晏騰飛

摘 要：DCP協(xié)議作為PROFINET協(xié)議的一部分，作用是對PROFINET設備進行名稱分配以及設置網(wǎng)絡參數(shù)等。介紹DCP報文的基本格式、含義，以菲尼克斯PLC模塊及管理型交換機搭建的簡單PROFINET工業(yè)以太網(wǎng)為例，結合網(wǎng)絡報文分析工具Wireshark，對PROFINET設備名稱、IP地址等網(wǎng)絡參數(shù)設置的過程細節(jié)進行了分析，總結DCP的特點以及應用注意事項。

關鍵詞：PROFINET;DCP;Wireshark;協(xié)議

中圖分類號：TP391文獻標識碼：A文章編號：2096-6903（2022）08-0123-03

0 引言

PROFINET是一個開放式的工業(yè)以太網(wǎng)通訊協(xié)議，由PROFIBUS & PROFINET國際組織（PI）所提出。PROFINET吸收了多年成熟應用的PROFIBUS和工業(yè)以太網(wǎng)的技術特點，采用開放的IT標準，與以太網(wǎng)的TCP/IP標準兼容，并提供了實時功能，能滿足所有自動化的需求[1]。自2003年起，PROFINET成為IEC 61158及IEC 61784標準中的一部分。成為市場上領先的工業(yè)以太網(wǎng)標準。根據(jù)PROFIBUS & PROFINET國際組織（PI）發(fā)布的最新數(shù)據(jù)，截至2021年底，總計已有4800多萬臺PROFINET設備安裝于工業(yè)現(xiàn)場，與2019年相比增加了850萬臺，增長率22%。

分析PROFINET使用DCP協(xié)議對設備進行發(fā)現(xiàn)、名稱分配、設定網(wǎng)絡參數(shù)的過程，采用管理型交換機以及Wireshark對設備間的真實網(wǎng)絡報文進行捕獲與解析，以了解DCP協(xié)議工作的細節(jié)與特點。

1?DCP簡介

DCP全稱Discovery and Basic Configuration Protocol，意為發(fā)現(xiàn)和基本配置協(xié)議。在將PROFINET設備投入使用前，需要通過工程工具或者控制器設置該設備的名稱、IP地址等參數(shù)。設備名稱（Name of Station）對于PROFINET網(wǎng)絡中設備來說是必須的，且同一網(wǎng)絡中的設備名稱不能重復。為防止重啟后失效，參數(shù)需永久性地保存在設備的設置中[2]。

DCP工作在數(shù)據(jù)鏈路層，依靠設備的MAC地址區(qū)分不同設備，因此無須設置IP地址即可發(fā)現(xiàn)或者設定PROFINET設備，這個特性還帶來一個影響：計算機只能發(fā)現(xiàn)和設定在同一子網(wǎng)中的PROFINET設備，即DCP數(shù)據(jù)幀不能穿過NAT設備，例如路由器。

2DCP幀結構

一個DCP幀具有以太網(wǎng)類型0x8892（表示PROFINET），其結構如圖1所示，其中數(shù)據(jù)字段的長度及取值見表1。

服務ID代表了DCP的四大功能：Get、Set、Identify、Hello，最常用的功能是Set和Indentify。Set表明這是一個設置幀，當服務類型是Request時，收到該幀的設備將按照數(shù)據(jù)塊中的內容設置自己的名稱、IP地址、子網(wǎng)掩碼、網(wǎng)關、閃爍識別、恢復出廠設置等，設置完成便向對方發(fā)送服務類型為Response Success的設置幀表示應答。Identify表明這是一個識別幀，功能是PROFINET設備的識別和應答，收到該幀的設備會向控制器回復自己的信息，包括設備名、型號、廠商、IP地址等。工程工具掃描網(wǎng)絡中有一些PROFINET設備便是使用此功能。

Xid：請求和響應通常是成對出現(xiàn)，所有的響應都要包含和請求同樣的Xid，以便控制器確定收到的響應是屬于哪一個請求。

響應延遲：由于 DCP 可能同時查詢網(wǎng)絡上的所有設備，它們也會或多或少地立即發(fā)送回復，因此可能出現(xiàn)同時發(fā)送的情況。這將導致流量大幅增加，并可能導致?lián)砣?，從而干擾設備間關鍵過程數(shù)據(jù)的交換。為了防止這種情況，響應延遲字段用于定義一個時間間隔，所有響應都應在該時間間隔內展開。有效值是從 1 到 6400，這意味著響應可以是最小10 ms和最大64 s。

3DCP報文監(jiān)聽

3.1 硬件設置

以菲尼克斯型號為AXC 3050的PLC及BK PN子站為主要研究對象，使用管理型交換機以及Wireshark網(wǎng)絡分析工具來對DCP的工作過程進行具體分析。

將控制器AXC 3050連接至交換機端口1，將子站BK PN連接到交換機端口3，安裝了Wireshark的計算機連接到交換機端口5，如圖2所示。

3.2 軟件設置

設置管理型交換機，將端口5作為端口1 的鏡像端口，即端口1的所有數(shù)據(jù)幀將會被復制到端口5，包括流出和流入的數(shù)據(jù)，接到端口5的Wireshark便可以捕獲并分析所有AXC 3050與BK PN模塊之間的通信。打開Wireshark，選擇連接了交換機端口5的網(wǎng)卡，點擊捕獲，開始記錄端口5上的數(shù)據(jù)。

在工程軟件中新建一個項目DcpTest，將各設備做如表2的配置，其中，AXC 3050的MAC地址為a8：74：1d：02：6e：12，BK PN的MAC地址為00：a0：45：91：cf：c9。

在將項目下載到AXC 3050前，應先設置其名稱及IP地址、子網(wǎng)掩碼等，步驟如下，打開DCP Tool，掃描設備，找到AXC 3050，設置其名稱為axc-30503，IP地址為10.11.11.2。

3.3 DCP數(shù)據(jù)幀分析

在Wireshark過濾器中輸入pn_dpc以過濾掉無關的幀?？梢杂^察到DCP Tool設置設備名稱及IP的過程（如圖3所示）：

幀4為DCP Tool發(fā)送的設置名稱請求，目的地址正是AXC 3050的MAC地址。內容是“站名稱：axc-30503”。

幀5為AXC 3050的回復：設置完成，響應正常。

幀10為DCP Tool發(fā)送的設置IP請求，內容是“永久保存，IP地址10.11.11.2，子網(wǎng)掩碼255.255.255.0等”。

幀11是AXC 3050的回復：設置完成，響應正常。

將項目下載到AXC 3050中，等控制器啟動完成，可以觀察到若干個識別請求。應該注意，DCP 識別請求對于 PROFINET 設備的識別和參數(shù)化至關重要。在控制器啟動時，它們用于搜索組態(tài)中的 PROFINET 設備，這個過程循環(huán)重復，直到相應的設備響應。可在圖4中觀察到這種現(xiàn)象。

幀17～47表明控制器向MAC地址01：0e：cf：00：00：00發(fā)送識別請求幀，這個特殊的MAC是PROFINET的組播地址。這些報文的含義如下：哪個站的名稱是axl-f-bk-pn，收到請響應。因為BK PN的設備名稱還未設置，所以網(wǎng)絡中沒有設備能響應控制器的請求，控制器就一直重復發(fā)送這個組播幀。

控制器啟動完成后，通常在 PROFINET 網(wǎng)絡中不再發(fā)生DCP多播?？赡艿睦馐桥R時可訪問設備的配置，例如由于工具更改或無線鏈接。應該根據(jù)情況決定采取措施（例如臨時注銷節(jié)點）來最小化 DCP 多播的數(shù)量。如果控制器啟動后需搜尋的設備數(shù)量大于20，則會導致組播負載太高，不能保證無故障運行[4]。

下一步使用DCP Tool設置BK PN模塊的名稱為axl-f-bk-pn，然后觀察控制器和子站間的數(shù)據(jù)（如圖5所示）。

幀89，控制器請求：設置子站的名稱為axl-f-bk-pn。

幀90，子站回復：設置完成。

幀96，控制器組播：哪個站的名稱是axl-f-bk-pn。

幀97，子站回復：本站的名字是axl-f-bk-pn。

幀117，控制器：設置IP為10.11.11.30等參數(shù)。

幀118，子站回復：設置完成。

打開DCP Tool，重新掃描設備，可以觀察到子站BK PN的IP地址等網(wǎng)絡參數(shù)已經分配，與DcpTest項目中的設置保持一致。

可以看出，DCP與常見的DHCP（動態(tài)主機配置協(xié)議）有相似之處[3]，都是對網(wǎng)絡中的設備分配IP地址等參數(shù)的協(xié)議，主要不同點是DCP由控制器主動查找設備，對符合硬件組態(tài)的設備主動進行分配設置，不能跨網(wǎng)段，而DHCP是設備向主機發(fā)起請求，主機再進行響應，其作用范圍是跨網(wǎng)段的。

4 基于DCP的網(wǎng)絡攻擊

目前的DCP協(xié)議中并沒有設計身份驗證字段，而該協(xié)議又負責設備的配置，因此通過偽造報文，可以發(fā)動對PROFINET網(wǎng)絡的攻擊。例如數(shù)據(jù)包洪流攻擊、數(shù)據(jù)包嗅探、Xid欺騙等[5]。以數(shù)據(jù)包洪流攻擊為例，正常網(wǎng)絡中，控制器識別出設備并收到響應之后便不再發(fā)送識別請求。而偽裝成控制器的攻擊者可以掃描出網(wǎng)絡中的所有設備的名稱，然后向網(wǎng)絡中組播大量的識別請求，設備可能會忙于進行響應而不能處理正常的數(shù)據(jù)，甚至導致宕機（如圖6所示）。

不過，正因為DCP報文使用的是第二層協(xié)議，不能通過路由設備，惡意設備必須能訪問到控制器所在的同一網(wǎng)段才能起到作用，所以影響較小。當網(wǎng)絡規(guī)模較大，難以控制接入設備時，被入侵的風險也隨之增加了。

5結語

通過搭建一個PLC主站及子站構成的簡單PROFINET網(wǎng)絡，分析了DCP發(fā)揮作用的過程，挖掘DCP工具不能跨子網(wǎng)進行設置的原因，以及控制器如何發(fā)現(xiàn)并管理PROFINET設備的細節(jié)，還對利用DCP進行網(wǎng)絡攻擊的可能性進行了分析。有助于厘清DCP工作的基本原理、抓包網(wǎng)絡的搭建以及工程工具的適用環(huán)境。

參考文獻

[1] 廖常初，祖正容.西門子工業(yè)通信網(wǎng)絡組態(tài)編程與故障診斷[M].北京：機械工業(yè)出版社，2009：336.

[2] 和淑芬，沈勇，范雄濤，等.深入解析 ProfiNet IO 系統(tǒng)啟動前尋址的實時報文[J].電氣技術，2018（2）：96-101.

[3] 陳曦.PROFINET IO技術中的DCP協(xié)議[J].中國儀器儀表， 2016（10）：27-30.

[4] PNO， PI.PROFINET Commissioning Guideline for PROFINET[C].PROFIBUS Germany，2019.

[5] Sangkyo Oh， Hyunji Chung， Sangjin Lee， et al. Advanced Protocol to Prevent Man-in-the-middle Attack in SCADA System[J].International Journal of Security and its Applications，2014（2）：1-8.