协议分析

流量分析

主要以工控流量和恶意流量为主，难度较低的题目主要考察Wireshark使用和找规律，难度较高的题目主要考察协议定义和特征
简单只能简单得干篇一律，难可以难得五花八门

常见的工控协议有：Modbus、MMS、IEC60870、MQTT、CoAP、COTP、IEC104、IEC61850、S7comm、OMRON等

由于工控技术起步较早但是统一的协议规范制定较晚，所以许多工业设备都有自己的协议，网上资料数量视其设备普及程度而定，还有部分协议为国家制定，但仅在自己国内使用，网上资料数量视其影响力而定

CTF之协议分析文章合集

工控CTF之协议分析1——Modbus
工控CTF之协议分析2——MMS
工控CTF之协议分析3——IEC60870
工控CTF之协议分析4——MQTT
工控CTF之协议分析5——COTP
工控CTF之协议分析6——s7comm
工控CTF之协议分析7——OMRON
工控CTF之协议分析8——特殊隧道
工控CTF之协议分析9——其他协议
文中题目链接如下
站内下载
网盘下载：https://pan.baidu.com/s/1vWowLRkd0IdvL8GoMxG-tA?pwd=jkkg
提取码：jkkg

Modbus

Modbus，市场占有率高、出题频率高,算是最常见的题目，因为这个协议也是工控领域最常见的协议之一，主要有三类

• Modbus/RTU

  从机地址1B+功能码1B+数据字段xB+CRC值2B

  最大长度256B，所以数据字段最大长度252B

• Modbus/ASCII

  由Modbus/RTU衍生，采用0123456789ABCDEF 表示原本的从机地址、功能码、数据字段，并添加开始结束标记，所以长度翻倍

  开始标记:（0x3A）1B+从机地址2B+功能码2B+数据字段xB+LRC值2B+结束标记\r\n2B

  最大长度513B，因为数据字段在RTU中是最大252B，所以在ASCII中最大504B

• Modbus/TCP

  不再需要从机地址，改用UnitID；不再需要CRC/LRC，因为TCP自带校验

  传输标识符2B+协议标识符2B+长度2B+从机ID 1B+功能码1B+数据字段xB

题目中一般只考Modbus/TCP类型

功能码（常见）

1：读线圈
2：读离散输入
3：读保持
4：读输入
5：写单个线圈
6：写单个保持
15：写多个线圈
16：写多个保持

例题1 HNGK-Modbus流量分析

打开流量包发现基本都是Modbus/TCP协议，包含少量TCP协议，第一个筛选条件，找出所有Modbus协议

第二个筛选条件：分析功能码，以功能码为1举例

第三筛选条件，找回包（对比发现回包有一个代表长度的Byte Count），且发现看似是二进制的乱码

查找每一个功能码，最终在功能码16找到flag

例题2 HNGK-modbus（异常流量）

flag为异常流量的序号

筛选出所有Modbus协议流量，发现有多种功能码，一个一个查询是否有异常流量

首先是17，发现请求包中无其他参数，查看前面几个回包均发现060000数据，猜测此为正常流量，于是将060000作为不查询条件

没有其余流量，判断功能码17无问题，将17作为不查询条件接着查看下一个功能码

功能码109：查询和返回都有数据，先将查询的数据54不选中，得到大量返回包，将其数据00不选中

没有异常流量，查询下一功能码

功能码67：方式同上，这里将返回数据有多种情况

最终在功能码1中发现异常

(modbus.func_code == 1) && (modbus.bit_cnt != 8)

有请求包就有返回包，四个包都是异常的，但是异常一定是有请求数据异常导致，所以实际上只需找到请求包即可

筛选条件有多种方式

(((((modbus.func_code == 1)) && !(modbus.reference_num == 0)) && !(modbus.reference_num == 1536)) && !(frame[63:1] == 00)) && !(frame[63:1] == fe)

例题3 HNGK-modbus协议分析（偏脑洞）

以Modbus协议为条件筛选，发现功能码大部分为3，少数为2和6，老规矩，一个一个分析

以功能码3为例：请求包几乎都一样，无明显异常

筛回复包，题中源ip为192.1688.161.2的是回复，所以ip.src == 192.168.161.2

可以看到有很多无效数据

将无效数据筛除，条件有很多，这里筛选包含byte count的数据即为回复数据

从头到尾看一遍会发现响应值逐渐出现数据，看似很有规律且都是键盘上那一行字符

复制16进制流并剔除不需要的杂数据

将无用字符00删除，得到有用十六进制

将其转为十进制

这一题的脑洞也就是这里，将十进制当做十六进制处理，发现居然没有乱码，得到的结果很合理

再解十六进制得到明显base64，解得flag