王 勇, 馮秀楠, 顧 龍, 成 云, 蘇子然, 朱毅文, 周 林

(1.上海電力大學(xué), 上海 200090; 2.上海云劍信息技術(shù)有限公司, 上海 200433)

憑借著出色的傳輸性能及便捷的通信方式,基于IEEE 802.11標(biāo)準(zhǔn)的無線局域網(wǎng)通信成為人們工作和生活中不可或缺的一部分。但由于無線網(wǎng)絡(luò)在傳輸過程中不受電纜傳輸介質(zhì)的保護(hù),使其與有線網(wǎng)絡(luò)相比更容易受到惡意攻擊。無線局域網(wǎng)的廣播性質(zhì)使其容易受到多種類型的無線注入攻擊[1],一旦攻擊者找到突破點(diǎn)則攻擊成功的可能性很大,從而造成巨大的經(jīng)濟(jì)損失[2]。

無線局域網(wǎng)的安全機(jī)制要求在利用無線局域網(wǎng)進(jìn)行信息傳輸時(shí),應(yīng)將信息安全可靠地發(fā)送到目標(biāo)主機(jī),且被接收后,僅有目標(biāo)主機(jī)能夠?qū)π畔⑦M(jìn)行解碼[3]。近年來,隨著系統(tǒng)漏洞的出現(xiàn),網(wǎng)絡(luò)攻擊的概率大大增加[4]。當(dāng)前無線局域網(wǎng)主要有中間人攻擊(Man-in-the-Middle Attack,MITM)和拒絕服務(wù)(Denial of Service,DoS)。本文將重點(diǎn)關(guān)注MITM攻擊,因?yàn)檫@種類型的攻擊可以包括許多單獨(dú)的攻擊,如干擾攻擊[5-6]、DoS攻擊[7]、蜜罐攻擊等。

Wifi的MITM攻擊一旦發(fā)生在西門子變頻器驅(qū)動(dòng)電機(jī)的無線通信中,可能導(dǎo)致電機(jī)失控,引發(fā)控制電機(jī)的正轉(zhuǎn)、反轉(zhuǎn),甚至停轉(zhuǎn)[8]。在這種狀況下,攻擊者與變頻器建立單獨(dú)的連接并私自建立傳輸,而此時(shí)監(jiān)控電機(jī)的操作界面卻無任何異常,整個(gè)通信過程徹底被攻擊者操控,將會(huì)引發(fā)不可預(yù)知的威脅。

針對(duì)上述問題,本文采用西門子變頻器V20上的西門子SINAMICS V20Wifi Module 智能連接塊,實(shí)現(xiàn)手機(jī)或者操作員站通過Wifi連接西門子V20變頻器,對(duì)西門子變頻電機(jī)的轉(zhuǎn)速、旋轉(zhuǎn)方向、啟停進(jìn)行控制。

1 問題描述

1.1 西門子變頻器無線通信過程

西門子變頻器通過無線模塊與變頻電機(jī)連接實(shí)現(xiàn)通信過程。電機(jī)與SINAMICS V20 變頻器進(jìn)行連接,V20的U,V,W 3個(gè)端子與電機(jī)的U,V,W 3個(gè)端子通過動(dòng)力線相連。通過SINAMICS V20變頻器控制面板上的參數(shù)設(shè)置控制電機(jī)的轉(zhuǎn)速、停轉(zhuǎn)和正反轉(zhuǎn)。 除此之外,還可以通過變頻器上連接的智能無線模塊,使用手機(jī)網(wǎng)絡(luò)端控制電機(jī)的轉(zhuǎn)速等參數(shù)。設(shè)置智能模塊的無線網(wǎng)絡(luò)SSID為“V20 smart access_9306”,在PC或手機(jī)瀏覽器的地址欄中輸入地址(http://192.168.1.1),打開 V20 網(wǎng)頁進(jìn)行連接。

WebSocket是一個(gè)建立于TCP上的層,具有以下功能:提供給瀏覽器一個(gè)基于源的安全模型(origin-based security model);在同一個(gè)端口上可以創(chuàng)立多個(gè)服務(wù),并且將多個(gè)域名關(guān)聯(lián)到同一個(gè)IP,為協(xié)議提供一個(gè)選址的機(jī)制;提供關(guān)閉握手的方式,以適應(yīng)存在中間件的情況;在TCP層上提供了一個(gè)類似 TCP 中的幀的機(jī)制,但是沒有長度的限制。

首先,在連接上Wifi后訪問192.168.1.1,打開第一個(gè)與無線模塊通信的請(qǐng)求包。然后,無線變頻器將會(huì)使用WebSocket協(xié)議發(fā)送第一個(gè)請(qǐng)求包,從端使用javascript腳本進(jìn)行回應(yīng),當(dāng)連接開始后,WebSocket將會(huì)發(fā)送一個(gè)token以保持從端的連接。接下來,當(dāng)服務(wù)端接收到token時(shí)進(jìn)行握手,回傳一個(gè)數(shù)據(jù)包。使用SHA-1 哈希算法對(duì)上一步中新的字符串進(jìn)行哈希。最后,使用 base64 編碼,將最后得到的字符串,放到服務(wù)端響應(yīng)客戶端握手的頭字段 Sec-WebSocket-Accept 中。

1.2 存在的安全風(fēng)險(xiǎn)

一方面,由于無線模塊具有不斷向外發(fā)射SSID信號(hào)的特征,因此很容易被惡意攻擊者發(fā)現(xiàn)并利用。另一方面,變頻機(jī)通信的代理會(huì)篡改WebSocket數(shù)據(jù)包。接下來,本文對(duì)IEEE 802標(biāo)準(zhǔn)下無線通信的安全風(fēng)險(xiǎn)進(jìn)行分析。

802.11協(xié)議簇是國際電氣和電子工程協(xié)會(huì)(IEEE)為無線局域網(wǎng)絡(luò)制定的標(biāo)準(zhǔn)。IEEE 802標(biāo)準(zhǔn)下局域網(wǎng)體系結(jié)構(gòu)如圖1所示。

圖1 IEEE 802標(biāo)準(zhǔn)下局域網(wǎng)體系結(jié)構(gòu)

根據(jù)IEEE 802.11協(xié)議,MAC層幀可以分為管理幀、控制幀和數(shù)據(jù)幀3種類型[9]。只有數(shù)據(jù)幀的有效負(fù)載部分受諸如WEP和WPA /WPA2之類的安全機(jī)制保護(hù),管理幀則容易被破壞、復(fù)制或偽造。因此,在收到偽造的取消身份驗(yàn)證幀后,客戶端會(huì)錯(cuò)誤地認(rèn)為這些幀來自合法AP,然后與合法AP斷開連接[10]。如果攻擊者不斷發(fā)送偽造的取消身份驗(yàn)證幀,則客戶端將永遠(yuǎn)無法連接到合法的AP,很難區(qū)分攻擊。

此外,IEEE 802.11的無線局域網(wǎng)訪問方法和物理層規(guī)范包括IEEE 802.11a和IEEE 802.11b。其中,IEEE 802.11b使用的是2.4 GHz的頻段,該無線頻段被很多電子消費(fèi)產(chǎn)品使用,攻擊者可以利用這些產(chǎn)品造成干擾信號(hào)。此外,攻擊者還可以偽造信號(hào),解除AP和客戶端的連接,使得大量客戶端連接AP,造成擁塞。

2 西門子變頻器攻擊實(shí)驗(yàn)

2.1 MITM攻擊過程

MITM攻擊是指攻擊者在不被通信雙方發(fā)現(xiàn)的情況下,與通信雙方分別建立單獨(dú)聯(lián)系,控制整個(gè)通信過程,嗅探并篡改數(shù)據(jù)。

本實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境配置如下。

攻擊者IP 地址:192.168.1.3;

物理地址(MAC):00:0C:29:B8:32:A9;

目標(biāo)主機(jī) IP 地址:192.168.1.2;

物理地址(MAC):AC:B5:7D:E3:6601;

變頻器IP地址:192.168.1.1。

其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

圖2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

變頻器接入V20智能連接模塊。型號(hào)為1LA7070-4AB10-Z西門子電機(jī)與西門子SIMAMICS V20變頻器成功連接后,無線通信模塊指示燈顯示綠色,表示通信功能正常。將無線網(wǎng)卡插到電腦,使虛擬機(jī)能夠嗅探變頻器的Wifi,通過kali自帶的字典文件進(jìn)行暴力破解,并獲取變頻器密鑰。

橋接虛擬機(jī)和物理主機(jī),將變頻器智能Wifi模塊、攻擊機(jī)、虛擬機(jī)連接到一個(gè)局域網(wǎng),這樣可以輕松地嗅探到目標(biāo)網(wǎng)絡(luò)的信息,減少路由過程,使攻擊更容易實(shí)現(xiàn)。具體步驟如下。

(1) Wifi密碼破解技術(shù) 用暴力破解或字典攻擊技術(shù)進(jìn)行Wifi密碼破解。

(2) 橋接虛擬機(jī)和主機(jī) 首先得到內(nèi)網(wǎng)段;然后在虛擬機(jī)中打開終端輸入 “ifconifg-a”查看網(wǎng)卡;在虛擬機(jī)中打開終端輸入“vi/etc/network/interfaces ”編輯 IP 地址;在終端下輸入/etc/init.d/networking restart 回車,重啟網(wǎng)卡,kali 的右上角會(huì)提示網(wǎng)絡(luò)已斷開,并會(huì)顯示一個(gè)紅色的 X;重啟虛擬機(jī)即可完成橋接步驟。

(3) SYN洪泛攻擊 利用3次握手中的確認(rèn)機(jī)制,在握手過程中建立一個(gè)偽造的 IP 地址,通過讓被攻擊端等待而將自己的資源耗盡。將目標(biāo)主機(jī)進(jìn)行SYN洪泛攻擊,降低目標(biāo)主機(jī)的反應(yīng)速度,然后再進(jìn)行ARP欺騙。

通過以上步驟,Wifi模塊、客戶機(jī)與攻擊機(jī)可以成功地連接到一個(gè)局域網(wǎng)內(nèi),具體如圖3所示。

圖3 配置同一局域網(wǎng)

程序部分選用Python語言編寫ARP欺騙代碼,并進(jìn)行實(shí)際測試,驗(yàn)證ARP欺騙成功。變頻器智能Wifi模塊的ARP緩存列表變化如表1所示。

表1 攻擊前后ARP表變化

從變頻器無線Wifi智能模塊的ARP緩存列表欺騙前后的變化可以發(fā)現(xiàn),主機(jī)IP對(duì)應(yīng)的MAC地址由攻擊前真實(shí)的物理地址變成了攻擊者的 MAC 地址,ARP欺騙成功后的運(yùn)行結(jié)果如圖4所示。

圖4 ARP欺騙成功結(jié)果

也就是說,攻擊者成功地欺騙了變頻器無線Wifi智能模塊和目標(biāo)主機(jī),在兩者的通信過程中充當(dāng)了中間人。

攻擊后大約18 s,電機(jī)停止轉(zhuǎn)動(dòng),中間人攻擊成功。Windows主機(jī)上顯示的變頻信息仍然停留在攻擊前的狀態(tài),具體如圖5所示。

圖5 主機(jī)仍顯示運(yùn)轉(zhuǎn)

以上結(jié)果表明,MITM攻擊可以導(dǎo)致電機(jī)停轉(zhuǎn),嚴(yán)重破壞西門子變頻器無線通信過程,然而Windows主機(jī)并沒有顯示變頻異常,因此很難發(fā)現(xiàn)變頻器已經(jīng)遭到嚴(yán)重的攻擊。

2.2 無線釣魚攻擊過程

由于無線模塊不斷向外發(fā)射SSID信號(hào),西門子變頻器無線通信過程中還容易受到無線釣魚攻擊。由于Aircrack-ng能夠?qū)崿F(xiàn)網(wǎng)絡(luò)偵測、數(shù)據(jù)包嗅探,以及WEP和WPA/WPA2-PSK破解等功能,因此選擇Aircrack-ng無線攻擊套裝(kali)對(duì)附近的SSID信號(hào)以及MAC地址進(jìn)行嗅探,完成DHCP服務(wù)器的搭建,配置完成實(shí)驗(yàn)環(huán)境。設(shè)立無線釣魚攻擊的具體步驟為:搭建無線釣魚熱點(diǎn) airbase-ng-e smart_access%20v20-c 1 wlo1;配置iptables進(jìn)行轉(zhuǎn)發(fā);進(jìn)行無線ddos攻擊使目標(biāo)主機(jī)掉線,連上之前創(chuàng)建的無線釣魚熱點(diǎn)。然后進(jìn)入實(shí)驗(yàn)過程,選擇網(wǎng)卡和釣魚頁面,并攻擊測試結(jié)果。實(shí)驗(yàn)結(jié)果顯示,釣魚網(wǎng)站頁面看上去與真正的登陸頁面一模一樣,但并不是真正想要進(jìn)入的網(wǎng)站,一旦進(jìn)入設(shè)定好的釣魚網(wǎng)站頁面,便面對(duì)許多未知的風(fēng)險(xiǎn),無疑對(duì)西門子變頻器無線通信的安全問題造成極大威脅。

3 預(yù)防MITM攻擊措施

(1) 由于此攻擊基于無線Wifi,因此要從無線信號(hào)的發(fā)射著手。廠家可以改造無線模塊,當(dāng)有一個(gè)連接者連接上這個(gè)模塊之后,自動(dòng)關(guān)閉SSID信號(hào)的發(fā)射,可在一定程度上避免被釣魚。

(2) 不輕易的主動(dòng)連接Wifi。雖然受害者將因無線ddos攻擊至掉線而不得不重新連接,但是一般的無線假熱點(diǎn)認(rèn)證與真實(shí)Wifi認(rèn)證過程還是有所不同的。需要注意的是,一般無線釣魚熱點(diǎn)為了能讓受害者自動(dòng)連接上,都采用了先連接再認(rèn)證的方式。只要明確了這一點(diǎn),釣魚熱點(diǎn)將會(huì)不攻自破。

(3) 在websocket打開連接之前進(jìn)行再次身份認(rèn)證。無線變頻器在連接上Wifi后甚至沒有任何驗(yàn)證身份的過程,任何人在連上Wifi后都可以請(qǐng)求并控制這個(gè)變頻器。這在安全性上是一個(gè)非常嚴(yán)重的問題。

4 結(jié) 語

針對(duì)西門子變頻器無線通信過程中的安全性問題,本文采用西門子變頻器V20上的西門子SINAMICS V20 Wifi Module 智能連接塊,實(shí)現(xiàn)手機(jī)或者操作員站通過Wifi連接西門子V20變頻器,對(duì)西門子變頻電機(jī)的轉(zhuǎn)速、旋轉(zhuǎn)方向、啟停進(jìn)行控制。模擬了在西門子變頻器連接模塊Wifi控制變頻電機(jī)運(yùn)行過程中,被SYN ACK攻擊導(dǎo)致運(yùn)行狀態(tài)信息被篡改而引發(fā)變頻電機(jī)停機(jī)的狀況,并提出了相應(yīng)的預(yù)防措施。