• 灯塔实验室关于网络空间基础设施情报收集的组织行为的分析报告------摘录


    1、撒旦Shodan类网络空间搜索引擎的出现,更多的基于主动的工控安全态势感知的即使开始激增,Shodan支持7*24消失的工作模式在网络空间中爬索网络外部端口的数据,其中包括了对工控协议的探测,Zmap ,MAssCAN等基于无状态扫描的工具出现,可以快速的探索整个网络空间,加上基于工控设备通信协议的识别探测,则可以迅速定位工业控件的具体位置。

    2、传统的扫描信息都是针对需要鉴定的服务,系统或者协议来扫描完成判断。具体的可以使用扫描特定的知名的端口号,通过端口号粗略的判断开发的服务,了解系统以及服务类型,具体的使用请求访问可以对协议来进一步判断,(但是一般的协议都不是公开的的),二工控协议公开的协议根据协议的结构模块可以判断协议信息,协议规范中定义了使用的端口号,设备名称,出厂信息等,据此可以识别设备信息。

    通过协议协议可以准确读取设备的信息,私有协议一般包含特定的功能可以直接读取模块信息。

    有时候需要对传统设备进行判断,如 WEB、SNMP、以及视频流的通信,具有特定的服务特征

    3、RedPoint创建了ICS枚举工具,该工具是一款记忆Nmap NSE的脚本库,可以使用NMap加载对应嗅探的服务来枚举ICS设备。

    4、在信息扫描收集方面 国内的组织 有 ZoomEye(知道创宇打造的一看网络空间安全的搜索引擎)目前支持12款工业协议的数据探索。可以使用工业协议端口和特征Dork关键字发现暴露的互联网工控软硬件。另外还有傻蛋(湖南傻蛋科技有限公司研发的),对工业协议有一定的探测和抓取行为。还有中国网安(内部)开发的一看工具可以支持扫描ModbusTCP 、 EtherNet/IP 、 ISO TSAP S7 )、 FINS 、 WebSCADA 等 协议的 能力。另外还有绿盟使用的引擎。科研院校支持开发的谛听(由东北大学研发开放式)目前支持12中工业协议的探索。还有中科院信工所有网络空间。电子一所也有工业探测设备

     5、在国外使用的探索工具较多,Shodan(可以使用工业协议的端口检所有的数据),Papid(安全研究项目),University of Michigan,Kudelski Security

  • 相关阅读:
    适配器模式(16)
    状态模式(15)
    用反射技术替换工厂种的switch分支(14)
    2017年目标与规划
    抽象工厂模式(13)
    观察者模式(12)
    建造者模式(11)
    TCP 可靠传输与流量控制的实现
    TCP报文段的首部格式
    TCP可靠传输的工作原理
  • 原文地址:https://www.cnblogs.com/xinxianquan/p/11257526.html
Copyright © 2020-2023  润新知