目录
基础知识
DNP3全称是Distributed Network Protocol 3,分布式网络协议3,这个协议在各种工业系统中都应用很多。它比起s7comm大刀阔斧做的协议栈要简单的多,是完全基于TCP/IP的,只是修改了应用层(但比modbus的应用层要复杂得多),在应用层实现了对传输数据的分片、校验、控制等诸多功能。
DNP借助TCP在以太网上运行,使用的端口是20000端口。
可以看到,在应用层DNP3分为了几个部分来处理,就像是在应用层是又搭建了一个协议栈一般。
首先是数据链路层,这个名字听着有点出戏(OSI第二层的链路层一脸懵逼)……它主要是规定了传输的规则,在官方文档上将这部分的数据单元称为LPDU。
它的组成很简单,主要就是以下几部分:
- start bytes,表明数据开始的起始字节,固定为0x0564
- length,长度
- control,控制字,这是最重要的一个字段,用一个字节来进行标记
第一位,direction,听着很高端,但其实就是表明发送的方向
第二位,primary,表示发送设备是主设备还是从设备
第三位,FCB,翻译过来是“帧的计数位”,但实际上不是用来计数而是用来纠错的。如果是response的话则为保留位
第四位,FCV,这一位说明FCB是否有效,在上图中为0,就表示FCB未开启。如果是response的话则为DFC,数据链路层是否发生缓冲区溢出
后四位,控制方法码,这个码可没有S7comm的功能码那么“变态”,它并不直接指示功能,只是对包进行分类而已,更像是Type,
对于主设备来说
0,链路重置
1,进程重置
3,请求发送数据
4,直接发送数据
9,查询当前链路的状态
对于从设备来说
0,同意
1,拒绝
11,回应当前链路状态
- Destination,目标地址,16位
- Source,源地址,也是16位
- checksum,校验码,DNP3采用的是CRC算法
到此数据链路层结束,接下来又冒出来个TC(Transport control),看这个名字就知道是要仿照OSI的传输层,不过这个比起上面可要简单很多,实现的功能主要就是标注当前的包是第几个包。
- 第一位是final,标识是否为最后一个包
- 第二位是first,标识是否为最后一个包
- 后六位为seq,表明当前是第几个包
这里可以注意到一个小细节,本来六位标识的话,包的数量为2的6次方,也就是0到63,乍一看好像是一次最多拆分成这么多包,但是因为有first位、final位,只要final位不为1,那就可以一直传啊!事实上也是如此,在真实情况中,传到63后,下一个包会从0再继续。所以这个设计可太巧妙了,乍一看是“浪费”了两位,实际上反倒是彻底解除了位数的限制。
接下来到了DNP3的应用层的应用层,别觉得很怪,人家就是这么起的名字……
可以看到应用层结构还是比较清晰的,
主要有以下几部分组成:
- control 控制字,按位分为以下:
第一位,first,表明是否为第一个
第二位,final,表明是否为最后一个
第三位,confirm,表明是否需要回复,图中即表示不需要回复
第四位,unsolicited,表明是否为主动提出的
后四位,seq,为队列号,这里的设计和上面传输层的类似,同样可以支持大于2的四次方的包的数量
- function code,最最最最重要的字段,指明功能,图中为0x01,即读取数据,0x2就是写数据,这里不再详细说明,在具体的流量分析中我们再来细看
- read request data object,即要读的数据对象,这里用了qualifier用来限制要读取的对象是什么,个人觉得这里说是数据对象倒不如说是对数据对象的限制。这里wireshark的解析同样有点问题,应该是
object、qualifier、range各为一个字段,但wireshark把他们都套进去了,我们还是按分开的来分析。object,即对象,它主要有两部分组成:
Obj,即图中的0x3c,这里是数据的基本类型,比如离散还是模拟
var,即图中的0x02,进一步说明数据的类型,比如是模拟的话,那你是32位还是64位
到这就可以完整的说明数据的类型了,接下来就是限定词,给出了一系列的限制。
- 第一位,保留,wireshark同样没有给出解析信息
- 三位,限定码,这个不太好理解,简单点说是表明一个数据对象的索引的字节数
- 后四位,range,也就是指定的范围的意思,。往后就是最后的对象了,这个包中并没有,之后会看到。
到这里我们就把DNP3的细节过了一遍,可以看到,DNP3在自己的应用层又搭建一个简易的协议栈用来传输数据,让他有了自己的数据检测、数据分段功能,虽然有很多巧妙的设计带来了传输的帮助,但是其略显繁琐的设计必定要也会导致性能的下降,同时我们也可以看到,它在安全性方面,实在是没什么保障。