概述：西門子PLC使用私有協(xié)議進行通信，端口為102。西門子PLC協(xié)議有3個版本，S7Comm協(xié)議，早期S7CommPlus協(xié)議和最新的S7CommPlus協(xié)議。S7-200、S7-300、S7-400系列的PLC采用早期的西門子私有協(xié)議S7comm進行通信，S7-1200系列v3.0版本之前的通信協(xié)議采用早期S7Comm-Plus協(xié)議，S7-1200系列v4.0版本、S7-1500系列采用了最新的S7Comm-Plus協(xié)議，最新的S7Comm-Plus協(xié)議引入了會話ID來防止重放攻擊，且對關鍵流量有加密處理，該部分的內容從2017年以來就有多名研究員進行了闡述，網絡上相關的文章也比較多。但對S7Comm-Plus協(xié)議在工控環(huán)境下使用最多的業(yè)務流量分析較為缺乏，本文以工控常見業(yè)務場景為例，分析Wincc V7.4作為上位機對PLC數據區(qū)的訪問操作，現(xiàn)實場景中工控流量占比最大的也是上位機的SCADA環(huán)境對下位機PLC數據區(qū)的一些讀寫操作，而非組態(tài)軟件對PLC的啟停、下裝上載操作，只有在調試運維過程中才會使用組態(tài)軟件。

　　1

　　環(huán)境配置

　　整個協(xié)議分析的基本環(huán)境配置如下：Win7 x64虛擬機：

　　PLC：S7-1200,6ES7214-1AG40-0XB0

　　Firmware: V4.2.3

　　Software：Wincc V7.4

　　S7Comm-Plus Wiresharkdissector plugin: V0.0.8

　　配置環(huán)境搭建的框架圖如下所示，通過交換機連接SCADA上位機與S7-1214C的PLC，wireshark安裝在連接鏡像端口的PC機中，wireshark中導入S7Comm-Plus的解析插件。

　　2

　　對數據區(qū)的讀變量操作

　　本文所述的數據區(qū)特指S7系列PLC中的DB塊、M區(qū)（I區(qū)、Q區(qū)與M區(qū)類似）。Wincc對PLC的讀變量操作，首先需要組態(tài)Wincc V7.4在畫面中建立輸出控件，關聯(lián)上PLC的對應地址變量，運行系統(tǒng)后在控件中就可讀取對應變量的值，如下所示：

　　組態(tài)讀取MD92地址處的變量值，讀取變量的操作碼Opcode為0X31，F(xiàn)unction為CreateObject（0x04ca），尋找第7個Attribute屬性中ID Number字段SubscriptionReferenceList。

　　展開SubscriptionReferenceList的詳細描述，在SubscriptionList下包含了具體的訪問區(qū)域與詳細地址信息，Accessbase-area區(qū)域顯示M區(qū)（0x52），Blob startoffset為92，表示M區(qū)中的訪問地址，讀取字節(jié)數Blob bytecount為2，表示讀取兩個字節(jié)長度。

　　組態(tài)讀取DB59999.DBW6地址處的變量值（wincc對于DB塊進行讀取操作必須不加入優(yōu)化，DB塊中的變量必須有確定分配的地址），讀取變量的操作碼Opcode為0X31，F(xiàn)unction為CreateObject（0x04ca），尋找第7個Attribute屬性中ID Number字段SubscriptionReferenceList。

　　展開SubscriptionReferenceList的詳細描述，在SubscriptionList下包含了具體的訪問區(qū)域與詳細地址信息，Accessbase-areaa區(qū)域經過算法解析后得到0x8a0eea5f,表示DB59999（原始數據幀中字節(jié)為0x88 d0 bb d4 5f），Blob startoffset為6，表示DB5999中的訪問地址，讀取字節(jié)數Blob bytecount為2，表示讀取兩個字節(jié)長度。

　　備注：VLQ相關編碼算法可參考S7Comm-plus wireshark插件的源碼，源碼地址https://sourceforge.net/p/s7commwireshark/code/HEAD/tree/trunk/src/

　　3

　　對數據區(qū)的寫變量操作

　　Wincc對PLC的寫值操作一般會在畫面中建立輸入控件，關聯(lián)上PLC的對應地址變量，在控件中寫值，按enter鍵后寫入成功，如下所示：

　　在MD92寫入變量過程中抓取到請求數據幀

　　寫入變量的操作碼Opcode為0X31，F(xiàn)unction為SetMultiVariables（0x0542），Access base-areaa字段顯示為M區(qū)（0x52），寫入地址Blob startoffset為92，寫入字節(jié)數Blob bytecount為4，寫入的值為value：0x0001046a。

　　在DB59999.DBW6地址處寫入變量過程中抓取到請求數據幀，（Wincc寫DB塊必須保證DB塊不優(yōu)化，有自己的實際地址）

　　寫入變量的操作碼Opcode為0X31，F(xiàn)unction為SetMultiVariables（0x0542），Access base-areaa字段顯示為DB59999（0x8a0eea5f），寫入地址Blob startoffset為6，寫入字節(jié)數Blob bytecount為2，寫入的值為value：0x8235。

　　4

　　流量中關鍵點提取

　　從以上的分析中可以總結如下表格，不論是工業(yè)防火墻還是審計系統(tǒng)，均需要將關鍵字段識別并加入至白名單中，在S7Comm-plus協(xié)議的流量中，識別表格中的關鍵信息就能命中各種業(yè)務操作，比如讀M區(qū)變量、寫Q區(qū)變量等。但是想和實際工藝場景結合，比如命中流量中對污水處理加藥間加藥量閥門的操作需要做進一步的工作。

　　5

　　總結

　　本文以Wincc V7.4作為上位機，調用S7Comm-plus的驅動訪問S7-1200系列PLC，具體訪問了PLC的DB塊、M區(qū)等，在訪問過程中通過wireshark抓取對應報文，并做了簡單分析，并通過表格形式總結出S7Comm-plus訪問西門子系列PLC常用數據區(qū)的關鍵字段，在工業(yè)安全產品中要解析或者捕獲流量是需要命中這些字段，通過這些字段關聯(lián)到對應的操作區(qū)域。但如果想再次區(qū)分流量中對M區(qū)的哪個地址寫入了什么數據還需要深入解析后續(xù)的value字段。如若需要和工藝流程聯(lián)動，還需要將工程點表和安全產品中的命中規(guī)則聯(lián)動和融合，這樣才能更接近工業(yè)現(xiàn)場。