简介
DNP3协议是一个广泛应用于电力系统中子站与主站通讯的协议,因为DNP3协议可以封装在以太网TCP/IP上运行(默认端口为tcp的20000端口),这样难免就会有暴露在公网的情况,而DNP3协议也比较特殊,其主要应用在电力行业,想必在暴露的数据中肯定不乏一些电力行业的设备、系统等,目前Shodan可以检索到全互联网被规则识别为DNP3协议(即搜索port:20000端口)的数据。在之前的博文中也介绍了Shodan识别DNP3协议的方式,那么我们自己也可以使用类似识别方式来自行统计全网DNP3接入的情况(主要是因为Shodan数据的实效性比较低、账户限制等)。
扫描情况简介
本次的扫描范围为全网IPv4地址,进行了2次统计,第一次在2014年的12月中旬,发现符合DNP3协议要求的数据有169条,响应正确控制字(Control code: 11,目的地址正确,设备成功响应连接请求,即能未来可能使用协议直接修改或读取数据)的设备数据有96条,第二次在2015年的1月初发现符合DNP3协议要求的数据有164条,响应正确控制字的设备数据有93条,第二次扫描和第一次重合数据有106条(即过了半个月还存活的数据)。
第一次扫描统计
2014年12月中旬数据统计
国家 暴露数量 美国 76 斯洛伐克 26 韩国 10 意大利 9 墨西哥 6 挪威 5 土耳其 5 加拿大 4 中国 4 保加利亚 3 希腊 3 英国 3 法国 2 以色列 2 西班牙 2 巴西 1 波兰 1 丹麦 1 比利时 1 捷克 1 哥斯达黎加 1 澳大利亚 1 危地马拉 1 芬兰 1
第二次扫描统计
2015年1月初数据统计
国家 暴露数量 美国 64 斯洛伐克 23 意大利 11 韩国 11 墨西哥 9 中国 7 土耳其 7 挪威 5 加拿大 4 台湾 4 保加利亚 3 希腊 3 法国 2 以色列 2 哥斯达黎加 2 英国 2 捷克 1 西班牙 1 巴西 1 波兰 1 危地马拉 1
情报分析
从扫描命中到的数据我们发现,有较高的比率可以从协议方面直接操作数据,包括从设备返回的正确控制字的比率也非常高,同样从数据中也不难找到Sunny WebBox、Elspec等电力监控设备,因为DNP3协议使用的复杂和应用行业比较固定,暴露的数量自然也就比较少了,而说起发掘到的案例也会比其他协议更有危害。