渗透测试（六）工控系统中设备与协议信息收集

在工控系统的安全评估与优化过程中，设备与协议信息收集是至关重要的一环。准确掌握工控设备型号、版本信息，识别正在使用的工业通信协议，以及收集协议相关的配置信息，就如同拿到了打开工控系统奥秘之门的钥匙，能帮助我们深入了解系统架构，排查潜在风险，为系统的稳定运行与安全防护提供有力支持。下面，就让我们一同深入探索这个充满挑战与趣味的信息收集领域。

一、工控设备型号、版本信息收集：摸清设备“家底”

1. 核心逻辑：从设备标识与系统信息中挖掘

每一台工控设备都有其独特的型号与版本标识，这些信息就像是设备的“身份证”，记录着设备的生产厂家、性能参数以及软件版本等关键内容。收集这些信息的核心在于通过设备自身的物理标识、设备管理系统、操作系统命令或者设备通信协议中的特定字段来获取。例如，许多工控设备在外壳上会标注型号信息，而通过设备连接的管理软件或者串口终端，输入特定命令，就可能获取到设备的详细版本号。

2. 真实场景：助力某化工企业设备管理升级

一家化工企业找到我们，他们的生产车间里运行着大量不同时期采购的工控设备，由于缺乏统一管理，设备型号与版本信息混乱，这给设备维护、软件升级以及故障排查带来了极大困难。我们的首要任务便是对这些设备进行全面的型号与版本信息收集。

（1）准备阶段：确定收集范围与工具

化工企业的生产系统涵盖了多个工艺流程，涉及的工控设备种类繁多，包括可编程逻辑控制器（PLC）、分布式控制系统（DCS）、智能传感器等。我们制定了详细的收集计划，按照生产区域划分收集范围，优先对关键生产环节的设备进行信息收集。

针对不同类型的设备，选用了多种工具。对于PLC设备，使用厂家提供的编程软件，该软件可以连接到PLC并读取设备的型号与固件版本信息；对于一些智能传感器，通过串口调试工具，发送特定的查询命令来获取设备信息；同时，还借助网络扫描工具，扫描设备的IP地址，并尝试从设备的网络服务中提取相关信息。

（2）执行收集：多途径获取设备信息

在现场实施过程中，对于带有显示屏的设备，我们首先直接查看设备外壳及显示屏上的标识，记录下初步的型号信息。例如，某品牌的PLC设备，在外壳上清晰标注了型号为“SIMATIC S7 - 1200”。

对于那些无法直接从外观获取信息的设备，我们采用软件连接的方式。以西门子的S7 - 1200 PLC为例，将编程软件“TIA Portal”安装在与PLC处于同一网络的电脑上，通过网线连接到PLC的以太网口，打开软件后，在设备搜索功能中找到对应的PLC，软件界面上便显示出该PLC的详细信息，包括固件版本“V4.4”。

对于一些采用串口通信的智能传感器，使用串口调试助手工具。将电脑的串口与传感器的串口通过串口线连接，在串口调试助手中设置好相应的串口参数（如波特率、数据位、停止位等），然后发送特定的查询命令。比如，对于某压力传感器，发送“AT + INFO”命令后，传感器返回了型号“PRESS - 200”以及软件版本“V1.2”的信息。

（3）分析结果：建立设备信息库与管理策略

通过全面的信息收集，我们整理出了一份详细的设备清单，包含设备名称、型号、版本、所在位置、生产厂家等信息。经过分析发现，部分老旧设备的软件版本过低，存在已知的安全漏洞，且厂家已停止更新支持。

基于这些结果，建议企业建立设备信息库，对设备进行统一管理。对于老旧设备，制定逐步淘汰或升级改造计划；对于新采购的设备，明确要求在采购合同中规定设备信息的交付标准，确保设备信息的完整性与准确性。企业采纳建议后，设备管理效率大幅提升，故障排查时间明显缩短。

3. 初学者避坑指南

• 注意连接安全：在使用软件连接设备时，务必确保连接过程安全，避免因错误操作导致设备故障或数据丢失。例如，在连接PLC进行编程软件操作前，要备份好设备中的程序数据。
• 理解设备标识含义：不同厂家的设备标识方式可能不同，要查阅相关设备手册，理解型号与版本信息所代表的具体含义，以便准确评估设备性能与安全性。
• 保存原始数据：在收集过程中，要及时保存获取到的原始数据，避免因设备断电、网络中断等原因导致数据丢失，为后续分析提供可靠依据。

二、识别正在使用的工业通信协议：洞察系统“语言”

1. 核心逻辑：依据通信特征与端口信息判断

工业通信协议是工控设备之间进行数据传输与交互的“语言”。识别正在使用的协议，需要分析网络流量中的数据特征、端口使用情况以及协议的特定标识。不同的工业通信协议，如Modbus、OPC、DNP3等，都有其独特的数据包格式、端口号以及通信规则。例如，Modbus协议默认使用TCP端口502，其数据包具有特定的功能码和数据结构，通过分析网络流量中TCP 502端口的数据内容，就可以判断是否存在Modbus通信。

2. 真实场景：排查某钢铁企业网络通信异常

某钢铁企业反映其生产网络时常出现通信延迟和数据丢包现象，影响生产效率。我们介入后，首要工作是识别网络中正在使用的工业通信协议，以找出问题根源。

（1）确定分析工具与方法：全面捕获网络流量

选用网络协议分析工具Wireshark，将其安装在网络中的关键节点（如核心交换机旁），通过端口镜像功能，让Wireshark捕获该节点上的所有网络流量。同时，结合Nmap端口扫描工具，对网络中的设备进行端口扫描，获取设备开放的端口信息，为协议识别提供辅助依据。

（2）执行分析：从流量数据中提取协议特征

启动Wireshark后，让其持续捕获一段时间的网络流量。在捕获过程中，Wireshark将网络中的数据包按照不同协议进行分类显示。通过观察发现，网络中存在大量TCP 502端口的通信流量，进一步查看数据包内容，发现其中包含Modbus协议特有的功能码，如读取线圈状态（功能码01）、读取保持寄存器（功能码03）等，由此确定Modbus协议在该网络中被广泛使用。

同时，Nmap扫描结果显示，部分设备还开放了UDP 13500端口，经过深入分析Wireshark捕获的UDP数据包，发现这些数据包符合OPC UA协议的通信格式，从而识别出网络中也存在OPC UA协议通信。

（3）分析结果：发现协议冲突与优化建议

通过对识别出的协议进行深入分析，发现Modbus和OPC UA协议在某些时间段内同时占用大量网络带宽，导致网络拥堵，出现通信延迟和数据丢包现象。

针对这一问题，建议企业对网络进行合理规划，采用VLAN技术将不同协议的通信流量进行隔离，优化网络带宽分配。同时，对Modbus和OPC UA协议的通信参数进行调整，如设置合适的通信周期、优化数据包大小等，以减少网络资源竞争。企业实施这些建议后，网络通信异常问题得到有效解决。

3. 初学者注意事项

• 熟悉常见协议特征：牢记常见工业通信协议的端口号、数据包格式和功能码等特征，这是识别协议的基础。例如，DNP3协议常用于电力系统，其默认TCP端口为20000，了解这些信息能快速定位协议。
• 注意协议变体：一些工业通信协议存在多种变体，其通信特征可能略有不同。在识别过程中，要综合考虑各种因素，不能仅凭单一特征就确定协议类型。
• 分析网络流量环境：网络中可能存在多种协议混合通信的情况，要注意分析不同协议之间的交互关系和对网络环境的影响，避免误判。

三、收集协议相关的配置信息：掌握通信“规则”

1. 核心逻辑：从设备配置文件与通信交互中获取

协议相关的配置信息决定了工业通信协议在实际应用中的具体工作方式，如Modbus寄存器地址、OPC服务器连接参数等。收集这些信息的关键在于获取设备的配置文件，或者通过与设备的通信交互，发送特定的查询命令来获取。设备的配置文件通常存储在设备内部的非易失性存储器中，有些可以通过设备管理软件导出；而对于一些支持特定查询命令的设备，通过串口、以太网等通信接口发送命令，设备会返回相应的配置信息。

2. 真实场景：优化某自来水厂控制系统通信

某自来水厂的控制系统采用Modbus协议进行设备间通信，但在系统升级改造后，出现了部分设备数据读取不准确的问题。我们通过收集Modbus协议相关的配置信息，来查找问题所在。

（1）选择收集途径：配置文件与通信查询结合

对于自来水厂的PLC设备，首先尝试通过厂家提供的编程软件导出设备的配置文件。在编程软件中，找到设备配置选项，执行导出操作，得到了一个包含设备各种配置信息的文件。同时，利用Modbus调试工具，通过串口连接到PLC设备，发送读取Modbus寄存器地址的查询命令，以验证配置文件中的信息是否与实际设备设置一致。

（2）执行收集：深入挖掘配置细节

在导出的配置文件中，仔细查找与Modbus协议相关的部分，发现了一系列Modbus寄存器地址的配置信息，包括每个寄存器对应的设备参数（如液位传感器数据寄存器、阀门开度控制寄存器等）。通过分析这些信息，初步了解了系统中数据的存储与传输方式。

使用Modbus调试工具进行通信查询时，向PLC发送“01 03 00 00 00 0A C4 0B”这样的查询命令（其中“01”为设备地址，“03”为读取保持寄存器功能码，“00 00”为起始寄存器地址，“00 0A”为读取寄存器数量），PLC返回了相应的寄存器数据。将返回的数据与配置文件中的信息进行比对，发现部分寄存器地址的映射关系与实际设备连接不一致。

（3）分析结果：修正配置错误与优化通信

经过详细分析，确定了由于系统升级改造过程中，技术人员误修改了部分Modbus寄存器地址的配置，导致数据读取不准确。我们根据实际设备连接情况，在编程软件中对Modbus寄存器地址进行了修正，并重新导出配置文件下载到PLC设备中。

修正配置后，再次使用Modbus调试工具进行数据查询，设备返回的数据准确无误。同时，为了优化通信性能，还对Modbus通信的超时时间、重试次数等参数进行了合理调整。经过这些操作，自来水厂控制系统的通信恢复正常，数据读取准确可靠。

3. 初学者要点提示

• 谨慎修改配置：在收集配置信息过程中，如果需要对设备进行查询操作，要确保操作不会对设备正常运行造成影响。尤其要注意，不要随意修改设备的配置信息，除非明确知道修改的后果并做好备份。
• 理解配置含义：不同协议的配置信息具有不同的含义和作用，要深入学习相关协议文档，理解每个配置参数的意义，才能准确分析和利用这些信息。例如，Modbus寄存器地址的正确设置决定了数据的准确读写。
• 多种途径验证：为了确保收集到的配置信息准确可靠，可以通过多种途径进行验证，如配置文件与实际通信查询结果相互印证，避免因单一途径获取的信息不准确而导致错误判断。

四、实战总结：构建完整的设备与协议信息收集体系

工控设备型号、版本信息收集，工业通信协议识别以及协议相关配置信息收集，这三个方面相互关联、层层递进，共同构成了完整的设备与协议信息收集体系。通过收集设备型号与版本信息，我们了解设备的基本属性和技术状态；通过识别通信协议，掌握设备之间的通信方式；而收集协议配置信息，则让我们深入了解通信的具体规则和参数设置。

例如，在前面提到的化工企业案例中，通过设备型号与版本信息收集，为设备管理提供了基础数据；在钢铁企业案例中，识别工业通信协议帮助解决了网络通信异常问题；在自来水厂案例中，收集Modbus协议配置信息修复了数据读取不准确的故障。这些案例充分展示了信息收集体系在工控系统中的重要作用。

写在最后：在规范操作中积累信息收集经验

设备与协议信息收集在工控系统的维护、优化与安全防护中起着举足轻重的作用。然而，在进行信息收集过程中，一定要遵循相关规范和操作流程，确保操作合法合规，避免对生产系统造成不必要的影响。作为初学者，要不断学习和实践，逐步积累经验，熟练掌握各种信息收集方法和工具的使用技巧。

希望这篇文章能为你打开工控系统设备与协议信息收集的大门，让你在这个充满挑战与机遇的领域中迈出坚实的第一步。如果你在学习过程中有任何疑问或心得，欢迎在评论区留言交流，让我们一起共同成长，为工控系统的稳定运行和安全保障贡献自己的力量。