概述:西門子PLC使用私有協議進行通信,端口為102。西門子PLC協議有3個版本,S7Comm協議,早期S7CommPlus協議和最新的S7CommPlus協議。S7-200、S7-300、S7-400系列的PLC采用早期的西門子私有協議S7comm進行通信,S7-1200系列v3.0版本之前的通信協議采用早期S7Comm-Plus協議,S7-1200系列v4.0版本、S7-1500系列采用了最新的S7Comm-Plus協議,最新的S7Comm-Plus協議引入了會話ID來防止重放攻擊,且對關鍵流量有加密處理,該部分的內容從2017年以來就有多名研究員進行了闡述,網絡上相關的文章也比較多。但對S7Comm-Plus協議在工控環境下使用最多的業務流量分析較為缺乏,本文以工控常見業務場景為例,分析Wincc V7.4作為上位機對PLC數據區的訪問操作,現實場景中工控流量占比最大的也是上位機的SCADA環境對下位機PLC數據區的一些讀寫操作,而非組態軟件對PLC的啟停、下裝上載操作,只有在調試運維過程中才會使用組態軟件。
1
環境配置
整個協議分析的基本環境配置如下:Win7 x64虛擬機:
PLC:S7-1200,6ES7214-1AG40-0XB0
Firmware: V4.2.3
Software:Wincc V7.4
S7Comm-Plus Wiresharkdissector plugin: V0.0.8
配置環境搭建的框架圖如下所示,通過交換機連接SCADA上位機與S7-1214C的PLC,wireshark安裝在連接鏡像端口的PC機中,wireshark中導入S7Comm-Plus的解析插件。
2
對數據區的讀變量操作
本文所述的數據區特指S7系列PLC中的DB塊、M區(I區、Q區與M區類似)。Wincc對PLC的讀變量操作,首先需要組態Wincc V7.4在畫面中建立輸出控件,關聯上PLC的對應地址變量,運行系統后在控件中就可讀取對應變量的值,如下所示:
組態讀取MD92地址處的變量值,讀取變量的操作碼Opcode為0X31,Function為CreateObject(0x04ca),尋找第7個Attribute屬性中ID Number字段SubscriptionReferenceList。
展開SubscriptionReferenceList的詳細描述,在SubscriptionList下包含了具體的訪問區域與詳細地址信息,Accessbase-area區域顯示M區(0x52),Blob startoffset為92,表示M區中的訪問地址,讀取字節數Blob bytecount為2,表示讀取兩個字節長度。
組態讀取DB59999.DBW6地址處的變量值(wincc對于DB塊進行讀取操作必須不加入優化,DB塊中的變量必須有確定分配的地址),讀取變量的操作碼Opcode為0X31,Function為CreateObject(0x04ca),尋找第7個Attribute屬性中ID Number字段SubscriptionReferenceList。
展開SubscriptionReferenceList的詳細描述,在SubscriptionList下包含了具體的訪問區域與詳細地址信息,Accessbase-areaa區域經過算法解析后得到0x8a0eea5f,表示DB59999(原始數據幀中字節為0x88 d0 bb d4 5f),Blob startoffset為6,表示DB5999中的訪問地址,讀取字節數Blob bytecount為2,表示讀取兩個字節長度。
備注:VLQ相關編碼算法可參考S7Comm-plus wireshark插件的源碼,源碼地址https://sourceforge.net/p/s7commwireshark/code/HEAD/tree/trunk/src/
3
對數據區的寫變量操作
Wincc對PLC的寫值操作一般會在畫面中建立輸入控件,關聯上PLC的對應地址變量,在控件中寫值,按enter鍵后寫入成功,如下所示:
在MD92寫入變量過程中抓取到請求數據幀
寫入變量的操作碼Opcode為0X31,Function為SetMultiVariables(0x0542),Access base-areaa字段顯示為M區(0x52),寫入地址Blob startoffset為92,寫入字節數Blob bytecount為4,寫入的值為value:0x0001046a。
在DB59999.DBW6地址處寫入變量過程中抓取到請求數據幀,(Wincc寫DB塊必須保證DB塊不優化,有自己的實際地址)
寫入變量的操作碼Opcode為0X31,Function為SetMultiVariables(0x0542),Access base-areaa字段顯示為DB59999(0x8a0eea5f),寫入地址Blob startoffset為6,寫入字節數Blob bytecount為2,寫入的值為value:0x8235。
4
流量中關鍵點提取
從以上的分析中可以總結如下表格,不論是工業防火墻還是審計系統,均需要將關鍵字段識別并加入至白名單中,在S7Comm-plus協議的流量中,識別表格中的關鍵信息就能命中各種業務操作,比如讀M區變量、寫Q區變量等。但是想和實際工藝場景結合,比如命中流量中對污水處理加藥間加藥量閥門的操作需要做進一步的工作。
5
總結
本文以Wincc V7.4作為上位機,調用S7Comm-plus的驅動訪問S7-1200系列PLC,具體訪問了PLC的DB塊、M區等,在訪問過程中通過wireshark抓取對應報文,并做了簡單分析,并通過表格形式總結出S7Comm-plus訪問西門子系列PLC常用數據區的關鍵字段,在工業安全產品中要解析或者捕獲流量是需要命中這些字段,通過這些字段關聯到對應的操作區域。但如果想再次區分流量中對M區的哪個地址寫入了什么數據還需要深入解析后續的value字段。如若需要和工藝流程聯動,還需要將工程點表和安全產品中的命中規則聯動和融合,這樣才能更接近工業現場。