Modbus 協議的固有安全問題有哪些

Modbus協議的固有安全問題有：

• 缺乏認證:認證的目的是保證收到的信息來自合法的用戶，未認證用戶向設備發送的控制命令不會被執行。在Modbus協議的通信過程中，沒有任何認證方面的相關定義，攻擊者只需要找到一個合法的地址就可以使用功能碼并建立一個Modbus通信會話，從而擾亂整個或者部分控制過程。

• 缺乏授權:授權用來保證不同的特權操作由擁有不同權限的認證用戶來完成，這樣可以大大降低誤操作與內部攻擊的概率。目前，Modbus協議沒有基于角色的訪問控制機制，也沒有對用戶進行分類，沒有對用戶的權限進行劃分，這會導致任意用戶可以執行任意功能。

• 缺乏加密:加密可以保證通信過程中雙方的信息不被第三方非法獲取。在Modbus協議的通信過程中，地址和命令全部采用明文傳輸，因此數據可以很容易地被攻擊者捕獲和解析，為攻擊者提供便利。

• 緩沖區溢出漏洞:緩沖區溢出是指在向緩沖區內填充數據時超過了緩沖區本身的容量，導致溢出的數據覆蓋在合法數據上，這是在軟件開發中最常見也是非常危險的漏洞，可以導致系統崩潰，或者被攻擊者用來控制系統。Modbus系統開發者大多不具備安全開發知識，這樣就會產生很多的緩沖區溢出漏洞，一旦被惡意者利用就會導致嚴重的后果。

• 功能碼濫用:功能碼是Modbus協議中的一項重要內容，幾乎所有的通信都包含功能碼。目前，功能碼濫用是導致Modbus網絡異常的一個主要因素。例如，不合法報文長度、短周期的無用命令、不正確的報文長度、確認異常代碼延遲等都有可能導致拒絕服務攻擊。

Modbus協議的固有安全問題的解決措施如下：

• 從源頭開始：工控網絡漏洞，很大一部分是其實現過程出現的漏洞。如果從源頭開始控制，從Modbus 系統的需求設計、開發實現、內部測試和部署等階段，全生命周期的介入安全手段，融入安全設計、安全編碼以及安全測試等技術，可以極大地消除安全漏洞，降低整個Modbus 系統的安全風險。

• 異常行為檢測：異常行為代表著可能發生威脅，不管是有沒有攻擊者，因此開發針對Modbus 系統的專用異常行為檢測設備可以極大提高工控網絡的安全性。針對Modbus 系統，首先要分析其存在的各種操作行為，依據“主體，地點，時間，訪問方式，操作，客體”等行為描述成一個六元組模型; 進而分析其行為是否屬于異常; 最終決定采取記錄或者報警等措施。

• 安全審計：Modbus的安全審計就是對協議數據進行深度解碼分析，記錄操作的時間、地點、操作者和操作行為等關鍵信息，實現對Modbus 系統的安全審計日志記錄和審計功能，從而提供安全事件爆發后的時候追查能力。

• 使用網絡安全設備：使用入侵防御和防火墻等網絡安全設備。防火墻是一個串行設備，通過設置，只允許特定的地址訪問服務端，禁止外部地址訪問Modbus 服務器，可以有效的防止外部入侵; 入侵防御設備可以分析Modbus協議的具體操作內容，有效地檢測并阻止來自內部/外部的異常操作和各種滲透攻擊行為，對內網提供保護功能。

回答所涉及的環境：聯想天逸510S、Windows 10。