工控安全 技术分享

DNP3设备公网暴露情况统计与分析报告

简介

DNP3协议是一个广泛应用于电力系统中子站与主站通讯的协议,因为DNP3协议可以封装在以太网TCP/IP上运行(默认端口为tcp的20000端口),这样难免就会有暴露在公网的情况,而DNP3协议也比较特殊,其主要应用在电力行业,想必在暴露的数据中肯定不乏一些电力行业的设备、系统等,目前Shodan可以检索到全互联网被规则识别为DNP3协议(即搜索port:20000端口)的数据。在之前的博文中也介绍了Shodan识别DNP3协议的方式,那么我们自己也可以使用类似识别方式来自行统计全网DNP3接入的情况(主要是因为Shodan数据的实效性比较低、账户限制等)。

扫描情况简介

本次的扫描范围为全网IPv4地址,进行了2次统计,第一次在2014年的12月中旬,发现符合DNP3协议要求的数据有169条,响应正确控制字(Control code: 11,目的地址正确,设备成功响应连接请求,即能未来可能使用协议直接修改或读取数据)的设备数据有96条,第二次在2015年的1月初发现符合DNP3协议要求的数据有164条,响应正确控制字的设备数据有93条,第二次扫描和第一次重合数据有106条(即过了半个月还存活的数据)。

第一次扫描统计

2014年12月中旬数据统计

国家 暴露数量
美国 76
斯洛伐克 26
韩国 10
意大利 9
墨西哥 6
挪威 5
土耳其 5
加拿大 4
中国 4
保加利亚 3
希腊 3
英国 3
法国 2
以色列 2
西班牙 2
巴西 1
波兰 1
丹麦 1
比利时 1
捷克 1
哥斯达黎加 1
澳大利亚 1
危地马拉 1
芬兰 1

图形化统计分布如下图:
DNP3_ICSMAP_2014_12

第二次扫描统计

2015年1月初数据统计

国家 暴露数量
美国 64
斯洛伐克 23
意大利 11
韩国 11
墨西哥 9
中国 7
土耳其 7
挪威 5
加拿大 4
台湾 4
保加利亚 3
希腊 3
法国 2
以色列 2
哥斯达黎加 2
英国 2
捷克 1
西班牙 1
巴西 1
波兰 1
危地马拉 1

图形化统计如下图:
DNP3_ICSMAP_2015_1

情报分析

从扫描命中到的数据我们发现,有较高的比率可以从协议方面直接操作数据,包括从设备返回的正确控制字的比率也非常高,同样从数据中也不难找到Sunny WebBox、Elspec等电力监控设备,因为DNP3协议使用的复杂和应用行业比较固定,暴露的数量自然也就比较少了,而说起发掘到的案例也会比其他协议更有危害。

About Z-0ne

Leave a Reply

Your email address will not be published. Required fields are marked *

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据