工控安全：工控常见协议识别

前言

首先是因为接到一个任务：需要对工控常见协议的识别流量进行收集。
项目见：https://github.com/hi-KK/ICS-Protocol-identify (含nse脚本和识别pcap流量)

工控常见协议

协议	通信	端口
Siemens S7	tcp	102
Modbus	tcp	502
IEC 60870-5-104	tcp	2404
DNP3	tcp	20000
EtherNet/IP	udp	44818
BACnet	udp	47808
Tridium Niagara Fox	tcp	1911
Crimson V3	tcp	789
OMRON FINS	tcp	9600
PCWorx	tcp	1962
ProConOs	tcp	20547
MELSEC-Q	tcp	5007

工控协议识别

Siemens S7

nmap -sS -Pn -p 102 --script s7-info -iL 123.txt -oX 123.xml

Modbus

nmap -sS -Pn -p 502 --script modicon-info -iL 123.txt -oX 123.xml

IEC 60870-5-104

nmap -Pn -n -d --script iec-identify.nse  --script-args='iec-identify.timeout=500' -p 2404 

DNP3

nmap --script dnp3-info -p 20000 

EtherNet/IP

nmap --script enip-info -sU  -p 44818 

BACnet

nmap --script bacnet-info -sU -p 47808 

Tridium Niagara Fox

nmap --script fox-info.nse -p 1911 

Crimson V3

nmap --script cr3-fingerprint -p 789 

OMRON FINS

nmap --script omron-info -sU -p 9600 
nmap --script ormontcp-info -p 9600 
nmap --script ormonudp-info -sU -p 9600 

PCWorx

nmap --script pcworx-info -p 1962 

ProConOs

nmap --script proconos-info -p 20547 

MELSEC-Q

nmap -script melsecq-discover -sT -p 5007 
nmap -script melsecq-discover-udp.nse -sU -p 5006