当前位置：首页 > article >正文

藏在Modbus‘写寄存器’请求里的秘密：用Python+pyshark复现CISCN2023流量分析

article 2026/5/19 20:12:32

藏在Modbus‘写寄存器’请求里的秘密用Pythonpyshark复现CISCN2023流量分析当生产网络流量中出现异常数据包时传统的手动分析方式往往效率低下。本文将带你用Pythonpyshark构建自动化分析流水线从海量Modbus协议数据中快速定位可疑通信模式并通过多级解码技术还原被隐藏的关键信息。1. 理解Modbus协议与异常流量特征Modbus协议作为工业控制系统的通用通信标准其功能码定义了各类操作类型。其中功能码6写单个寄存器本应用于设备参数配置但攻击者常利用其数据传输特性进行隐蔽通信。我们需要特别关注以下异常特征非常规功能码使用频率正常生产环境中读取操作功能码3/4应占主导频繁出现写操作需警惕数据字段异常长度标准寄存器写入应为2字节超长数据可能包含隐藏信息非常规通信模式非工控设备间的Modbus通信、非标准端口通信等# 基础流量统计代码示例 import pyshark from collections import defaultdict def analyze_modbus_patterns(pcap_path): cap pyshark.FileCapture(pcap_path) stats defaultdict(int) for pkt in cap: if hasattr(pkt, modbus): func_code int(pkt.modbus.func_code) stats[func_code] 1 return dict(stats)2. 构建自动化分析流水线2.1 数据包筛选与提取针对功能码6的数据包我们需要提取关键字段进行深度分析。以下代码展示如何自动提取所有写寄存器请求的数据字段def extract_write_register_data(pcap_path): cap pyshark.FileCapture(pcap_path) suspicious_data [] for pkt in cap: if hasattr(pkt, modbus) and int(pkt.modbus.func_code) 6: if hasattr(pkt.modbus, data): hex_data pkt.modbus.data.replace(:, ) suspicious_data.append(hex_data) return suspicious_data2.2 数据预处理与拼接获取原始数据后需要进行规范化处理去除分隔符如Wireshark默认显示的冒号验证十六进制格式有效性按数据包顺序拼接完整载荷def preprocess_hex_data(raw_data_list): clean_data [] for item in raw_data_list: # 移除非十六进制字符 cleaned .join(c for c in item if c in 0123456789abcdefABCDEF) if len(cleaned) % 2 0: # 验证有效长度 clean_data.append(cleaned) return .join(clean_data)3. 多维度解码技术实战3.1 基础解码尝试首先尝试直接将十六进制转为ASCII字符串def hex_to_ascii(hex_str): try: return bytes.fromhex(hex_str).decode(ascii) except UnicodeDecodeError: return None3.2 高级编码识别当基础解码失败时需尝试多种编码方式编码类型Python实现典型特征Base64base64.b64decode()结尾常含字符集A-Za-z0-9/Base32base64.b32decode()结尾常含仅用A-Z和2-7Hexdumpbinascii.unhexlify()纯十六进制字符XOR加密需尝试不同密钥随机字节分布import base64 def try_multiple_decodings(data): results {} # Base64尝试 try: decoded base64.b64decode(data).decode(utf-8) results[base64] decoded except: pass # Base32尝试需填充到8的倍数 padded data * ((8 - len(data) % 8) % 8) try: decoded base64.b32decode(padded).decode(utf-8) results[base32] decoded except: pass return results4. 实战案例CISCN2023流量分析复现4.1 可疑流量定位通过统计发现功能码6异常集中stats analyze_modbus_patterns(modbus.pcap) print(stats) # 示例输出{3: 142, 6: 16, 4: 89}4.2 数据提取与解码完整处理流程代码示例def full_analysis(pcap_path): # 提取数据 raw_data extract_write_register_data(pcap_path) combined preprocess_hex_data(raw_data) # 基础解码 ascii_result hex_to_ascii(combined) if ascii_result and is_printable(ascii_result): print(fASCII解码结果: {ascii_result}) return # 高级解码 decoded try_multiple_decodings(combined) for encoding, result in decoded.items(): if result: print(f{encoding}解码成功: {result}) return print(未能解码出有效信息) def is_printable(s): return all(c.isprintable() or c in \n\r\t for c in s)4.3 结果验证技巧当获得疑似flag的字符串时检查是否符合flag{...}格式验证字符串是否包含有意义信息尝试提交到比赛平台验证# 示例最终处理 full_analysis(modbus.pcap) # 输出示例base32解码成功: MMYWMX3GNEYWOXZRGAYDA5. 分析工具优化建议5.1 性能优化技巧处理大型pcap文件时使用显示过滤器提前过滤启用多线程处理缓存中间结果# 带过滤器的捕获示例 cap pyshark.FileCapture( modbus.pcap, display_filtermodbus.func_code 6 )5.2 异常处理增强完善错误处理机制捕获文件不存在异常处理损坏的数据包记录分析日志try: cap pyshark.FileCapture(modbus.pcap) except FileNotFoundError: print(捕获文件不存在) except Exception as e: print(f捕获错误: {str(e)})工业网络流量分析需要平衡安全性与生产效率。通过Python实现自动化分析我们不仅能快速发现异常模式还能深入挖掘隐藏数据。实际项目中建议将这类脚本集成到持续监控系统中实现对生产网络流量的实时分析。

藏在Modbus‘写寄存器’请求里的秘密：用Python+pyshark复现CISCN2023流量分析

相关文章：

藏在Modbus‘写寄存器’请求里的秘密：用Python+pyshark复现CISCN2023流量分析

Arm架构AMU性能监控原理与实践指南

如何免费获得119,376个英语单词的标准发音MP3？终极发音库下载指南

从内存条到手机主板：盘点不同场景下过孔尺寸选择的实战经验与避坑指南

告别复制粘贴！用Automa浏览器插件把网页数据自动存进MySQL数据库（保姆级图文教程）

AI Agent Harness Engineering 与组织结构重塑：未来公司将变成什么样

GJB 128B-2021标准变更深度解析：VDMOS产品试验方法的影响与应对

OBS遮罩插件深度指南：15种特效解决直播画面优化的5大痛点

翻转电饼铛生产厂家：竞争突围与渠道升级策略解析

银河麒麟系统下Qt5.9.9编译fcitx-qt5的版本适配与源码修改实战

手把手教你用STM32CubeMX和Keil MDK玩转极海APM32F072RB（附ST-LINK避坑指南）

ESP32-C3深度睡眠唤醒踩坑记：GPIO0~5始终低电平？手把手教你用Arduino框架正确配置RTC GPIO

从模型到代码：无人驾驶轨迹跟踪算法（Stanley、LQR、PID）的Carsim/Simulink联合仿真实践

Perplexity远程岗申请失败率高达73%？揭秘HR系统自动过滤的4个隐形关键词及规避话术库

混合AI路由器架构：实现高效智能任务分发

Perplexity国际新闻搜索深度解析（全球记者都在用的AI情报工作流）

大模型查询质量评估新范式（Perplexity算法底层逻辑首次公开）

【LLM推理加速】Lookahead：无损加速新范式，如何用Trie树与多分支策略突破IO瓶颈

第六届计算机、遥感与航空航天国际学术会议（CRSA 2026）

不止图表引用！VSCode+LaTeX完整编译链配置指南（含BibTeX文献处理）

电磁仿真进阶--CST空心电感建模与实测验证全流程

PyTorch实战：多GPU环境下torch.cuda.set_device()的显式与隐式设备管理对比

模型切换总报错？Trae 在模块四迁移中解决 3 类兼容性问题的配置要点

Perplexity编程问题解答实战手册（2024最新版）：从Token溢出到模型幻觉全击破

RT-Thread裁剪实战：从98KB到28KB的嵌入式系统瘦身指南

2026年制造业员工入转调离全流程自动化趋势？——从“系统孤岛”到“Agent全闭环”的效能革命

RK3588开发板16GB LPDDR5与64GB eMMC性能解析与实战指南

实测Llama3 8B在国产AI盒子上的推理速度：算丰SG2300x Airbox跑出9.6 token/s

Agent 一接数据大屏就开始配错指标：从维度意图识别到口径一致性校验的工程实战

告别BurpSuite自带Intruder的龟速：用Turbo Intruder插件30倍速爆破验证码（附Python脚本）