简介

DNP3协议是一个广泛应用于电力系统中子站与主站通讯的协议，因为DNP3协议可以封装在以太网TCP/IP上运行（默认端口为tcp的20000端口），这样难免就会有暴露在公网的情况，而DNP3协议也比较特殊，其主要应用在电力行业，想必在暴露的数据中肯定不乏一些电力行业的设备、系统等，目前Shodan可以检索到全互联网被规则识别为DNP3协议（即搜索port:20000端口）的数据。在之前的博文中也介绍了Shodan识别DNP3协议的方式，那么我们自己也可以使用类似识别方式来自行统计全网DNP3接入的情况（主要是因为Shodan数据的实效性比较低、账户限制等）。

扫描情况简介

本次的扫描范围为全网IPv4地址，进行了2次统计，第一次在2014年的12月中旬，发现符合DNP3协议要求的数据有169条,响应正确控制字（Control code: 11，目的地址正确，设备成功响应连接请求，即能未来可能使用协议直接修改或读取数据）的设备数据有96条，第二次在2015年的1月初发现符合DNP3协议要求的数据有164条，响应正确控制字的设备数据有93条，第二次扫描和第一次重合数据有106条（即过了半个月还存活的数据）。

第一次扫描统计

2014年12月中旬数据统计

国家 暴露数量
美国 76
斯洛伐克 26
韩国 10
意大利 9
墨西哥 6
挪威 5
土耳其 5
加拿大 4
中国 4
保加利亚 3
希腊 3
英国 3
法国 2
以色列 2
西班牙 2
巴西 1
波兰 1
丹麦 1
比利时 1
捷克 1
哥斯达黎加 1
澳大利亚 1
危地马拉 1
芬兰 1

图形化统计分布如下图：

第二次扫描统计

2015年1月初数据统计

国家 暴露数量
美国 64
斯洛伐克 23
意大利 11
韩国 11
墨西哥 9
中国 7
土耳其 7
挪威 5
加拿大 4
台湾 4
保加利亚 3
希腊 3
法国 2
以色列 2
哥斯达黎加 2
英国 2
捷克 1
西班牙 1
巴西 1
波兰 1
危地马拉 1

图形化统计如下图：

情报分析

从扫描命中到的数据我们发现，有较高的比率可以从协议方面直接操作数据，包括从设备返回的正确控制字的比率也非常高，同样从数据中也不难找到Sunny WebBox、Elspec等电力监控设备，因为DNP3协议使用的复杂和应用行业比较固定，暴露的数量自然也就比较少了，而说起发掘到的案例也会比其他协议更有危害。