基于Wireshark與Nmap的工業(yè)協(xié)議分析與工業(yè)漏洞挖掘的實現(xiàn)

０引言隨著工業(yè)控制系統(tǒng)的通用化、網(wǎng)絡(luò)化和智能化發(fā)展，工業(yè)控制系統(tǒng)信息安全形勢日漸嚴峻。一方面?zhèn)鹘y(tǒng)的互聯(lián)網(wǎng)信息安全威脅正在向工業(yè)控制系統(tǒng)蔓延，另一方面針對關(guān)鍵基礎(chǔ)設(shè)施及其控制系統(tǒng)，以竊取敏感信息和破壞關(guān)鍵基礎(chǔ)設(shè)施運行為主要目的攻擊愈演愈烈。近年來發(fā)生了一系列針對工控網(wǎng)絡(luò)的攻擊行為，如2010年伊朗核設(shè)施遭遇了前所未有的嚴重攻擊，國際核能組織發(fā)現(xiàn)伊朗的濃縮鈾工廠的離心機不斷被破壞，報廢的數(shù)量接近伊朗濃縮鈾工廠離心機總數(shù)的1/4。這就是震驚全世界的著名的“Stuxnet（震網(wǎng)）”病毒武器的攻擊，從此針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)信息安全事件引起了全世界的高度關(guān)注。震網(wǎng)病毒能過被感染的U盤或移動介質(zhì)進入伊朗核設(shè)施網(wǎng)絡(luò)。當U盤或移動介質(zhì)插入計算機時，震網(wǎng)病毒通過Windows系統(tǒng)自動播放特性被植入伊朗核設(shè)施網(wǎng)絡(luò)，然后在網(wǎng)絡(luò)中不斷復制并感染其他設(shè)備。震網(wǎng)病毒在伊朗核設(shè)施網(wǎng)絡(luò)中尋找西門子公司的STEP7控制軟件，并經(jīng)過欺騙和控制該軟件達到破壞的目的。西門子公司的STEP7軟件用于控制伺服馬達、電路開關(guān)和氣體液體閥門，廣泛應(yīng)用于各行各業(yè)。該病毒找到西門子控制軟件后，截獲控制軟件給可編程邏輯控制設(shè)備（ProgrammableLogicController，PLC）的指令，找出并識別應(yīng)用在離心機上的軟件發(fā)出虛假指令，使得離心機轉(zhuǎn)速不正常而造成設(shè)備損壞。在一系列工業(yè)信息安全事件爆發(fā)后，工信部在2011年下發(fā)了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，要求各級政府和國有大型企業(yè)切實加強工業(yè)控制系統(tǒng)安全管理。對于工業(yè)企業(yè)而言，工業(yè)控制信息系統(tǒng)安全還是一個全新的領(lǐng)域，在技術(shù)工具、設(shè)備設(shè)施以及人員等方面缺乏儲備，同時缺乏相關(guān)的標準和規(guī)范，因此迫切需要開展相關(guān)的基礎(chǔ)研究和產(chǎn)品開發(fā)，以支持用戶開展相關(guān)工作。Wireshark與Nmap是網(wǎng)絡(luò)開發(fā)和信息安全技術(shù)人員最常用的工具之一，能從二進制報文中分析并提取有效信息，并結(jié)合報文插件或漏洞數(shù)據(jù)庫匹配相應(yīng)的結(jié)果，因此廣泛應(yīng)用于工控信息安全。然而，Wireshark與Nmap是兩個分立的工具，兩者結(jié)合使用中存在一定的不便，同時在解析工業(yè)控制系統(tǒng)特殊的工業(yè)協(xié)議時，Wireshark存在解析不全或不完整的情況。Nmap原生自帶的腳本數(shù)量有限，但支持開發(fā)自定義的探測腳本進行自主漏洞挖掘。１工控信息安全的現(xiàn)狀分析工業(yè)控制網(wǎng)絡(luò)是工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)部分，是一種把工廠中各個生產(chǎn)流程和自動化控制系統(tǒng)通過各種通信設(shè)備組織起來的通信網(wǎng)絡(luò)。工業(yè)控制系統(tǒng)包括工業(yè)控制網(wǎng)絡(luò)和所有的工業(yè)生產(chǎn)設(shè)備，而工業(yè)控制網(wǎng)絡(luò)只側(cè)重工業(yè)控制系統(tǒng)中組成通信網(wǎng)絡(luò)的元素，包括通信節(jié)點（如數(shù)據(jù)采集與監(jiān)控系統(tǒng)、分布式控制系統(tǒng)、可編程控制器、遠程終端以及人機交互界面設(shè)備等）、通信網(wǎng)絡(luò)（包括現(xiàn)場總線、以太網(wǎng)以及各類無線通信網(wǎng)絡(luò)等）以及的通信協(xié)議（包括Modbus、Profibus等）。企業(yè)生產(chǎn)網(wǎng)部署的工業(yè)控制系統(tǒng)一般包括4個層次，分別是現(xiàn)場設(shè)備層、現(xiàn)場控制層、過程監(jiān)控層和生產(chǎn)執(zhí)行層。工業(yè)控制系統(tǒng)所在的機構(gòu)或單位同時建立了與外部網(wǎng)絡(luò)相連的生產(chǎn)信息網(wǎng)，使用戶可以通過網(wǎng)絡(luò)查詢信息?，F(xiàn)階段，工業(yè)控制系統(tǒng)環(huán)境已經(jīng)擺脫以往信息孤島的模式，與IT網(wǎng)絡(luò)相連接，實現(xiàn)了大范圍的協(xié)同控制，以提高生產(chǎn)效率。同時，機構(gòu)或單位通過網(wǎng)絡(luò)與分支機構(gòu)、合作伙伴、外網(wǎng)用戶的聯(lián)系越來越多，這時內(nèi)部網(wǎng)絡(luò)/工控網(wǎng)絡(luò)的安全性將受到考驗。網(wǎng)絡(luò)上的不法分子不斷尋找網(wǎng)絡(luò)上的漏洞，企圖潛入內(nèi)部網(wǎng)絡(luò)與工控網(wǎng)絡(luò)。一旦內(nèi)部網(wǎng)絡(luò)或工控網(wǎng)絡(luò)被人攻破，一些機密的資料可能會被盜，將破壞網(wǎng)絡(luò)和工業(yè)生產(chǎn)環(huán)境。２工業(yè)控制系統(tǒng)的風險監(jiān)測當前工業(yè)控制系統(tǒng)安全面臨嚴峻威脅，需要對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)進行安全監(jiān)測，發(fā)現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)內(nèi)部的安全威脅和存在的漏洞，從而采取相關(guān)的防護措施或修復相關(guān)漏洞，確保工業(yè)控制系統(tǒng)的設(shè)備和數(shù)據(jù)的安全。2.1工控網(wǎng)絡(luò)安全監(jiān)測相關(guān)技術(shù)通過研究工業(yè)控制系統(tǒng)安全監(jiān)測技術(shù)，形成對工業(yè)控制系統(tǒng)的重點區(qū)域、重點企業(yè)、重點平臺及重點設(shè)備的安全監(jiān)測能力。通過采集工業(yè)控制系統(tǒng)網(wǎng)絡(luò)流量，對物理地址、工控協(xié)議指紋、報文方向以及協(xié)議特征等進行研究分析，識別資產(chǎn)的類別、廠商以及固件版本等信息，進一步識別資產(chǎn)可能存在的已知漏洞信息。需聯(lián)合與資產(chǎn)關(guān)聯(lián)的入侵告警、審計告警和白名單基線告警多維信息，對資產(chǎn)風險等級做出綜合評估。對工業(yè)協(xié)議做指令級深度解析，是監(jiān)測系統(tǒng)實現(xiàn)資產(chǎn)識別、入侵檢測、創(chuàng)建基線以及監(jiān)測與審計的技術(shù)基礎(chǔ)，主要分析技術(shù)的以下幾個層級。（1）針對工業(yè)控制系統(tǒng)特有的工業(yè)協(xié)議（如MODBUS、S7、FINS以及GE等），通過規(guī)格識別、逆向分析等手段，厘清報文特征與業(yè)務(wù)操作的內(nèi)在關(guān)系。（2）結(jié)合工業(yè)控制系統(tǒng)中各作業(yè)單元網(wǎng)絡(luò)流量數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)，針對不同的工控網(wǎng)絡(luò)安全與業(yè)務(wù)安全異常場景，選取隨機森林、決策樹、K-means、神經(jīng)網(wǎng)絡(luò)等機器學習或深度學習算法或混合算法，學習生成工控系統(tǒng)安全異常檢測模型。（3）采集工業(yè)控制系統(tǒng)各作業(yè)單元網(wǎng)絡(luò)流量數(shù)據(jù)，通過工控協(xié)議深度解析技術(shù)與會話還原技術(shù)，對網(wǎng)絡(luò)流量數(shù)據(jù)中的網(wǎng)絡(luò)連接、工控指令、重要業(yè)務(wù)以及通信方向等關(guān)鍵信息生成工業(yè)控制系統(tǒng)安全行為基線，實現(xiàn)對偏離安全行為基線的異常行為的實時檢測。2.2工控網(wǎng)絡(luò)安全分析方法2.2.1工業(yè)協(xié)議網(wǎng)絡(luò)報文分析Wireshark（前稱Ethereal）是一個網(wǎng)絡(luò)抓包分析軟件。網(wǎng)絡(luò)抓包分析軟件的功能是抓取網(wǎng)絡(luò)報文，并盡可能顯示最詳細的網(wǎng)絡(luò)報文信息。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進行數(shù)據(jù)報文交換。網(wǎng)絡(luò)管理員使用Wireshark檢測網(wǎng)絡(luò)問題，網(wǎng)絡(luò)安全工程師使用Wireshark檢查資訊安全相關(guān)問題，開發(fā)者使用Wireshark為新的通信協(xié)定除錯，普通使用者使用Wireshark學習網(wǎng)絡(luò)協(xié)定的相關(guān)知識。2.2.2工業(yè)網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)與漏洞挖掘Nmap是一個免費開放的網(wǎng)絡(luò)掃描和嗅探工具，也叫網(wǎng)絡(luò)映射器（NetworkMapper）。它由3個基本功能，一是探測一組主機是否在線，二是掃描主機端口嗅探所提供的網(wǎng)絡(luò)服務(wù)，三是可以推斷主機所用的操作系統(tǒng)。通常網(wǎng)絡(luò)管理員利用Nmap評估網(wǎng)絡(luò)系統(tǒng)安全，而黑客則用其掃描網(wǎng)絡(luò)，通過向遠程主機發(fā)送探測數(shù)據(jù)包獲取主機的響應(yīng)，并根據(jù)主機的端口開放情況得到網(wǎng)絡(luò)的安全狀況，尋找存在漏洞的目標主機，實施下一步的攻擊。Nmap掃描工具支持擴展，因此開發(fā)者可以自主開發(fā)探測腳本。通過自主開發(fā)的腳本，開發(fā)者可以對工業(yè)控制系統(tǒng)中的工控設(shè)備進行掃描識別，從而發(fā)現(xiàn)工控設(shè)備的相關(guān)信息，如廠家、型號以及版本等，再結(jié)合相關(guān)漏洞庫，可以快速匹配工控設(shè)備的相關(guān)漏洞。對尚未被挖掘的漏洞，結(jié)合Wireshark對工業(yè)協(xié)議報文的分析，可以通過Nmap編寫腳本直接進行探測，如拒絕服務(wù)、緩沖區(qū)溢出以及弱管理員密碼等漏洞。Nmap是一個自主挖掘工業(yè)漏洞十分有用的工具。３WireNmap的開發(fā)與實現(xiàn)Wireshark與Nmap在工業(yè)協(xié)議分析與工業(yè)漏洞挖掘中是強有力的互補，而實際中兩個軟件是分立的，導致其使用效率偏低。在工業(yè)控制系統(tǒng)的應(yīng)用中，Wireshark軟件對工業(yè)協(xié)議支持不完整或不全面，而Nmap自帶漏洞探測腳本有限，但其支持自主開發(fā)針對工業(yè)控制系統(tǒng)的腳本。3.1Wireshark源碼結(jié)構(gòu)Wireshark源碼軟件組成，如圖1所示。圖1Wireshark源碼框架圖1中，Core為核心調(diào)度模塊，包括報文的捕獲（Capture）、報文分析（Epan）、報文讀取與存儲（Wiretap）、界面交互與呈現(xiàn)（GTK/Qt），具體模塊的具體功能如表1所示。表1Wireshark各模塊功能3.2Nmap源碼結(jié)構(gòu)Nmap的執(zhí)行流程采用流水式的順序執(zhí)行方法，執(zhí)行的入口在nmap_main()處。Nmap的執(zhí)行流程可以分為準備階段、執(zhí)行階段和結(jié)束階段3個階段。準備階段解析掃描輸入?yún)?shù)，根據(jù)輸入?yún)?shù)初始化系統(tǒng)資源、初始掃描IP地址與端口、初始化腳本執(zhí)行環(huán)境，形為掃描任務(wù)列表。執(zhí)行階段根據(jù)準備階段產(chǎn)生的任務(wù)列表，順序執(zhí)行相關(guān)任務(wù)，直到所有的任務(wù)完成后退出主循環(huán)。結(jié)束階段對所有掃描任務(wù)進行統(tǒng)計與分析，然后打印出掃描的最終結(jié)果，并釋放分配的資源。3.3WireNmap軟件的實現(xiàn)WireNmap集成了自主研發(fā)的報文分析插件與掃描探測腳本，為工業(yè)控制系統(tǒng)漏洞分析提供更深層次的分析與漏洞挖掘能力。WireNmap軟件集成了原生的Wireshark與Nmap的所有功能，且在此基礎(chǔ)上WireNmap實現(xiàn)了IP資產(chǎn)統(tǒng)計，即對網(wǎng)絡(luò)中發(fā)現(xiàn)的所有IP地址以列表的形式進行呈現(xiàn)。該IP資產(chǎn)列表可直接點擊進行Nmap掃描與分析，有利于進一步獲取更深層次的信息，同時實現(xiàn)了Wireshark與Nmap的無縫銜接。４基于WireNmap的工業(yè)協(xié)議分析WireNmap集成了自主研發(fā)的報文解析插件，如S7協(xié)議解析插件、OPC協(xié)議TAG深度解析插件等。4.1S7協(xié)議解析插件在工業(yè)環(huán)境中，S7Communication協(xié)議（后文簡稱為S7）和OPC都被廣泛應(yīng)用于石油、鋼鐵和制造等行業(yè)。S7協(xié)議是一種私有協(xié)議，在西門子生產(chǎn)制造的設(shè)備和系統(tǒng)中主要用于PLC之間的數(shù)據(jù)交互以及SCADA系統(tǒng)對PLC的管理、診斷與監(jiān)控。OPC已經(jīng)成為工控界的一種標準，目前世界上著名的自動化廠商都有應(yīng)用該標準。針對S7和OPC，WireNmap在Wireshark基礎(chǔ)上進行了二次開發(fā)，增加了對S7和OPC的解析深度。S7協(xié)議通過RFC1006協(xié)議的形式建立TCP/IP的ISO七層模型下的S7連接。它的通信過程包括TCP連接進行3次握手建立TCP連接、ISO層建立連接、S7協(xié)議發(fā)出連接請求并建立連接以及S7協(xié)議進行設(shè)備的數(shù)值讀寫4個步驟。S7PDU封裝于ISO層內(nèi)，因此在S7前會增加TPKT固定幀頭和COTP層幀頭，結(jié)構(gòu)如圖2所示。圖2S7協(xié)議報文結(jié)構(gòu)TPKT幀頭長度為4Byte。第1字節(jié)表示TPKT版本號，第2字節(jié)為保留字段，第3字節(jié)和第4字節(jié)表示數(shù)據(jù)長度。COTP幀類型有10種，在S7協(xié)議報文中常見的有0xe0（請求連接）、0xd0（請求確認）和0xf0（PDU數(shù)據(jù)傳輸）共3種，僅在ISO層建立連接完成。進行數(shù)據(jù)傳輸時，即PDU類型為0xf0（PDU數(shù)據(jù)傳輸）時搭載S7協(xié)議報文，結(jié)構(gòu)如圖2所示。圖2中，COTP幀頭長度為3Byte，第1字節(jié)表示長度，第2字節(jié)表示PDU類型，第3字節(jié)低7位表示TPDU編號，第3字節(jié)第8位表示是否為最后一個單元。最后一部分是PDUdata搭載S7協(xié)議。S7協(xié)議分由固定頭部、參數(shù)區(qū)和數(shù)據(jù)區(qū)3個部分組成。從圖2可知，在幀頭類型為Userdata時，數(shù)據(jù)區(qū)仍有一串無法解析的數(shù)據(jù)，需針對這部分數(shù)據(jù)展開進一步解析。為得到圖2中數(shù)據(jù)段未被解析的結(jié)果，將未解析部分分為未知字段和已知字段兩部分。未知字段為暫時不清楚的不可解析部分，已知字段為可通過二次開發(fā)進行解析的部分。已知字段中包含數(shù)據(jù)點個數(shù)、地址段和值段3部分，可采用以下方法獲取每個字段：（1）獲取未知字段和已知字段長度，第1字節(jié)和第2字節(jié)為未知字段長度，第3字節(jié)和第4字節(jié)為已知字段長度，并確保兩個長度之和與余下長度之和相等；（2）獲取已知字段的數(shù)據(jù)點個數(shù)，已知字段數(shù)據(jù)點個數(shù)占2Byte；（3）拆分地址段，地址段分為空間類型和地址兩個部分，空間類型取剩余第1個字節(jié)的最高位，根據(jù)表2得到空間類型，地址為后續(xù)的4Byte。表2空間類型對照表拆分值段，值段前3個字節(jié)跳過，取值段第4字節(jié)為值的長度。S7原生Wireshark未解析報文，如圖3所示。以圖3中數(shù)據(jù)段未解析的十六進制部分拆分為例進行方法說明，如圖4所示。圖3S7原生Wireshark未解析報文圖4S7協(xié)議未解析段數(shù)據(jù)結(jié)構(gòu)（1）第1字節(jié)和第2字節(jié)為第一區(qū)字段的長度20（0x0014），第3字節(jié)和第4字節(jié)為第二區(qū)字段的長度14（0x000e），點表數(shù)據(jù)在第二區(qū)；（2）從第5字節(jié)起為第一區(qū)字段，第一區(qū)字段長度為20個字節(jié)，跳過20個字節(jié)；（3）從25字節(jié)開始，25、26字節(jié)為數(shù)據(jù)點個數(shù)，十六進制表達為0x0001，轉(zhuǎn)換為十進制為1，即后續(xù)數(shù)據(jù)點個數(shù)只有1個，則地址段和值段分別只有一個點；（4）讀取地址段的空間類型，取0x22&0xf0，根據(jù)表2得到空間類型；（5）地址值按照圖中標識部分為0x00000206，換算成十進制為518；（6）讀取值段，值段的第3字節(jié)即圖4中的0x02為值的長度，換算為十進制，值的長度為2；（7）讀取值為0x2acd。根據(jù)該方法，圖3中的未解析字段在經(jīng)過二次開發(fā)后結(jié)果如圖5所示，可以得到點的個數(shù)、地址和值。圖5S7協(xié)議二次解析后前后對比可見，經(jīng)過開發(fā)后，S7插件可以讀取空間類型、地址以及數(shù)值等更多信息。在實際工業(yè)控制系統(tǒng)中，這些信息可以對應(yīng)實際的溫度、壓力以及轉(zhuǎn)速等信息，因此可以更好地對工業(yè)控制系統(tǒng)進行指令級分析。4.2OPC協(xié)議OPC是基于微軟組件對象COM/DCOM/COM+等技術(shù)基礎(chǔ)的一種接口標準，在標準下能夠有效的進行信息集成和數(shù)據(jù)交換。在工業(yè)控制系統(tǒng)中，OPC協(xié)議規(guī)范中主要應(yīng)用的是OPCDA規(guī)范。在OPCDA規(guī)范中，OPC由OPC服務(wù)器中包含OPC組，組內(nèi)有一個或多個對象，其結(jié)構(gòu)如圖6所示。圖6OPC對象結(jié)構(gòu)組成在OPCDA規(guī)范中，IOPCItemMgt類型報文在客戶端執(zhí)行添加、刪除對象時，協(xié)商客戶端和服務(wù)器對象的句柄，在協(xié)商完成后，后續(xù)通信都通過句柄對該對象執(zhí)行修改。由圖7可知，Wireshark并未對句柄進行解析。圖7OPC原生Wireshark未解析報文示例本文通過以下方法可以獲取句柄和句柄相關(guān)的對象名稱。（1）確認報文類型為IOPCItemMgt，并獲取對象個數(shù)，取未解析內(nèi)容的第一個十六進制值；（2）通過報文中的固定位獲取報文中的對象個數(shù)；（3）handle長度固定，則獲取相對固定位置的handle值；（4）獲取每個handle對應(yīng)名稱。以圖8為例來進行方法說明。（1）確認報文類型為IOPCItemMgt，將內(nèi)容移動到示例中stubdata的起始位置，以stubdata顯示的0x05為第1字節(jié)；（2）向后移動32位為OPC對象個數(shù)，如圖6所示該報文中對象個數(shù)為1；（3）句柄隊列是一個32位數(shù)值，起始位置從第52字節(jié)起，如圖6所示，句柄為0x909fe400；（4）句柄隊列中，每隔28字節(jié)為一個句柄值讀取點，本文中只有1個對象，則只有一個句柄值，則直接跳過28字節(jié)；（5）再跳過空白16個字節(jié)，在第91字節(jié)獲取對象名稱長度為0x0e000000，由于是小端的十六進制值，換算成十進制為14，則對象的名稱長度為14；（6）跳過12個無關(guān)字節(jié)，以ASCII碼方式獲得名稱，在圖7中名稱為NewAlias1.1。（7）得到的OPC句柄和對象名稱與未進行二次開發(fā)的OPC報文對比圖，如圖8所示。圖8OPC二次開發(fā)前后對比由圖8可知，經(jīng)過開發(fā)后的WireNmap軟件可以獲取OPC協(xié)議的TAG名字、數(shù)據(jù)類型以及數(shù)值等更多信息。在實際的工業(yè)控制系統(tǒng)中，該信息可以與實際物理量進行轉(zhuǎn)換，從而獲取更多的數(shù)量信息。５基于WireNmap的工業(yè)漏洞掃描技術(shù)WireNmap同時集成了自主研發(fā)的漏洞掃描腳本插件，如NSE腳本。5.1NSE腳本簡介一個完整的NSE腳本包括描述性字段、行腳本的rule以及實際腳本指令的action等多個模塊，如圖9所示。它的各個模塊的主要的功能如表3所示。圖9NSE腳本組成表3NSE腳本各個模塊的主要的功能5.2WireNmap漏洞挖掘技術(shù)以國家信息安全漏洞共享平臺的CVE-2017-12617為例，該漏洞稱之為ApacheTomcat遠程代碼執(zhí)行漏洞。當ApacheTomcat服務(wù)器中的http進行put請求時，可以遠程將java的jsp格式代碼上傳至服務(wù)器端，進而達到在服務(wù)器上任意執(zhí)行代碼的目的。此漏洞屬于高危洞，對服務(wù)器的影響很大，因此探測發(fā)現(xiàn)該漏洞并且采取合適的修補措施十分有意義。5.2.1腳本準備工腳本準備工作包括一些包的引用（如http、Nmap、stdnse等等）、description部分以及nsedoc部分，還有腳本的作者、種類以及l(fā)icense。這部分主要是明確腳本的一些細節(jié)，為下面的腳本主體內(nèi)容做一些鋪墊。其中，description從CVE中摘錄而來，可以非常好地幫助理解腳本的原理以及運行機制，具體如圖10所示。圖10NSE腳本首部5.2.2腳本portrule這部分主要涉及一些特定的端口以及端口上的服務(wù)，在對服務(wù)器的訪問中涉及到http，因此端口的選取是幾個有關(guān)http服務(wù)的端口，具體如下：portrule=shortport.port_or_service({80,8080},”http”)一般來說，在ApacheTomcat服務(wù)器安裝時會有默認的運行端口，端口一般為8080，有時會存在該端口被其他應(yīng)用占用的情況，這時服務(wù)器啟動后不能正常工作，可以在ApacheTomcat的文件中進行默認端口的修改。5.2.3腳本action這是整個腳本的核心部分，利用put請求發(fā)送一個jsp格式的文件，之后判斷服務(wù)器對http的put請求返回的響應(yīng)碼，若為201，說明此時服務(wù)器已經(jīng)接受請求，對文件名以及一些細節(jié)輸出即可，如圖11所示。查看該腳本在Nmap中的運行結(jié)果，如圖12所示。圖11NSE腳本主體圖12NSE腳本運行結(jié)果明顯可以看到，文件的內(nèi)容是開始時腳本中寫好的，充分說明該版本的服務(wù)器存在巨大的漏洞。當put請求成功時，可以上傳任意的jsp格式代碼至服務(wù)器端，并且可以在服務(wù)器上運行。當打開存放文件的ApacheTomcat目錄時，可以看到chen.jsp位列其中。?針對發(fā)現(xiàn)的漏洞，如何規(guī)避或修復此漏洞，可以簡單總結(jié)為兩個方面。一方面，對ApacheTomcat服務(wù)器進行升級，只要選取合適的版本就可以避免此漏洞。另一方面，訪問ApacheTomcat文件中的conf文件夾找到web.xml，修改其中的參數(shù)“readonly”值為true，拒絕文件寫入。６基于WireNmap的資產(chǎn)管理與聯(lián)合分析技術(shù)工業(yè)控制系統(tǒng)中的安全威脅分析中，常有的工具有Wireshark與Nmap。Wireshark能抓取二進制報文，Nmap能探測設(shè)備存活并對設(shè)備進行深度掃描，并能發(fā)現(xiàn)各種類型網(wǎng)絡(luò)設(shè)備的漏洞。使用中通常先使用Wireshark進行分析，再通過Nmap進行深度探測，然后根據(jù)兩者結(jié)果進行聯(lián)合分析，從而全面分析工業(yè)控制系統(tǒng)的安全威脅。WireNmap集成的Wireshark與N