1786-RPA 模块上的模数转换功能,采用ADS7871模拟信号转换芯片,占用ESMARC工控主板的SPI总线进行通讯,最高可实现48K的数据转换率,最大支持8路14bit模拟信号转换。同时ETA104模块集成了2路RS485,3路RS232通讯总线。
通过配置ETA104模块的模拟转换芯片的控制寄存器,可实现8路单极性信号采集,或者4路单分信号采集,或者差分/单极性混合模式采集。短接ETA104模块上的跳线器,还可以实现输入信号为4~20mA电流信号采集。
ETA104模块的模拟信号输入端是CN3,采用IDC20、2.54mm间距双排插针
关于重放攻击
重放攻击,顾名思义,就是把上位机软件编译好的程序重新下装到PLC机器当中。而我们需要抓包截取的就是从开始连接到结束连接这一段的数据包,进行重新发送。而且神奇之处是,在s7200,300,400之间,重放攻击是可以进行的,在施耐德某PLC上,也仅仅是一个字节的验证重放。
这里,我附上我用python调试简单易用的两个小脚本。方便大家重放使用。
当我们利用wireshark抓取数据包,并且整理如下后(其实整理到只有我们发送到PLC的数据包后,保存成pcap格式):
疯狂甩卖1771-A1B控制器
疯狂甩卖1771-A1BK控制器
疯狂甩卖1771-A2B控制器
疯狂甩卖1771-A2BK控制器
疯狂甩卖1771-A3B控制器
疯狂甩卖1771-A3B1控制器
疯狂甩卖1771-A3B1K控制器
疯狂甩卖1771-A3B1SS控制器
疯狂甩卖1771-A3BK控制器
疯狂甩卖1771-A4B控制器
疯狂甩卖1771-A4BK控制器
疯狂甩卖1771-ACN控制器
疯狂甩卖1771-ACN15控制器
疯狂甩卖1771-ACNR控制器
疯狂甩卖1771-ACNR15控制器
疯狂甩卖1771-AF控制器
疯狂甩卖1771-AF1控制器
疯狂甩卖1771-AL控制器
疯狂甩卖1771-ALX控制器
疯狂甩卖1771-ASB控制器
疯狂甩卖1771-ASBK控制器
疯狂甩卖1771-CFM控制器
疯狂甩卖1771-CFMK控制器
疯狂甩卖1771-CX10控制器
疯狂甩卖1771-CX15控制器
疯狂甩卖1771-CX2控制器
疯狂甩卖1771-CX20控制器
疯狂甩卖1771-CX25控制器
疯狂甩卖1771-CX30控制器
疯狂甩卖1771-CX5控制器
疯狂甩卖1771-CX7控制器
疯狂甩卖1771-CX10控制器
疯狂甩卖1771-CX15控制器
疯狂甩卖1771-CX2控制器
疯狂甩卖1771-CX20控制器
疯狂甩卖1771-CX25控制器
疯狂甩卖1771-CX30控制器
疯狂甩卖1771-CX5控制器
疯狂甩卖1771-CX7控制器
疯狂甩卖1771-CXT控制器
疯狂甩卖1771-DB控制器+
疯狂甩卖1771-DBMEM1控制器
疯狂甩卖1771-DBMEM2控制器
疯狂甩卖1771-DL控制器
疯狂甩卖1771-DR控制器
疯狂甩卖1771-DS控制器
疯狂甩卖1771-DW控制器
疯狂甩卖1771-DXPS控制器
疯狂甩卖1771-ES控制器
疯狂甩卖1771-EX控制器
疯狂甩卖1771-EZ控制器
疯狂甩卖1771-FC控制器
疯狂甩卖1771-FD控制器
疯狂甩卖1771-FD2控制器
关于PLC的病毒以及蠕虫
1)寻找PLC。因为西门子的PLC通信端口均为102端口。所以写的病毒程序可以不定时扫描102端口,通过发送获取cpu信息的数据包对PLC的类型进行判断,然后加载适合的payload程序。
2)如果PLC版本为s7-200~s7-400之间,则可以发送已经编写好的程序程序控制PLC,比如停止PLC工作,清空plc程序,在DB中写入垃圾指令等。还可以进行重放攻击,修改PLC的工作流程。
3)如果PLC版本为s7-1200或者s7-1500,除了利用s7200~400之外的手段外,还可以通过新增的FB块TCON、TDISCON、TSEND、TRCV模块进行PLC之间的传播感染。(有兴趣的童鞋们可以去搜2016年的blackhat大会上的相关plc资料)这些FB模块在s7-200、300、400是没有的。所以,系统功能越复杂,从某些角度讲,问题存在可能就会越多。