如前面的文章 “BACnet MSTP 帧失步” 所指, BACnet MSTP 有一个帧失步的设计缺陷,但是是否可以利用这个缺陷,在完全遵守协议的前提下,对MSTP总线进行破坏呢?
设计这个攻击,我们先做以下几个假设:
- 总线上至少有3个设备,MAC地址分别为1, 8, 10。其中设备1是精心设计用来发动攻击的,设备8与10是无辜的。
- 设备1支持扩展帧,设备8与10不支持。
- 这3个设备的定时器都足够精确。
设备1的工作流程如下:
- 得到令牌,发送A帧
- 传递令牌到其它设备
- 再次得到令牌时,发送B帧
- 传递令牌到其它设备
- 重复步骤1.
A帧是一个合法的私有数据帧,十六进制数据如下:
55 ff 80 ff 01 00 1d a3 02 2b 72 fe 55 ff 03 08 01 00 11 a0 ff 55 ff 21 01 08 00 09 ce d4 f3 55 ff 00 01 08 00 00 bf
B帧也是一个合法的私有数据帧,十六进制数据如下:
55 ff 80 ff 01 00 1d a3 02 2b fe dc 55 ff 03 0a 01 00 11 b1 ff 55 ff 21 01 0a 00 09 fd 8a 51 55 ff 00 01 0a 00 00 8c
如果没有帧失步,一切都将正常运行。但是可能几小时,也可能几天后,设备8对设备1发出的A帧失步了,错过了A帧的帧头(设备10如对B帧失步,也是同样的效果),则设备8继续扫描A帧的数据部分,发现另一个有效帧:
55 ff 03 08 01 00 11 a0 ff 55 ff 21 01 08 00 09 ce d4 f3 55 ff 00 01 08 00 00 bf
这是发给设备8的Test-Request帧,设备8等待Tturnaround后发送Test-Response帧进行应答:
55 ff 04 01 08 00 11 ae ff 55 ff 21 01 08 00 09 ce d4 f3 55 ff 00 01 08 00 00 bf
但是此时,设备1正在传出令牌:
55 ff 00 02 01 00 00 73
令牌帧与Test_Response的前8个字节冲突了,对于设备10来说,收到了几个错误字节后,继续扫描,在Test_Response的数据部分又发现了一个帧:
55 ff 21 01 08 00 09 ce d4 f3 55 ff 00 01 08 00 00 bf
对设备10来说,这不是发给它的帧,所以他进入SKIP-DATA状态,抛弃数据,等这个帧结束,但是直到设备8发完数据,设备10还差一个字节来结束帧,他将继续等待。
对设备1来说,它发出令牌帧后,收到如下数据:
55 ff 21 01 08 00 09 ce d4 f3 55 ff 00 01 08 00 00 bf
这是一个扩展数据帧,因为它支持扩展帧,所以他按 Addendum 135-2012an规定的流程校验帧头,发现数据长度过短,中断前帧后又开始扫描,发现新帧:
55 ff 00 01 08 00 00 bf
这是一个发给设备1的令牌帧,设备1又得到令牌,经过Tturnaround后,重新发送B帧:
55 ff 80 ff 01 00 1d a3 02 2b fe dc 55 ff 03 0a 01 00 11 b1 ff 55 ff 21 01 0a 00 09 fd 8a 51 55 ff 00 01 0a 00 00 8c
在前面提到,设备10还差1个字节来结束前面一帧,因Tframe_abort>Ttrurnaround,所以解析没有中断,B帧的第一个55字节被设备10抛弃,然后开始扫描新帧,发现了:
55 ff 03 0a 01 00 11 b1 ff 55 ff 21 01 0a 00 09 fd 8a 51 55 ff 00 01 0a 00 00 8c
这是一个发给设备10的Test-Request帧,事情又开始重复。
从上面可以看出,每个设备都严格地遵守标准,但是一旦帧失步发生,整条总线就永远地瘫痪了。
更多信息见:MSTP帧失步解决方案