一、ICS安全
在工业控制系统(ICS)广泛应用的今天,保障其安全性至关重要。Modbus 协议作为工业自动化领域中设备之间数据传输的常用协议,由于其设计之初对安全性考虑不足,面临着诸多安全威胁,其中中间人攻击(MITM)尤为突出。中间人攻击可能导致数据泄露、设备操控异常,甚至引发严重的工业事故,因此深入了解 Modbus 协议中间人攻击的原理、过程以及如何防范,对于维护工业控制系统安全具有重要意义。本文将从 Modbus 协议基础、中间人攻击技术原理、Modbus 协议相关漏洞、真实攻击案例及实现过程,以及预防手段等方面进行详细阐述,旨在帮助初学者全面掌握相关知识,做好工业控制系统的安全防护。
二、Modbus 协议介绍
2.1 协议概述
Modbus 协议是一种应用层通信协议,由 Modicon 公司(现为施耐德电气)在 1979 年开发,主要用于工业自动化领域中设备之间的数据传输,尤其是可编程逻辑控制器(PLC)之间的通信。该协议具有简单、易实现、广泛应用等特点,并且是开放协议,兼容性强,支持多种物理层,包括串行通信(如 RS - 232/RS - 485)和以太网(Modbus TCP)。
2.2 协议结构与数据模型
2.2.1 主从模式
Modbus 协议基于主从(Master - Slave)模式,主设备主动发起请求,从设备响应请求。在一个 Modbus 网络中,通常有一个主设备和多个从设备,主设备负责对从设备进行数据读写操作,以实现对工业过程的监控和控制。
2.2.2 数据模型
- 线圈(Coil):1 位(读 / 写),通常表示开关量(开 / 关)。例如,控制电机的启动与停止就可以通过对相应线圈的操作来实现。
- 离散输入(Discrete Input):1 位(只读),通常表示传感器状态。比如检测某个门是否关闭,对应的传感器状态可通过离散输入反映。
- 保持寄存器(Holding Register):16 位(读 / 写),用于存储参数或输出。例如,存储设备的设定温度、压力等参数。
- 输入寄存器(Input Register):16 位(只读),用于存储传感器输入值。像温度传感器、压力传感器采集到的数据就存储在输入寄存器中。
2.3 通信协议类型
2.3.1 Modbus RTU
使用 RS - 485/RS - 232 串行通信,数据以二进制形式传输。RTU 模式下,每个消息都以帧的形式传输,帧中包含地址码、功能码、数据以及 CRC 校验码等信息。它具有较高的传输效率,适用于短距离、对实时性要求较高的通信场景。
2.3.2 Modbus TCP
基于 TCP/IP 协议,默认端口为 502。在这种模式下,Modbus 协议被封装在 TCP 数据包中进行传输,数据以 ASCII 或十六进制字符串形式表示。Modbus TCP 利用了以太网的高速传输特性,适用于长距离、大数据量传输的工业网络环境,并且方便与企业信息网络集成。
三、中间人攻击(MITM)技术原理
3.1 攻击的基本概念
中间人攻击(Man - in - the - Middle Attack,简称 MITM 攻击)是一种常见的网络安全威胁。在这种攻击中,攻击者通过将自己置于通信双方之间,能够拦截、查看、修改甚至替换通信中的数据,而通信双方却误以为他们在直接通信。攻击者通常在目标通信路径上插入自己的设备或程序,如恶意软件或特制硬件设备,从而实现对通信的控制和监视。
3.2 攻击的主要步骤
3.2.1 插入通信链路
攻击者必须将自己插入到受害者和目标之间的通信路径中,以便监视、篡改或劫持通信。这可以通过多种方式实现,常见的有以下几种:
- ARP 欺骗:ARP(地址解析协议)用于将 IP 地址解析为 MAC 地址。主机或三层网络设备上会维护一张 ARP 表,用于存储 IP 地址和 MAC 地址的映射关系。攻击者通过向网络中发送虚假的 ARP 响应包,污染用户的 ARP 缓存,使目标设备将原本发送给正常通信对端的数据包发送到攻击者的设备上。例如,在一个局域网中,攻击者可以冒充网关向用户发送 ARP 应答,将自己的 MAC 地址作为网关的 MAC 地址返回给用户,这样用户的所有网络流量都将经过攻击者的设备。
- DNS 欺骗:用户访问互联网的第一步就是向 DNS 服务器发起 DNS 请求,获取网站域名对应的 IP 地址。攻击者利用这一过程,通过入侵 DNS 服务器、控制路由器等方法,将受害者要访问的目标机器域名对应的 IP 解析为攻击者所控制的机器 IP。这样受害者原本要发送给目标机器的数据就发到了攻击者的机器上,攻击者就可以监听甚至修改数据。比如攻击者将银行网站的域名解析到自己搭建的虚假网站 IP 上,用户在访问银行网站时就会进入攻击者的陷阱。
- Wi - Fi 仿冒:攻击者创建恶意 Wi - Fi 接入点,接入点名称一般与当前环境相关,例如使用与咖啡馆、酒店等场所相同的 Wi - Fi 名称,且通常没有加密保护。当用户不小心接入恶意 Wi - Fi 接入点后,用户后续所有的通信流量都将被攻击者截获,进而个人信息被窃取。
3.2.2 截获与操纵通信数据
一旦攻击者成功插入到通信路径中,他们就能够截获受害者和目标之间的通信数据。这些数据可以是文本消息、文件传输、网页浏览历史等,根据攻击者的目的而定。攻击者还可以篡改通信中的数据,以实施欺骗、诱导或破坏。例如,他们可以修改网页内容、更改交易金额、发送虚假的指令等。在 Modbus 协议通信中,攻击者可能会修改从设备的寄存器值,导致设备运行异常。例如,将控制电机转速的寄存器值修改为一个不合理的值,使电机超速运行,可能引发设备损坏甚至安全事故。
四、Modbus 协议存在的漏洞易引发 MITM 攻击
4.1 协议设计缺陷
4.1.1 明文传输
Modbus RTU/TCP 通信数据未加密,攻击者可通过网络嗅探获取敏感数据,如设备状态码、控制指令等。在一个使用 Modbus TCP 协议的工业网络中,攻击者使用网络嗅探工具(如 Wireshark),可以轻松捕获到网络中的数据包,从中解析出 Modbus 协议的内容,获取设备的运行状态信息,甚至可能获取到一些关键的控制指令。如果这些信息被恶意利用,攻击者就能够对工业设备进行非法操控。
4.1.2 认证缺失
Modbus 协议无身份验证机制,任意设备均可接入网络发送指令。这使得攻击者可以轻易地向网络中的 Modbus 设备发送指令,篡改设备参数或控制设备运行。例如,在 2024 年,某智慧水务系统因未授权访问导致阀门异常开启,造成城市供水污染。攻击者利用 Modbus 协议缺乏认证的漏洞,未经授权就向控制阀门的 PLC 发送指令,改变了阀门的状态,从而引发了严重的后果。
4.1.3 功能码滥用
攻击者可以利用 Modbus 协议中的功能码(如 03 读保持寄存器、06 写单个寄存器等)进行非法操作。例如,攻击者可以通过发送 06 功能码的指令,篡改设备参数。在 2025 年,某汽车工厂生产线因寄存器值被篡改停机 48 小时。攻击者利用 Modbus 协议功能码漏洞,发送写寄存器指令,修改了生产线设备中与运行参数相关的寄存器值,导致设备运行异常,最终生产线被迫停机,给企业带来了巨大的经济损失。
4.2 设备配置隐患
4.2.1 默认凭证
大量的 Modbus 设备使用出厂密码(如 admin/1234),而用户往往未及时修改。据统计,43% 的 Modbus 设备存在默认凭证未修改的情况。这为攻击者提供了可乘之机,他们可以通过尝试默认密码登录设备,进而获取设备的控制权。例如,2024 年某石化企业因未修改密码遭勒索软件入侵。攻击者利用设备的默认密码登录到 Modbus 设备,然后在设备中植入勒索软件,加密企业的重要数据,向企业勒索赎金。
4.2.2 固件漏洞
老旧固件存在缓冲区溢出等漏洞(如 CVE - 2024 - 3352),攻击者可远程执行恶意代码。例如,施耐德 Modicon M580 系列 PLC 曾因固件漏洞被植入挖矿木马。攻击者通过利用 PLC 固件中的漏洞,远程将挖矿木马植入到设备中,利用设备的计算资源进行虚拟货币挖矿,不仅影响了设备的正常运行,还可能导致设备故障。
4.3 网络架构风险
4.3.1 OT/IT 网络融合
随着工业数字化的发展,工业网络(OT)与企业信息网络(IT)逐渐融合。这种融合虽然带来了生产管理的便利,但也增加了安全风险。攻击者可以通过 IT 网络渗透到工业网络中的 PLC 等设备。在 2025 年的 HVV 演练中,红队通过 VPN 漏洞横向移动至工控网络。攻击者利用企业网络中 VPN 的漏洞,先进入企业的 IT 网络,然后通过 IT 网络与 OT 网络之间的连接,进一步渗透到工业控制系统中的 PLC 设备,对工业网络造成了严重威胁。
4.3.2 端口暴露
Modbus TCP 使用的 502 端口、S7comm 使用的 102 端口等,如果未做访问控制,很容易被攻击者扫描到并利用。Shodan 数据显示全球暴露的 PLC 设备超 120 万台。攻击者通过端口扫描工具,如 Nmap,扫描开放 502 端口的设备,一旦发现 Modbus 设备,就可以尝试利用协议漏洞进行攻击。
五、Modbus 协议中间人攻击真实案例介绍及实现过程
5.1 案例背景
在 2022 年,某北美储能站发生了一起因 Modbus 协议中间人攻击导致的严重事故。该储能站采用了 Modbus TCP 协议进行能源管理系统(EMS)与电池管理系统(BMS)/ 功率转换系统(PCS)之间的通信。由于通信未加密,给攻击者留下了可乘之机。
5.2 攻击实现过程
5.2.1 网络嗅探
攻击者首先通过 ARP 欺骗手段,使用工具 Ettercap 劫持了 EMS 与 BMS/PCS 的通信链路。在 ARP 欺骗过程中,攻击者向网络中发送虚假的 ARP 响应包,使 EMS 和 BMS/PCS 的 ARP 缓存中存储了错误的 MAC 地址映射,从而将它们之间的通信流量重定向到攻击者的设备上。攻击者成功截获通信链路后,利用网络嗅探技术捕获了明文传输的 Modbus 功能码。例如,攻击者捕获到了用于读取和写入寄存器的功能码,如 0x06 写寄存器指令。
5.2.2 指令篡改
攻击者在捕获到通信数据后,对其中的指令进行篡改。他们修改了寄存器地址,例如将电池电压寄存器地址 0x0001 对应的正常值(48V)覆盖为危险值(如 60V)。由于 Modbus 协议缺乏有效的数据完整性校验和认证机制,BMS/PCS 无法识别这些被篡改的指令,从而按照错误的指令进行操作,导致电池过充保护失效。
5.2.3 重放攻击
攻击者还记录了合法的充放电指令,如 0x10 写多个寄存器指令。然后,在非允许时段重复发送这些指令,干扰储能站的正常充放电操作,导致电池循环寿命骤减。最终,由于长期的异常充放电以及过充保护失效,电池组发生过充起火,给储能站造成了巨大的损失。
5.3 攻击影响
此次攻击导致该储能站的电池组严重受损,部分设备烧毁,不仅造成了直接的经济损失,还影响了该地区的电力供应稳定性。同时,由于事故的发生,该储能站需要长时间进行设备维修和系统安全加固,进一步增加了运营成本和能源供应的不确定性。
六、Modbus 协议中间人攻击的预防手段
6.1 网络架构安全优化
6.1.1 网络分段
将工业网络(OT)与企业信息网络(IT)进行严格分段,使用防火墙等安全设备隔离不同区域的网络。在 OT 网络内部,也可以根据功能和设备类型进一步划分子网,限制不同区域之间的网络访问。这样即使攻击者突破了 IT 网络的防线,也难以直接进入 OT 网络中的关键控制区域。例如,在工业网络中,将控制核心生产设备的子网与办公子网分开,通过防火墙设置访问策略,只允许特定的设备和应用进行跨子网通信。
6.1.2 端口访问控制
对 Modbus TCP 使用的 502 端口以及其他相关工业协议端口进行严格的访问控制。只允许授权的设备和 IP 地址访问这些端口,禁止外部网络未经授权的访问。可以在防火墙、路由器等网络设备上配置访问控制列表(ACL),限制对特定端口的连接。例如,在防火墙规则中,只允许内部的 EMS 服务器和特定的 BMS/PCS 设备 IP 地址访问 502 端口,其他外部 IP 地址的连接请求将被拒绝。
6.2 设备安全配置
6.2.1 修改默认凭证
及时修改 Modbus 设备的出厂默认密码,并使用强密码策略。密码应包含字母、数字、特殊字符,且长度足够。同时,定期更换设备密码,以防止密码被破解。对于多人管理的设备,应采用多用户、多权限管理模式,不同人员根据职责分配不同的操作权限。例如,将设备管理员、维护人员和普通操作人员的权限分开,管理员具有最高权限,可进行设备配置等高级操作,维护人员只能进行设备状态查看和部分维护操作,普通操作人员仅能查看设备运行状态。
6.2.2 固件更新
定期检查 Modbus 设备的固件更新情况,及时安装厂商发布的安全补丁。固件更新不仅可以修复已知的漏洞,还可能增强设备的安全性能。在更新固件之前,应先在测试环境中进行验证,确保更新不会影响设备的正常运行。例如,对于施耐德 Modicon 系列 PLC,应关注施耐德官方发布的固件更新信息,按照官方指导流程进行固件更新操作。
6.3 数据加密与认证
6.3.1 数据加密
采用加密技术对 Modbus 通信数据进行加密,防止数据在传输过程中被窃取或篡改。可以使用 SSL/TLS 等加密协议对 Modbus TCP 通信进行加密,对于 Modbus RTU 通信,可以考虑在应用层实现自定义的加密算法。加密后的数据即使被攻击者截获,也难以解析和篡改。例如,在建立 Modbus TCP 连接时,使用 SSL/TLS 证书进行加密握手,确保通信数据的保密性和完整性。
6.3.2 身份认证
为 Modbus 协议添加身份认证机制,确保只有授权的设备才能与网络中的其他设备进行通信。可以采用用户名 / 密码认证、数字证书认证等方式。例如,在设备连接时,要求设备提供数字证书进行身份验证,验证通过后才能建立通信连接。对于一些对安全性要求较高的工业控制系统,还可以采用多因素认证方式,如结合密码和硬件令牌进行认证。
6.4 安全监测与审计
6.4.1 网络流量监测
部署网络流量监测工具,实时监控 Modbus 网络中的通信流量。通过分析流量特征,及时发现异常流量行为,如大量的非法 Modbus 指令请求、异常的寄存器读写操作等。一旦发现异常,立即发出警报并采取相应的措施,如阻断可疑连接。例如,使用工业防火墙或专用的工业网络安全监测设备,对 Modbus 网络流量进行深度包检测,识别并拦截攻击行为。
6.4.2 操作审计
建立完善的操作审计机制,记录和审计 Modbus 设备的所有操作。包括设备的登录、指令发送、参数修改等操作。审计日志应妥善保存,以便在发生安全事件时进行追溯和分析。通过审计,可以发现潜在的安全威胁和违规操作行为。例如,使用专门的日志管理系统,收集和分析 Modbus 设备的操作日志,对异常操作进行预警和调查。
七、结论
Modbus 协议在工业控制系统中应用广泛,但其存在的安全漏洞使得中间人攻击成为现实威胁。通过对 Modbus 协议的介绍、中间人攻击原理的剖析、协议漏洞的揭示以及真实攻击案例的分析,我们深刻认识到了 Modbus 协议中间人攻击的严重性和复杂性。为了有效防范此类攻击,需要从网络架构安全优化、设备安全配置、数据加密与认证以及安全监测与审计等多个方面入手,采取综合性的安全防护措施。