iT邦幫忙

2023 iThome 鐵人賽

DAY 16
0
Security

滲透測試小白的 CPENT 證照學習筆記系列 第 16

Modbus 網路流量分析

  • 分享至 

  • xImage
  •  

Modbus 是一種通信協議,用於工業自動化和監控系統中的數據通信。它最初於1979年開發,成為一種標準通信協議,用於連接和通信不同裝置、控制器和儀器,以實現監控、控制和數據收集。

  • 如果在網路中有 Modbus 的通訊時,可以使用 Tcpdump 工具來擷取封包。
    在 Modbus 通信中,通常是使用 TCP 協定的 502 Port。以下指令,表示以詳細的輸出模式擷取 Modbus 封包後,將輸出保存在名為 modbus.cap 的檔案。
    tcpdump tcp port 502 -vv -w modbus.cap

    image.png

    • Transaction Identifier:佔2個Byte,用於標示通訊的識別碼。此案例為 00 d1
    • Protocol Identifier:佔2個Byte,用於表示 Modbus 協定的版本。對於Modbus TCP,它的值通常是 00 00
    • Length:佔2個Byte,表示後續資料的長度,包括 Unit Identifier 。此案例為 00 06
    • Unit Identifier:佔1個Byte,用於識別 Modbus 設備或單元。當多個Modbus設備連接到同一個 Modbus TCP 總線時,這個字段用於區分它們。此案例為 01
    • Function Code:佔1個Byte,表示 Modbus 操作的類型。功能碼用於區分讀數據、寫數據、診斷等不同的 Modbus 操作。此案例為 01
    • Data Field:這個字段的長度可變,根據Modbus操作的不同而異。它包含了具體的數據,例如讀取或寫入的數據。此案例為 00 01 00 01
  • WireShark 使用訣竅

    • 可以透過 Statistics > Endpoints 看幾張網卡、幾個IP在連線
      image.png
      image.png

    • 看有哪些網卡
      可以透過 View > Name Resolution > Resolve Physical Addresses 查網卡型號和MAC地址。
      image.png


上一篇
Metasploit 滲透時的好用工具
下一篇
Dirty COW 利用髒牛漏洞提權
系列文
滲透測試小白的 CPENT 證照學習筆記30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言