当前位置：首页 > article >正文

工控安全实战：用Wireshark+Python揪出Modbus网络中的恶意节点（附完整代码）

article 2026/3/22 15:47:39

工控安全实战用WiresharkPython揪出Modbus网络中的恶意节点附完整代码在工业控制系统ICS中Modbus/TCP协议因其简单易用的特性被广泛应用于PLC、传感器等设备间的通信。然而这种开放性也使其成为攻击者的主要目标。本文将带您深入工控安全前线通过Wireshark抓包分析和Python自动化检测构建一套针对Modbus网络的异常行为识别系统。1. 工控安全与Modbus协议基础Modbus/TCP协议采用典型的请求-响应模式默认使用502端口。一个典型的Modbus数据包包含以下关键字段字段名长度字节说明事务标识符2用于匹配请求与响应协议标识符2Modbus协议固定为0x0000长度字段2后续字节数单元标识符1设备地址功能码1操作类型如0x01读线圈数据字段可变具体操作参数常见的异常行为特征包括功能码异常使用非标准功能码如0x5B地址越界访问不存在的寄存器地址高频扫描短时间内大量查询请求非授权写操作从非Master节点发出的写命令提示工业环境中建议将Wireshark安装在专用分析机上避免直接在生产网络抓包影响系统稳定性2. 搭建分析环境与数据采集2.1 工具准备需要安装以下软件环境# Python数据分析套件 pip install pandas matplotlib scapy pyshark2.2 网络流量捕获配置在Wireshark中使用捕获过滤器减少干扰tcp port 502 and not arp and not icmp关键抓包参数设置混杂模式关闭工控网络流量通常定向明确缓冲区大小建议50MB以上实时更新禁用以降低系统负载典型的数据导出命令import pyshark capture pyshark.FileCapture( modbus_traffic.pcap, display_filtermodbus, keep_packetsFalse )3. 恶意节点检测算法实现3.1 拓扑关系自动构建通过分析请求-响应关系建立设备拓扑class ModbusTopology: def __init__(self): self.masters {} # {ip: [slave_ips]} def process_packet(self, packet): if hasattr(packet.modbus, func_code): src packet.ip.src dst packet.ip.dst # 判断请求类型 if int(packet.modbus.func_code) 0x80: # 正常功能码 if packet.modbus.request_response 0: # 请求 if src not in self.masters: self.masters[src] [] if dst not in self.masters[src]: self.masters[src].append(dst)3.2 异常行为检测模型实现多维度异常评分机制def anomaly_score(packet): score 0 # 功能码异常检测 abnormal_codes [0x5B, 0x5C, 0x5D] if int(packet.modbus.func_code) in abnormal_codes: score 50 # 写操作频率检测 if packet.modbus.func_code in [05, 06, 0F, 10]: score 20 * write_operation_frequency(packet.ip.src) # 非工作时间检测 if not (8 packet.sniff_time.hour 18): score 30 return score常见恶意行为对应分数阈值威胁类型评分阈值处置建议扫描探测40记录并告警非法写操作60立即阻断协议滥用80启动应急响应4. 实战案例分析4.1 伪装Master攻击检测通过IP-MAC绑定验证检测伪装节点def validate_master(arp_table, packet): expected_mac arp_table.get(packet.ip.src) if expected_mac and packet.eth.src ! expected_mac: print(f[!] MAC地址不匹配: {packet.ip.src} 声称是 {expected_mac} 但实际为 {packet.eth.src}) return False return True4.2 寄存器异常写入检测监控关键寄存器的写操作critical_registers { 0: 系统控制位, 999: 安全配置区, 2000: 工艺参数区 } def check_register_write(packet): if hasattr(packet.modbus, write_addr): reg_addr int(packet.modbus.write_addr) if reg_addr in critical_registers: print(f[!] 关键寄存器写入告警: {critical_registers[reg_addr]}({reg_addr})) log_security_event(packet)5. 可视化与自动化响应5.1 实时监控仪表板使用Matplotlib构建动态可视化import matplotlib.animation as animation def update_graph(frame): plt.clf() # 更新拓扑图 draw_topology(current_devices) # 更新流量趋势 plt.subplot(2,1,2) plt.plot(timestamps, traffic_rates) ani animation.FuncAnimation( fig, update_graph, interval5000 # 5秒刷新 )5.2 自动化响应策略与防火墙联动的示例代码import requests def block_malicious_ip(ip): firewall_api https://firewall/api/block payload { ip: ip, duration: 3600, reason: Modbus异常行为 } response requests.post( firewall_api, jsonpayload, verify/path/to/cert.pem ) if response.status_code 200: log_action(f已阻断恶意IP: {ip})实际部署时建议采用分级响应机制初级响应评分40记录日志并邮件告警中级响应评分60暂时隔离可疑节点高级响应评分80全网络紧急处置6. 防御加固建议6.1 网络架构优化VLAN划分将不同安全等级设备隔离端口安全限制每个端口的MAC地址数量协议过滤在边界防火墙严格限制Modbus通信6.2 安全监控增强部署深度检测策略# Suricata规则示例 alert modbus any any - any 502 ( msg:Modbus异常功能码; content:|01 5B|; sid:1000001; )6.3 设备安全配置关键安全参数检查表配置项推荐值检查命令默认密码已修改PLC厂商工具调试接口禁用!system.debug固件版本最新show version通信超时5-10秒config timeout在项目实践中我们发现多数工控安全事件源于基础防护缺失。某次审计中通过本文方法发现了一个伪装成PLC的渗透测试设备其正在尝试向锅炉控制系统发送异常写指令。及时阻断后分析显示攻击者利用了未更新的固件漏洞。

工控安全实战：用Wireshark+Python揪出Modbus网络中的恶意节点（附完整代码）

相关文章：

工控安全实战：用Wireshark+Python揪出Modbus网络中的恶意节点（附完整代码）

用数据说话 9个AI论文写作软件测评：全行业通用，助你高效完成毕业论文与科研写作

吐血推荐 10个 AI论文工具：全行业通用测评，助你高效完成毕业论文与科研写作

专科生也能用！标杆级的一键生成论文工具 —— 千笔写作工具

摆脱论文困扰!一键生成论文工具千笔ai写作 VS 知文AI 适合研究生

FLAC3D耦合PFC3D隧道开挖模拟：位移连续性与地表沉降规律

基于RexUniNLU的智能内容审核系统开发

【架构心法】删掉多线程！撕开通信死锁的黑盒，用 C++ 单线程状态机重塑极速 ACK 与重传引擎

通义千问2.5-7B保姆级教程：零基础5分钟本地部署，小白也能玩转AI对话

Qwen与MinerU文档处理对比：哪个更适合中小企业自动化办公场景？

嵌入式开发实战：MIPI-DSI与I2C接口在LCD触控屏中的协同工作原理

深度学习必备技能：5分钟用Python画出ReLU家族函数图像（含PReLU参数调整技巧）

医学图像分割的“降维打击”：手把手教你用FreMIM的前景掩码策略，告别无效背景干扰

当GAN遇上行人重识别：用StyleGAN2生成数据提升ReID模型效果

Pycharm 2023.3 + Pandas 2.0：解决数据预览‘三点’困扰的保姆级配置指南

GMAC协议栈深度解析：从802.3帧到TCP/IP的链路层实现

LibreOffice无界面模式终极指南：用jodconverter实现批量PDF转换

在虚拟机中复活3DFX：nGlide与dgVoodoo2的现代游戏兼容方案

SWC架构中的Port接口设计：从Data Element到Runnable的完整数据流解析

雪女-斗罗大陆-造相Z-Turbo环境配置全攻略：从零到生成第一张图

手把手实战BEVFusion：从零搭建自动驾驶3D感知框架

LeetCode 构造奇偶一致数组｜数学奇偶性推导+贪心极简解法（Python逐行精讲）

当四足机器狗遇上3D激光雷达：为何放弃Gmapping，选择Hector SLAM构建栅格地图？

2025图灵奖花落BB84协议：量子密码学工程化革命，筑牢后量子时代高安全防线

批量处理图像标注不求人：ComfyUI+slk_joy_caption_two自动化字幕生成全流程

极空间NAS小白也能玩转Bililive-go：5分钟搞定直播自动录制（附详细配置截图）

STM32CubeMX+Proteus仿真OLED12864I2C：从零搭建到显示‘Hello World‘的完整流程

别再花钱买企业邮箱了！用Cloudflare邮件路由+个人Gmail，5分钟搞定你的专属域名邮箱

天算大数据实战：构建本地话务窝点识别模型的关键技术与应用

避开OpenAI地域限制：三分钟教你用Cloudflare Workers搭建无服务器反向代理