http://bbs.decoyit.com/template.php下载,此模板仅设置了Modbus的基本功效,读者可以凭证自己的需求去改善以支持更完善的功效、仿真模拟差其余工控装备,实现更完整、多样化的高仿真的工控装备攻击诱捕环境。

DecoyMini免费蜜罐工具的仿真模板功效具有很强的仿真自界说能力,后继将为人人继续分享基于此免费工具来实现对更多协议、服务和应用的仿真自界说方式,敬请期待!人人感兴趣的可以下载工具安装体验,工具免费下载地址:https://github.com/decoymini

  • 评论列表:
  •  手机新2管理端
     发布于 2021-08-11 00:00:48  回复
  • 皇冠新现金网

    是一个开放皇冠体育代理最新登录线路(www.huangguan.us)、皇冠体育会员最新登录线路、皇冠代理APP下载、皇冠会员APP下载、皇冠线路APP下载、皇冠电脑版下载、皇冠手机版的平台。皇冠体育APP上登录线路最新、新2皇冠网址更新最快,皇冠体育APP开放皇冠会员注册、皇冠代理开户等业务。

    助力让你火
  •  新2网址
     发布于 2021-08-22 00:01:49  回复
  • 茱莉亚告诉记者,在赋能企业数字化转型的历程中,SAP不仅追踪企业的营收和利润,还会追踪企业的环保效益。“就像权衡一家企业的收入及利润一样,SAP也可以像治理其他营业一样去权衡企业的可连续性,因此我们以为可连续性背后是要有数据去支持的,SAP要让可连续性的权衡尺度变得数据化、可视化、透明化。”第一次看,讲的啥

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。