工業控制系統安全之——Modbus學習筆記

O、術語

1 word =2 byte;

1 byte =8 bit.

校驗碼：校驗碼是由前面的數據通過某種算法得出的，用以檢驗該組數據的正確性。代碼作為數據在向計算機或其它設備進行輸入時，容易產生輸入錯誤，為了減少這種輸入錯誤，編碼專家發明了各種校驗檢錯方法，並依據這些方法設置了校驗碼。

常用的校驗有：累加和校驗SUM、字節異或校驗XOR、縱向冗餘校驗LRC、循環冗餘校驗CRC……

離散量輸入：主要用來讀取單個位的數據，如IO的狀態；

線圈：開關輸出信號，主要用來寫入單個位的數據，與離散量構成組成對位的操作；

輸入寄存器：主要用來讀取16位，也就是兩個字節的數據；

保持寄存器：主要用來寫入16位的數據。

PLC：可編程邏輯控制器，是一種採用一類可編程的存儲器，用於其內部存儲程序，執行邏輯運算、順序控制、定時、計數與算術操作等面向用戶的指令，並通過數字或模擬式輸入/輸出控制各種類型的機械或生產過程。

串口通信：隨著計算機系統的應用和微機網絡的發展，通信功能越來越顯得重要.這裡所說的通信是指計算機與外界的信息交換.因此，通信既包括計算機與外部設備之間，也包括計算機和計算機之間的信息交換.由於串行通信是在一根傳輸線上一位一位的傳送信息，所用的傳輸線少，並且可以藉助現成的電話網進行信息傳送，因此，特別適合於遠距離傳輸.對於那些與計算機相距不遠的人－機交換設備和串行存儲的外部設備如終端、印表機、邏輯分析儀、磁碟等，採用串行方式交換數據也很普遍.在實時控制和管理方面，採用多臺微機處理機組成分級分布控制系統中，各 CPU 之間的通信一般都是串行方式.所以串行接口是微機應用系統常用的接口。許多外設和計算機按串行方式進行通信，這裡所說的串行方式，是指外設與接口電路之間的信息傳送方式，實際上，CPU 與接口之間仍按並行方式工作.

串口：串口是計算機上一種非常通用設備通信的協議，不要與通用串行總線Universal Serial Bus（USB）混淆。大多數計算機包含兩個基於RS232的串口。串口同時也是儀器儀表設備通用的通信協議；很多GPIB兼容的設備也帶有RS-232口。同時，串口通信協議也可以用於獲取遠程採集設備的數據。

串口通信的概念非常簡單，串口按位（bit）發送和接收字節。儘管比按字節（byte）的並行通信慢，但是串口可以在使用一根線發送數據的同時用另一根線接收數據。它很簡單並且能夠實現遠距離通信。比如IEEE488定義並行通行狀態時，規定設備線總常不得超過20米，並且任意兩個設備間的長度不得超過2米；而對於串口而言，長度可達1200米。 

典型地，串口用於ASCII碼字符的傳輸。通信使用3根線完成：（1）地線，（2）發送，（3）接收。由於串口通信是異步的，埠能夠在一根線上發送數據同時在另一根線上接收數據。其他線用於握手，但是不是必須的。串口通信最重要的參數是波特率、數據位、停止位和奇偶校驗。對於兩個進行通行的埠，這些參數必須匹配：

a. 波特率：這是一個衡量通信速度的參數。它表示每秒鐘傳送的bit的個數。例如300波特表示每秒鐘發送300個bit。當我們提到時鐘周期時，我們就是指波特率。例如如果協議需要4800波特率，那麼時鐘是4800Hz。這意味著串口通信在數據線上的採樣率為4800Hz。通常電話線的波特率為14400，28800和36600。波特率可以遠遠大於這些值，但是波特率和距離成反比。高波特率常常用於放置的很近的儀器間的通信，典型的例子就是GPIB設備的通信。
b. 數據位：這是衡量通信中實際數據位的參數。當計算機發送一個信息包，實際的數據不會是8位的，標準的值是5、7和8位。如何設置取決於你想傳送的信息。比如，標準的ASCII碼是0～127（7位）。擴展的ASCII碼是0～255（8位）。如果數據使用簡單的文本（標準 ASCII碼），那麼每個數據包使用7位數據。每個包是指一個字節，包括開始/停止位，數據位和奇偶校驗位。由於實際數據位取決於通信協議的選取，術語「包」指任何通信的情況。
c. 停止位：用於表示單個包的最後一位。典型的值為1，1.5和2位。由於數據是在傳輸線上定時的，並且每一個設備有其自己的時鐘，很可能在通信中兩臺設備間出現了小小的不同步。因此停止位不僅僅是表示傳輸的結束，並且提供計算機校正時鐘同步的機會。適用於停止位的位數越多，不同時鐘同步的容忍程度越大，但是數據傳輸率同時也越慢。
d. 奇偶校驗位：在串口通信中一種簡單的檢錯方式。有四種檢錯方式：偶、奇、高和低。當然沒有校驗位也是可以的。對於偶和奇校驗的情況，串口會設置校驗位（數據位後面的一位），用一個值確保傳輸的數據有偶個或者奇個邏輯高位。例如，如果數據是011，那麼對於偶校驗，校驗位為0，保證邏輯高的位數是偶數個。如果是奇校驗，校驗位位1，這樣就有3個邏輯高位。高位和低位不真正的檢查數據，簡單置位邏輯高或者邏輯低校驗。這樣使得接收設備能夠知道一個位的狀態，有機會判斷是否有噪聲幹擾了通信或者是否傳輸和接收數據是否不同步。

一、背景：

早在1971年，Modicon公司首次推出了Modbus協議，ModbusRTU和Modbus ASCII誕生於此。後來施耐德電氣（SchneiderElectric）收購了Modicon公司，並在1997年推出了ModbusTCP協議。2004年，中國國家標準委員會正式把Modbus作為了國家標準，開啟了Modbus為中國工業通信做貢獻的時代。

通過此協議，控制器相互之間、控制器經由網絡和其它設備之間可以通信。Modbus協議具有標準、開放，可以支持多種電氣接口，數據幀格式簡單緊湊，數據傳輸量大、實時性好等特點，在工業控制系統中得到了廣泛的應用，已經成為通用工業標準。深入分析Modbus協議實現原理和其安全性對提高工控系統安全性有著重要的現實意義。ModbusRTU和ModbusASCII主要用於串行通信領域，而ModbusTCP則常用於乙太網通信。現在，Modbus已經成為工業領域通信協議標準，並且現在是工業電子設備之間相當常用的連接方式。

二、協議原理

Modbus使用一種簡單的MasterandSlave主從協議（客戶機/伺服器協議）進行通信。客戶機作為主站，向伺服器發送請求；伺服器（從站）接到請求後，對請求進行分析並作出應答。其中使用的通信幀被稱為應用數據單元（Application Data Unit，ADU），它包括通信地址段、功能代碼段、數據段和校驗段，如下圖：

一般使用上，監控系統(HMI)都為Master，PLC、電錶、儀表等都為Slave，HMI系統一直PollingSlave的各種relayandregister最新數值，然後做顯示及各種邏輯計算及控制調整等處理。

其中，功能代碼段和數據段組合稱為協議數據單元（Protocol Data Unit or Protocol Description Unit)，PDU）。功能代碼段佔用一個字節，取值範圍為1~255，其中128~255為保留值，用於異常消息應答報文。1~127為功能代碼編號，其中65~72和100~110為用戶自定義編碼。

三、傳輸方式

Modbus 協議是一種應用層報文傳輸協議，包括ASCII、ＲTU、TCP三種報文類型，協議本身並沒有定義物理層，只是定義了控制器能夠認識和使用的消息結構，而不管它們是經過何種網絡進行通信的。

Modbus 協議使用串口傳輸時可以選擇ＲTU或ASCII模式，並規定了消息、數據結構、命令和應答方式並需要對數據進行校驗。ASCII 模式採用LＲC校驗，ＲTU模式採用16 位CＲC校驗。通過乙太網傳輸時使用TCP，這種模式不使用校驗，因為TCP協議是一個面向連接的可靠協議。

四、Modbus RTU 和Modbus ASCII有什麼區別？

Modbus是一種應用層協議，它定義了與基礎網絡無關的數據單元（ADU），可以在乙太網（TCP/IP）或串行鏈路上（RS232、RS485等）進行通信（乙太網ADU和串行ADU略有不同）。在串行鏈路上，Modbus協議有兩種傳輸模式——ASCII模式和RTU模式。其中，ASCII是英文「American Standard Code for Information Interchange」的縮寫，中文翻譯為「美國國家信息交換標準編碼」；RTU是英文「 Remote Terminal Unit」的縮寫，中文翻譯為「遠程終端設備」。

首先，讓我們來看看Modbus的工作原理。

Modbus採用主從（Master-Salve）通信模式，僅有主設備（Master）能對傳輸進行初始化，從設備（Slave）根據主設備的請求進行應答。典型的主設備包括現場儀表和顯示面板，典型的從設備為可編程邏輯控制器（PLC）。

在串行鏈路的主從通信中，Modbus主設備可以連接一個或N（最大為247）個從設備，主從設備之間的通信包括單播模式和廣播模式。

在廣播模式中，Modbus主設備可同時向多個從設備發送請求（設備地址0用於廣播模式），從設備對廣播請求不進行響應。

在單播模式中，主設備發送請求至某個特定的從設備（每個Modbus從設備具有唯一地址），請求的消息幀中會包含功能代碼和數據，比如功能代碼「01」用來讀取離散量線圈的狀態。從設備接到請求後，進行應答並把消息反饋主設備。

在主從設備的通信中，可以使用ASCII模式或者RTU模式。

在ASCII（AmericanStandard Code for Information Interchange）傳輸模式下，消息幀以英文冒號（「：」，ASCII3A Hex）開始，以回車和換號（CRLF，ASCII 0D and 0A Hex）符號結束，允許的傳輸的字符集為十六進位的0~9和A~F；網絡中的從設備監視傳輸通路上是否有英文冒號（「：」），如果有的話，就對消息幀進行解碼，查看消息中的地址是否與自己的地址相同，如果相同的話，就接收其中的數據；如果不同的話，則不予理會。

在ASCII模式下，每個8位的字節被拆分成兩個ASCII字符進行發送，比如十六進位數0xAF ,會被分解成ASCII字符「A」和「F」進行發送，發送的字符量比RTU增加一倍。ASCII模式的好處是允許兩個字符之間間隔的時間長達1s而不引發通信故障，該模式採用縱向冗餘校驗（Longitudinal Redundancy Check ，LRC)） 的方法來檢驗錯誤，

當控制器設為在Modbus 網絡上以ＲTU 模式通信，消息中的每個8Bit 字節都包含兩個4 Bit 的十六進位字符，這種模式沒有開始和結束標記。其優點是: 在同樣的波特率下，可比傳送更多的數據。

在RTU（RemoteTerminal Unit）模式下，每個字節可以傳輸兩個十六進位字符，比如十六進位數0xAF，直接以十六進位0xAF（二進位：10101111）進行發送，因此它的發送密度比ASCII模式高一倍；RTU模式採用循環冗餘校驗（CRC），下面是對RTU模式的總結：

具體格式如圖 所示。

五、MODBUS TCP 注意點5.1 主機和從機、服務端和客戶端

【在modbus協議中】

主機發送modbus請求，從機根據請求內容向主機返迴響應。在modbus協議中，主機總是主動方，從機總是被動方。

【在網絡應用中】

在網絡應用中存在客戶端和伺服器端，客戶端（例如瀏覽器）發送請求到伺服器，伺服器向客戶端返回內容（例如HTML文本）。

【在modbus tcp中】

主機是客戶端，而從機是伺服器端。千萬不要以為伺服器端重要，主機也重要，所以主機就是伺服器端。

5.2 是否可以多主機    通過前面的分析，主機為客戶端那麼modbustcp支持多個主機，在一個   區域網中可存在多個主機和多個從機。從機的連接能力（連接主機的數   量）由uIP的最大TCP連接個數決定。5.3 modbus TCP協議簡述

modbus TCP和modbus RTU基本相同，但是也存在一些區別

a.從機地址變得不再重要，多數情況下忽略。從某種意義上說從機地址被IP位址取代

b.CRC校驗變得不再重要，甚至可以忽略。由於TCP數據包中已經存在校驗，為了不重複造輪子，modbus TCP乾脆取消了CRC校驗。

TCP 模式是為了讓Modbus 數據順利在乙太網上傳輸產生的，使用TCP502 埠。該協議物理層，數據鏈路層，網絡層，傳輸層都是基於TCP 協議，只在應用層，將Modbus 協議修改後封裝進去; 接收端將該TCP 數據包拆封后，重新獲得原始Modbus 幀，然後按照Modbus 協議規範進行解析，並將返回的數據包重新封裝進TCP 協議中，返回到發送端。與串行鏈路傳輸的數據格式不同，TCP 模式去除了附加地址和校驗，增加了報文頭，其具體格式如圖4所示。

在modbus TCP中包含一個MBAP頭，該頭包含以下幾個部分

區域長度描述客戶端伺服器傳輸標誌2位元組MODBUS 請求和響應傳輸過程中序列號客戶端生成應答時複製該值協議標誌2位元組Modbus協議默認為0客戶端生成應答時複製該值長度2位元組剩餘部分的長度客戶端生成應答時由伺服器端生成單元標誌1位元組從機標誌（從機地址）客戶端生成應答時複製該值

【注意】

【1】傳輸標誌可理解為序列號，防止 MODBUS TCP通信錯位，例如後發生的響應先到了主機，而早發生的響應後到主機

【2】單元標誌可理解為從機地址，此時已經不再重要

5.4 modbus tcp 和 TCP IP的關係

modbus TCP可以理解為發生在TCP上的應用層協議，既然是TCP協議那麼一個完整的MODBUSTCP報文必然包括TCP首部，IP首部和Ethernet首部。

六、功能碼作用

啟動Modbus事務處理的客戶機創建Modbus應用數據單元。功能碼（PDU中的）向伺服器指示將執行哪種操作。

用一個字節編碼Modbus數據單元的功能碼域。有效範圍是十制制1-255（128-255為異常響應保留）。當從客戶機向伺服器發送報文時，功能碼域通過伺服器執行哪種操作。

從客戶機向伺服器發送的報文數據域包括附加信息，伺服器使用這個信息執行功能碼定義的操作。這個域還包括離散項目和寄存器地址、處理項目的數量以及域中的實際數據字節數。

在某種請求中，數據域可以是不存在的，在此情況下伺服器不需要任何附加信息。功能碼僅說明操作。

功能碼的類型

功能碼主要分為有效功能碼、異常功能碼和錯誤功能碼。

如果在一個正確接收Modbus ADU中，不出現與請求Modbus功能有關的差錯，那麼伺服器至客戶機的響應數據會包含請求中的正常功能碼。如果出現與請求Modbus功能有關的差錯，那麼響應數據會包含一個異常碼和錯誤碼。

例如，客戶機能夠讀一組離散量輸出或輸入的開/關狀態，或者用戶能夠讀/寫一組寄存器數據內容。當伺服器對客戶機響應時，它使用功能碼域來指示正常（無差錯）響應或出現某種差錯（稱為異常響應）。對於一個正常響應來說，伺服器僅對原始功能碼響應，如下圖：

對於異常響應，伺服器返回一個與客戶機等同的碼，設置該原始功能碼的最高有效位為邏輯1，並加該異常碼後增加錯誤碼，以通知客戶機異常原因。如下圖：

有效功能碼

有效功能碼有二十幾種，但是一般使用上都以1、2、3、4、5、6、15、16等八種最為常用，以及另外特殊使用的20、21兩種，此為General Reference Register，絕大部份的Modbus設備並不會提供此Register。於PLC上主要的控制數據有下列四種型式。此八種功能碼就是處理這些控制資料，詳細說明如下各點：

控制數據四種型式：

DI：DigitalInput（數字輸入，離散輸入），一個地址一個數據位，用戶只能讀取它的狀態，不能修改。以一個 bit表示 On/Off，用來記錄控制信號的狀態輸入，例如：開關，接觸點，馬達運轉，超限switch…等等。於PLC上被稱為Input relay、input coil等。

DO：DigitalOutput（數字輸出，線圈輸出），一個地址一個數據位，用戶可以置位、復位，可以回讀狀態。以一個 bit表示 On/Off，用來輸出控制信號，以激活或停止馬達，警鈴，燈光…等等。於PLC上被稱為Output relay、Output coil等。

AI：Analog Input（模擬輸入，輸入寄存器），一個地址16位數據，用戶只能讀，不能修改，，以16 bits integer表示一個數值，用來記錄控制信號的數值輸入，例如：溫度、流量、料量、速度、轉速、文件板開度、液位、重量…等等。於PLC上被稱為Input register。

AO：AnalogOutput（模擬輸出，保持寄存器），一個地址16位數據，用戶可以寫，也可以回讀，以16 bits integer表示一個數值，用來輸出控制信號的數值，例如：溫度、流量、速度、轉速、文件板開度、飼料量…等等設定值。於PLC上被稱為Output register、Holding register。

七、Modbus 協議安全性分析

Modbus 協議是典型的工控網協議，研究其安全性對於加強工業控制網絡的安全性有重要意義。一般來說，協議安全性問題可以分為兩種，一種是協議自身的設計和描述引起的安全問題; 另一種是協議的不正確實現引起的安全問題。Modbus 協議也存在著

這兩方面的問題。

7.1Modbus 協議的固有問題

絕大多數工控協議在設計之初，僅僅考慮了功能實現、提高效率、提高可靠性等方面，而沒考慮過安全性問題。Modbus 協議也不例外，儘管其已經成為事實上的工業標準。從前面原理分析可以看出其本身的安全性問題是: 缺乏認證、授權、加密等安全防護機制和功能碼濫用問題。

( 1) 缺乏認證

認證的目的是保證收到的信息來自合法的用戶，未認證用戶向設備發送控制命令不會被執行。在Modbus 協議通信過程中，沒有任何認證方面的相關定義，攻擊者只需要找到一個合法的地址就可以使用功能碼就能建立一個Modbus 通信會話，從而擾亂整個或者部分控制過程。

( 2) 缺乏授權

授權是保證不同的特權操作需要由擁有不同權限的認證用戶來完成，這樣可大大降低誤操作與內部攻擊的概率。目前，Modbus 協議沒有基於角色的訪問控制機制，也沒有對用戶分類，沒有對用戶的權限進行劃分，這會導致任意用戶可以執行任意功能。

( 3) 缺乏加密

加密可以保證通信過程中雙方的信息不被第三方非法獲取。Modbus 協議通信過程中，地址和命令全部採用明文傳輸，因此數據可以很容易的被攻擊者

捕獲和解析，為攻擊者提供便利。

( 4) 功能碼濫用

功能碼是Modbus 協議中的一項重要內容，幾乎所有的通信都包含功能碼。目前，功能碼濫用是導致Modbus 網絡異常的一個主要因素。例如不合法報文長度，短周期的無用命令，不正確的報文長度，確認異常代碼延遲等都有可能導致拒絕服務攻擊。

7.2協議實現產生的問題

雖然Modbus 協議獲得了廣泛的應用，但是在實現具體的工業控制系統時，開發者並不具備安全知識或者沒有意識到安全問題。這樣就導致了使用Modbus 協議的系統中可能存在各種各樣的安全漏洞。

( 1) 設計安全問題

Modbus 系統開發者重點關注的是其功能實現問題，安全問題在設計時很少被注意到。設計安全是指設計時充分考慮安全性，解決Modbus 系統可能出現的各種異常和非法操作等問題。比如在通信過程中，某個節點被惡意控制後發出非法數據，就需要考慮這些數據的判別和處理問題。

( 2) 緩衝區溢出漏洞

緩衝區溢出是指在向緩衝區內填充數據時超過了緩衝區本身的容量導致溢出的數據覆蓋在合法數據上，這是在軟體開發中最常見也是非常危險的漏洞，可以導致系統崩潰，或者被攻擊者利用來控制系統。Modbus 系統開發者大多不具備安全開發知識，這樣就會產生很多的緩衝區溢出漏洞，一旦被惡意者利用會導致嚴重的後果。

( 3) Modbus TCP 安全問題

目前，Modbus 協議已經可以在通用計算機和通用作業系統上實現，運行於TCP /IP 之上以滿足發展需要。這樣，TCP /IP 協議自身存在的安全問題不可避免地會影響到工控網絡安全。非法網絡數據獲取，中間人，拒絕服務， IP 欺騙，病毒木馬等在IP 網際網路中的常用攻擊手段都會影響Modbus 系統安全。

7.3安全建議

目前，Modbus 系統採取的安全防護措施普遍不足，這裡參考信息安全業內研究並結合工控系統自身的安全問題，提出了一些安全建議，能夠有效地降低工業控制系統面臨的威脅。

( 1) 從源頭開始

工控網絡漏洞，很大一部分是其實現過程出現的漏洞。如果從源頭開始控制，從Modbus 系統的需求設計、開發實現、內部測試和部署等階段，全生命周期的介入安全手段，融入安全設計、安全編碼以及安全測試等技術，可以極大地消除安全漏洞，降低整個Modbus 系統的安全風險。

( 2) 異常行為檢測

異常行為代表著可能發生威脅，不管是有沒有攻擊者，因此開發針對Modbus 系統的專用異常行為檢測設備可以極大提高工控網絡的安全性。針對Modbus 系統，首先要分析其存在的各種操作行為，依據「主體，地點，時間，訪問方式，操作，客體」等行為描述成一個六元組模型; 進而分析其行為是否屬於異常; 最終決定採取記錄或者報警等措施。

( 3) 安全審計

Modbus 的安全審計就是對協議數據進行深度解碼分析，記錄操作的時間、地點、操作者和操作行為等關鍵信息，實現對Modbus 系統的安全審計日誌記錄和審計功能，從而提供安全事件爆發後的時候追查能力。

( 4) 使用網絡安全設備

使用入侵防禦和防火牆等網絡安全設備。防火牆是一個串行設備，通過設置，只允許特定的地址訪問服務端，禁止外部地址訪問Modbus 伺服器，可以有效的防止外部入侵; 入侵防禦設備可以分析Modbus協議的具體操作內容，有效地檢測並阻止來自內部/外部的異常操作和各種滲透攻擊行為，對內網提供保護功能。

PS：本篇文章是從多篇文章和論文總結而成，並非原創，只是本人整理，本意是希望對初學Modbus的同學有所幫助。如果涉及到侵權方面的事請私信我，立刻刪除。

*本文整理:rye_，轉載請註明FreeBuf COM