ЛР: выявление аномалий в Modbus TCP-трафике
Лабораторная работа: Анализ трафика Modbus TCP на предмет аномальной активности
Новинка
Лабораторная работа: Анализ трафика
Modbus TCP на предмет аномальной активности
1. Введение
Цель работы: Провести анализ дампа сетевого трафика промышленной сети, использующей протокол Modbus TCP, для идентификации ролей устройств (Master/Slave), выявления аномальной активности и оценки вероятности кибервторжения.
Задачи:
1. Определить IP-адреса устройств, выступающих в роли Master (клиент) и Slave (сервер).
2. Найти и проанализировать уникальную операцию записи в регистры среди преобладающих операций чтения.
3. Сравнить обнаруженные сетевые взаимодействия с предоставленной топологической картой сети и сделать вывод о наличии или отсутствии подозрительной активности.
Контекст и методология: Протокол Modbus TCP использует архитектуру "запрос-ответ", где Master-устройство инициирует транзакции, а Slave-устройства на них отвечают. Анализ будет проводиться в программе Wireshark с использованием фильтров для протокола modbus. Ключевыми признаками для классификации устройств будут служить TCP-порты (как правило, Slave использует порт 502) и направление запросов. Операции записи будут идентифицироваться по соответствующим кодам функций (например, 5, 6, 15, 16).Показать/скрыть дополнительное описание
Modbus TCP на предмет аномальной активности
1. Введение
Цель работы: Провести анализ дампа сетевого трафика промышленной сети, использующей протокол Modbus TCP, для идентификации ролей устройств (Master/Slave), выявления аномальной активности и оценки вероятности кибервторжения.
Задачи:
1. Определить IP-адреса устройств, выступающих в роли Master (клиент) и Slave (сервер).
2. Найти и проанализировать уникальную операцию записи в регистры среди преобладающих операций чтения.
3. Сравнить обнаруженные сетевые взаимодействия с предоставленной топологической картой сети и сделать вывод о наличии или отсутствии подозрительной активности.
Контекст и методология: Протокол Modbus TCP использует архитектуру "запрос-ответ", где Master-устройство инициирует транзакции, а Slave-устройства на них отвечают. Анализ будет проводиться в программе Wireshark с использованием фильтров для протокола modbus. Ключевыми признаками для классификации устройств будут служить TCP-порты (как правило, Slave использует порт 502) и направление запросов. Операции записи будут идентифицироваться по соответствующим кодам функций (например, 5, 6, 15, 16).Показать/скрыть дополнительное описание
Лабораторная работа посвящена разбору трафика Modbus TCP в Wireshark и поиску признаков аномальной активности. Внутри рассматриваются роли Master и Slave, единственная операция записи в регистры и сопоставление сетевых адресов с топологией. Работа подойдет студентам, изучающим кибербезопасность, промышленную автоматизацию и защиту SCADA-сетей..
Характеристики лабораторной работы
Предмет
Учебное заведение
НИЯУ МИФИСеместр
Просмотров
0
Размер
162,85 Kb
Список файлов
650d41e3d0d046dda3ab39bd75c01742.docx
🎓 Никольский - Помощь студентам 📚 Любые виды работ: тесты, сессии под ключ, практики, курсовые и дипломные с гарантией результата ✅ Все услуги под ключ ✅ Знаем все тонкости именно вашего ВУЗа ✅ Сдадим или вернем деньги
nikolskypomosh
17 апреля в 08:56
Комментарии
Нет комментариев
Стань первым, кто что-нибудь напишет!
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
