协议分析仪能监测哪些异常行为？

测试仪器

协议分析仪通过深度解析网络通信中的协议字段、时序和状态，能够精准识别多种异常行为，涵盖从配置错误到恶意攻击的广泛场景。以下是其可监测的核心异常行为类型及具体实例：

一、协议实现违规：违反标准或规范的行为

• 字段格式错误
  • 实例：
    • Modbus TCP：请求报文中的“Unit ID”字段超出0x00-0xFF范围（如0x100），可能触发缓冲区溢出。
    • CAN总线：数据帧的“DLC”（数据长度）字段为0x00但实际携带数据，违反ISO 11898标准。
      
  • 风险：导致设备崩溃、数据解析错误或恶意代码执行。
    
• 时序异常
  • 实例：
    • IEC 60870-5-104：主站连续发送“召唤命令”（C_IC_NA_1）间隔小于协议规定的1秒最小间隔，可能引发从站队列溢出。
    • MQTT：客户端在未完成TCP握手时发送PUBLISH报文，违反MQTT over TCP的时序要求。
      
  • 风险：造成通信阻塞、设备状态不一致或服务拒绝。
    
• 状态机跳转异常
  • 实例：
    • TLS：客户端在未完成“Certificate Verify”步骤时直接发送“Finished”报文，跳过身份验证关键环节。
    • S7Comm（西门子PLC协议）：在未建立“Setup Communication”连接时发送“Read”请求，违反协议状态机逻辑。
      
  • 风险：绕过安全检查、未授权访问或协议栈崩溃。
    
  
  

二、配置错误：设备或系统级安全缺陷

• 默认配置未修改
  • 实例：
    • BACnet：设备使用默认密码“admin/admin”，且未启用“Who-Is/I-Am”广播限制，允许任意主机扫描网络拓扑。
    • OPC UA：服务器未配置证书吊销列表（CRL）检查，允许被吊销的客户端证书继续访问。
      
  • 风险：攻击者可轻松获取设备控制权或敏感数据。
    
• 弱加密或无加密
  • 实例：
    • Modbus TCP：未启用TLS加密，明文传输关键指令（如阀门开度设置）。
    • DNP3：使用弱加密算法（如DES）或固定密钥（如“00000000”），易被破解。
      
  • 风险：数据窃听、篡改或中间人攻击（MITM）。
    
• 访问控制缺失
  • 实例：
    • PROFINET：未配置VLAN隔离或ACL规则，允许任意主机访问PLC的“Write”功能码。
    • SNMP：社区字符串（Community String）设置为“public”，允许读取设备状态信息。
      
  • 风险：横向移动攻击、设备配置被恶意修改。
    
  
  

三、恶意攻击行为：针对协议的主动攻击

• 重放攻击（Replay Attack）
  • 实例：
    • IEC 61850：攻击者捕获合法的“GOOSE”报文（如断路器分闸指令）并重复发送，导致设备误动作。
    • Modbus：重放“Write Single Register”（功能码0x06）报文，篡改传感器读数。
      
  • 检测方法：协议分析仪可记录报文时间戳，识别短时间内重复出现的相同指令。
    
• 注入攻击（Injection Attack）
  • 实例：
    • CAN总线：向总线注入伪造的“Engine Speed”报文（ID 0x0CF00400），干扰发动机控制。
    • MQTT：向主题/sensor/temperature注入虚假数据（如“1000°C”），触发安全联锁。
      
  • 检测方法：对比历史数据分布，识别异常值或非预期报文。
    
• 拒绝服务攻击（DoS）
  • 实例：
    • S7Comm：发送大量非法“Job”请求（如功能码0x01未携带有效数据），耗尽PLC内存。
    • DNP3：伪造“Unsolicited Response”报文洪泛主站，导致其处理队列溢出。
      
  • 检测方法：统计单位时间内特定协议报文数量，识别突发流量峰值。
    
• 协议混淆攻击（Protocol Obfuscation）
  • 实例：
    • Modbus TCP：在“Function Code”字段插入随机字节（如0x06 → 0x60），绕过基于特征码的IDS检测。
    • TLS：使用非标准扩展字段（如extended_master_secret）隐藏恶意载荷。
      
  • 检测方法：协议分析仪需支持深度解码，识别字段值与协议规范的偏差。
    
  
  

四、隐蔽通信行为：绕过安全检测的非法流量

• 隐蔽通道（Covert Channel）
  • 实例：
    • ICMP：利用“Payload”字段携带加密的C2指令（如Meterpreter会话数据）。
    • DNS：通过DNS查询的子域名（如evil.example.com）传递控制命令。
      
  • 检测方法：协议分析仪可解析非标准字段内容，结合威胁情报匹配已知隐蔽通道模式。
    
• 隧道攻击（Tunneling Attack）
  • 实例：
    • HTTP：将Modbus TCP流量封装在HTTP POST请求中（如/api/upload?data=...），绕过工业防火墙规则。
    • SSH：通过SSH隧道转发PROFINET流量，隐藏真实通信端口。
      
  • 检测方法：协议分析仪需支持多层协议剥离，识别内层被隧道化的协议。
    
  
  

五、设备异常行为：硬件或固件级故障

• 硬件故障
  • 实例：
    • CAN总线：设备持续发送错误帧（如“Bit Stuffing Error”），可能因总线终端电阻损坏。
    • Modbus RTU：从站未响应“Exception Response”（功能码0x80+原功能码），可能因串口芯片故障。
      
  • 检测方法：协议分析仪可统计错误帧率或超时次数，触发硬件告警。
    
• 固件漏洞利用
  • 实例：
    • S7-1200 PLC：利用CVE-2020-15782漏洞，通过S7Comm协议触发堆溢出，导致设备重启。
    • Schneider Electric Modicon PLC：通过CVE-2021-22779漏洞读取内存数据，泄露加密密钥。
      
  • 检测方法：协议分析仪需集成漏洞库，匹配报文特征与已知漏洞攻击模式。
    
  
  

六、合规性违规：违反行业或法规要求

• 数据泄露
  • 实例：
    • OPC UA：未启用“Audit Log”功能，未记录用户访问敏感节点（如/Objects/DeviceSet/Alarm）的操作。
    • DNP3：主站未加密存储从站上报的“Analog Input”数据，违反GDPR第32条要求。
      
  • 检测方法：协议分析仪可解析报文内容，识别未加密的敏感字段（如信用卡号、位置数据）。
    
• 审计日志缺失
  • 实例：
    • IEC 62351：变电站自动化系统未记录用户登录、配置修改等关键事件，违反NERC CIP标准。
    • BACnet：设备未生成“Event Notification”日志，无法追溯空调温度异常修改记录。
      
  • 检测方法：协议分析仪可模拟审计日志查询，验证设备是否按规范生成日志。
    
  
  

工具选择建议

• 工业协议：优先选择支持Modbus TCP/RTU、PROFINET、S7Comm、IEC 60870-5-104等协议的专业工具（如ProfiTrace、PLC Analyzer）。
• 通用协议：Wireshark（开源）+定制插件可覆盖HTTP、TLS、MQTT等协议，但需手动配置解码规则。
• 高性能场景：Spirent TestCenter或Ixia BreakingPoint支持线速捕获和模糊测试，适合大规模网络审计。
  

通过协议分析仪的深度监测，企业可实现从“被动防御”到“主动狩猎”的转变，提前发现并阻断潜在威胁，同时满足等保2.0、IEC 62443等合规要求。