返回文章列表
玄貓(BlackCat)

工業控制系統資安評估與網路流量監控實務

本文深度解析工業控制系統(ICS)的資安風險評估方法。首先,探討如何利用國家漏洞資料庫(NVD)分析特定CVE漏洞,評估其對關鍵基礎設施的潛在威脅。接著,文章轉向網路流量監控的重要性,詳述帶外監控技術,如交換埠分析器(SPAN)與測試存取點(TAP)的運作原理與應用。最後,介紹業界標準工具Wireshark的安裝與基礎使用,為後續的滲透測試與資安防禦奠定堅實的網路封包分析基礎。

資訊安全 工業控制系統
滲透測試 網路流量監控 漏洞評估 工業控制系統 Wireshark 埠鏡像

在現代工業環境中,資訊安全已從傳統邊界防禦演進至對內部網路活動的深度可視化。本文旨在探討此轉變下的核心技術實踐,從利用公開漏洞資料庫(NVD)進行被動情報蒐集與風險評估出發,建立對工業控制系統(ICS)潛在威脅的初步認知。隨後,重點轉向網路流量監控,深入剖析交換埠分析器(SPAN)與網路分流器(TAP)等帶外監控技術的原理與配置。這些方法不僅是滲透測試人員發掘系統弱點的關鍵手段,更是部署入侵偵測系統(IDS)以實現即時威脅偵測的基礎。透過整合漏洞數據與流量分析,資安人員方能建構全面的工業場域防禦策略。

NVD深度解析與工業資安風險評估

玄貓認為,國家漏洞資料庫(NVD)提供了最全面的漏洞資訊,對於理解工業控制系統(ICS)的資安風險至關重要。透過NVD,我們可以深入分析特定漏洞的影響,並評估其對客戶基礎設施的潛在威脅。

NVD CVE-2016-2279詳情:

  1. 搜尋CVE:在NVD的搜尋欄中輸入CVE識別碼2016-2279,即可找到該漏洞的詳細頁面。
  2. 資訊豐富性:該頁面包含了大量已蒐集和呈現的資訊,其中最值得關注的是受影響的系統以及分配給它們的風險等級。
  3. 理解影響範圍:仔細審閱這些資訊至關重要,因為它能幫助我們理解在客戶環境中發現這些控制器及其運行版本時,所面臨的影響廣度和深度。

搜尋Rockwell技術相關漏洞:

  1. 更廣泛的搜尋:回到NVD主頁,進行更廣泛的搜尋,例如針對「Rockwell」技術。
  2. 發現關鍵漏洞:搜尋結果中可能會顯示大量與Rockwell相關的漏洞,例如94條記錄。
  3. CVE-2021-22681分析:其中一個值得關注的漏洞是CVE-2021-22681,它在2021年3月3日發布。該漏洞被評為「嚴重(Critical)」,因為它允許未經身份驗證的攻擊者繞過身份驗證,直接修改控制器。
  4. 潛在影響:這是一個嚴重的問題,因為攻擊者可以更改過程設定點,導致計畫外的停機、失控,甚至過程失敗。對於滲透測試人員來說,這是一個極佳的切入點,可以藉此進入關鍵基礎設施。

工業控制層級漏洞的處理原則:

  • 謹慎行動:在過程控制層級發現具有實體輸入/輸出(I/O)存取權限的漏洞時,應詳細記錄,但除非您確切了解利用已知漏洞的後果,否則不應採取行動。
  • 高風險後果:因為這種操作有很高的機率導致系統「變黑」或「爆炸」,這些都是非常可怕的可能性。

此圖示:NVD漏洞評估與風險分析

看圖說話:

此圖示展示了滲透測試人員如何利用NVD網站進行漏洞評估和風險分析的流程。滲透測試人員首先在NVD中搜尋特定的CVE識別碼(例如CVE-2016-2279),以獲取該漏洞的詳細資訊,包括受影響的系統、風險等級和CVSS評分。接著,透過更廣泛地搜尋「Rockwell」相關漏洞,發現了例如CVE-2021-22681這樣的高嚴重性漏洞,該漏洞允許未經身份驗證的攻擊者直接修改控制器。這些發現被記錄在風險評估報告中,以幫助滲透測試人員全面理解漏洞對客戶工業控制系統的廣泛和深度影響,並作為制定防禦策略的重要依據。

核心回顧:
  • Google-Fu:我們學習了如何運用Google的高級搜尋語法,精準地調查客戶的行業、潛在用戶和技術棧。
  • LinkedIn:我們利用LinkedIn來識別員工是否分享了關於公司或其所用技術的敏感資訊。
  • Shodan:我們透過Shodan發現了暴露在網際網路上的設備,並判斷它們是否屬於我們的客戶。例如,我們成功找到了公開的Koyo CLICK PLC設備。
  • Exploit-DB:我們查詢了Exploit-DB,以了解是否有公開可用的利用程式碼,可以針對我們在先前步驟中發現的漏洞進行攻擊。
  • NVD:最後,我們檢視了NVD,以確定在我們發現的系統上存在哪些漏洞,並深入了解其嚴重性和影響。

透過這些蒐集和記錄的數據,我們對客戶的業務、人員、流程和技術有了全面的理解。這為後續的滲透測試工作奠定了堅實的基礎。

展望未來:網路流量監控

玄貓認為,在接下來的章節中,我們將探討網路流量監控的重要性,特別是SPANs(交換埠分析器)和TAP(網路分流器)的應用。這些技術可以幫助我們捕獲和分析網路流量,從而識別出在網路中進行通訊的實際設備。

網路監控的興起:

  • 帶外網路監控:近年來,帶外網路監控在工業網路安全領域佔據主導地位。
  • 被收購的資安公司:許多專注於被動監控的資安公司,例如Security Matters、Indegy、Sentryo、CyberX等,都獲得了大量的風險投資和併購,這突顯了自動化技術及其對關鍵基礎設施影響的重要性。
  • 被動監控的價值:被動監控可以幫助我們在不干擾生產系統的情況下,了解網路行為、識別異常模式,並發現潛在的威脅。

第五章:SPANs與TAP

玄貓認為,前一章我們討論了利用開源研究來建立客戶、其組織、用戶和技術檔案的價值。本章我們將更深入地探索這個「兔子洞」,討論帶外網路監控。在過去幾年中,入侵偵測系統(IDS)在工業網路安全領域一直佔據主導地位。Security Matters、Indegy、Sentryo、CyberX、Claroty、Nozomi Networks、SCADAfence等眾多公司蓬勃發展。風險投資和投資銀行的大量資金湧入被動監控領域,以提高人們對自動化技術及其對關鍵基礎設施影響重要性的認識。

帶外網路監控:SPANs與TAP的關鍵作用

玄貓認為,在工業網路安全領域,所有先進的入侵偵測系統(IDS)都高度依賴於網路基礎設施提供流量分析的能力。這通常透過**交換埠分析器(Switch Port Analyzer, SPAN)測試存取點(Test Access Point, TAP)**來實現。作為滲透測試人員,理解如何利用這些方法進行帶外監控,以及這對滲透測試的意義,是至關重要的。

本章核心議題:

  • SPAN的原理與配置:深入探討SPAN的運作機制,以及如何設定埠鏡像(port mirroring)來複製網路流量。
  • TAP的應用:介紹TAP的類型及其在滲透測試中的實際應用。
  • IDS技術與SPAN:分析工業領域中常見的IDS技術如何利用SPAN來監控網路流量,以及在面對這些系統時應有的預期。

技術要求

為了完成本章的學習和實作,您需要準備以下工具:

  • TP-Link TL-SG108E 智慧型交換器:這是一款經濟實惠的交換器,支援埠鏡像功能,我們將用它來學習如何設定埠鏡像。
  • Throwing Star LAN TAP:這是一款低成本的網路分流器,可用於擷取網路封包,以便後續分析。
  • Wireshark/TShark 和 Tcpdump:這些是業界標準的網路封包分析工具。

Wireshark的安裝與基礎使用

玄貓認為,Wireshark是網路工程師和資安專家監控網路流量的業界標準工具。當網路出現問題時,Wireshark往往是第一個被啟動的工具。它是任何滲透測試工具包中絕對不可或缺的工具。

Wireshark的重要性:

  • 事實上的標準:Wireshark是網路流量分析的業界標準工具。
  • 關鍵工具:它是資安領域中最關鍵的工具之一。
  • 滲透測試必備:對於任何滲透測試人員來說,Wireshark都是必備工具。

Wireshark的安裝:

  • macOS
brew install wireshark
  • Linux發行版
sudo apt-get install wireshark
  • Windows 10: 請透過官方網站下載安裝程式。安裝過程通常很簡單,並且有大量的線上教學資源可供參考。
  • 額外組件:確保在安裝過程中同時安裝所有額外的或補充的組件,例如TShark、dissector plugins、Editcap、Mergecap等。這些組件在後續的分析中會非常有用。

Wireshark的基礎使用:

  1. 啟動Wireshark:開啟Wireshark後,您應該能看到所有可用的網路介面。
  2. 選擇介面:從列表中選擇一個網路介面,然後開始監聽網路流量。
  3. 流量可見性:請記住,您只能看到該介面上的廣播(broadcast)、多播(multicast)和單播(unicast)流量。
  • 廣播與多播:如果您選擇Wi-Fi介面,您會看到大量的設備透過多播和廣播通訊連接到網路,特別是如果您是物聯網(IoT)愛好者。
  • 單播流量的限制:對於單播流量,您只能看到與該介面直接相關的流量。若要監聽兩個通訊設備之間的單播流量,您必須存取SPAN/鏡像埠或安裝TAP。

此圖示:Wireshark安裝與介面選擇

看圖說話:

此圖示展示了Wireshark的安裝與基礎使用流程。使用者首先透過Wireshark安裝程式在各自的作業系統上安裝Wireshark及其相關組件。安裝完成後,使用者啟動Wireshark應用程式,此時會顯示一個網路介面列表。使用者從列表中選擇一個網路介面(例如Wi-Fi或乙太網路),Wireshark便會開始監聽該介面上的網路流量。圖中特別強調,Wireshark只能監聽選定介面上的廣播、多播以及與該介面直接相關的單播流量。若要監聽兩個設備之間的所有單播通訊,則需要進一步配置SPAN埠鏡像或使用TAP設備。

網路流量監控:SPAN與埠鏡像設定

玄貓認為,我們已經了解了Wireshark的安裝與基本操作,但要實現真正的設備間單播通訊監控,必須依賴SPAN或TAP。本節將深入探討SPAN(交換埠分析器)及其埠鏡像(port mirroring)功能,並示範如何在受控交換器上進行設定。

什麼是SPAN及其運作原理?

  • SPAN(Switch Port Analyzer),或稱埠鏡像(Port Mirroring),是一種在支援此功能的受控交換器上,將一個或多個埠的流量複製到同一個交換器上的另一個或多個埠的技術。
  • 本地SPAN:這是最常見的SPAN形式,通常用於將流量導向入侵偵測系統(IDS)進行分析。
  • 遠端SPAN (RSPAN):SPAN的擴展功能,允許將遠端網路流量與專用VLAN關聯,然後透過Trunk埠傳輸到另一個交換器。
  • RSPAN的代價:雖然RSPAN對於監控跨網路傳輸的數據非常有用,但它會佔用交換器埠,減少可用於正常運作的埠數量。
  • 滲透測試中的價值:在滲透測試中,RSPAN可以記錄關鍵資訊,例如憑證數據、作業系統資訊、埠和服務等,這些都可以被Wireshark、TShark或Tcpdump捕獲,有助於突破系統。
  • SPAN的負載影響:無論是本地SPAN還是RSPAN,都會增加交換器的負載。如果交換器負載過重,可能導致封包丟失,甚至影響生產運作。在未完全控制或理解的交換器上操作時,必須格外小心,因為任何因SPAN引起的停機都可能導致收入損失。

SPAN與埠鏡像的詞彙解釋:

  • SPAN是Cisco專有的術語,而埠鏡像則是更通用的術語,兩者指代的是相同的技術。

本地SPAN的常見架構:

一個典型的本地SPAN設定是將監控埠連接到分析工具(例如運行Wireshark的機器),而源埠則是需要監控流量的埠。

此圖示:SPAN流量監控架構

看圖說話:

此圖示展示了一個典型的SPAN流量監控架構。在一個受控交換器中,PLC/工業設備連接到Port 1終端使用者PC連接到Port 2,而Port 4則連接到網際網路。為了監控這些埠的流量,交換器會將Port 1Port 2的流量透過SPAN/鏡像功能複製到Port 3Port 3則連接到一個入侵偵測系統(IDS)/監控工具,該工具內部運行著WiresharkTSharkTcpdump等封包分析軟體。透過這種方式,監控工具可以接收並分析來自PLC和使用者PC的所有流量,而不會干擾正常的網路運作,這對於資安監控和滲透測試中的情報蒐集至關重要。

NVD深度解析與工業資安風險評估

玄貓認為,國家漏洞資料庫(NVD)提供了最全面的漏洞資訊,對於理解工業控制系統(ICS)的資安風險至關重要。透過NVD,我們可以深入分析特定漏洞的影響,並評估其對客戶基礎設施的潛在威脅。

NVD CVE-2016-2279詳情:

  1. 搜尋CVE:在NVD的搜尋欄中輸入CVE識別碼2016-2279,即可找到該漏洞的詳細頁面。
  2. 資訊豐富性:該頁面包含了大量已蒐集和呈現的資訊,其中最值得關注的是受影響的系統以及分配給它們的風險等級。
  3. 理解影響範圍:仔細審閱這些資訊至關重要,因為它能幫助我們理解在客戶環境中發現這些控制器及其運行版本時,所面臨的影響廣度和深度。

搜尋Rockwell技術相關漏洞:

  1. 更廣泛的搜尋:回到NVD主頁,進行更廣泛的搜尋,例如針對「Rockwell」技術。
  2. 發現關鍵漏洞:搜尋結果中可能會顯示大量與Rockwell相關的漏洞,例如94條記錄。
  3. CVE-2021-22681分析:其中一個值得關注的漏洞是CVE-2021-22681,它在2021年3月3日發布。該漏洞被評為「嚴重(Critical)」,因為它允許未經身份驗證的攻擊者繞過身份驗證,直接修改控制器。
  4. 潛在影響:這是一個嚴重的問題,因為攻擊者可以更改過程設定點,導致計畫外的停機、失控,甚至過程失敗。對於滲透測試人員來說,這是一個極佳的切入點,可以藉此進入關鍵基礎設施。

工業控制層級漏洞的處理原則:

  • 謹慎行動:在過程控制層級發現具有實體輸入/輸出(I/O)存取權限的漏洞時,應詳細記錄,但除非您確切了解利用已知漏洞的後果,否則不應採取行動。
  • 高風險後果:因為這種操作有很高的機率導致系統「變黑」或「爆炸」,這些都是非常可怕的可能性。

此圖示:NVD漏洞評估與風險分析

@startuml
!define DISABLE_LINK
!define PLANTUML_FORMAT svg
!theme _none_

skinparam dpi auto
skinparam shadowing false
skinparam linetype ortho
skinparam roundcorner 5
skinparam defaultFontName "Microsoft JhengHei UI"
skinparam defaultFontSize 16
skinparam minClassWidth 100

actor "滲透測試人員 (Pentester)" as pentester
participant "NVD 網站" as nvd
participant "CVE 詳情頁面" as cve_detail
participant "風險評估報告" as risk_report

pentester -> nvd : 搜尋 CVE 識別碼 (例如: 2016-2279)
nvd --> cve_detail : 顯示 CVE 詳細資訊 (受影響系統, 風險等級, CVSS 評分)

pentester -> nvd : 搜尋 "Rockwell" 相關漏洞
nvd --> nvd : 顯示 Rockwell 相關漏洞列表 (例如: CVE-2021-22681)

pentester -> cve_detail : 點擊 CVE-2021-22681
cve_detail --> pentester : 提供漏洞嚴重性 (嚴重), 潛在影響 (繞過身份驗證, 修改控制器)

pentester -> risk_report : 記錄發現的漏洞及其潛在影響
risk_report --> pentester : 評估客戶環境中的風險

note right of cve_detail
NVD 提供關鍵資訊,
幫助評估漏洞對 ICS 的
廣泛和深度影響。
end note

@enduml

看圖說話:

此圖示展示了滲透測試人員如何利用NVD網站進行漏洞評估和風險分析的流程。滲透測試人員首先在NVD中搜尋特定的CVE識別碼(例如CVE-2016-2279),以獲取該漏洞的詳細資訊,包括受影響的系統、風險等級和CVSS評分。接著,透過更廣泛地搜尋「Rockwell」相關漏洞,發現了例如CVE-2021-22681這樣的高嚴重性漏洞,該漏洞允許未經身份驗證的攻擊者直接修改控制器。這些發現被記錄在風險評估報告中,以幫助滲透測試人員全面理解漏洞對客戶工業控制系統的廣泛和深度影響,並作為制定防禦策略的重要依據。

核心回顧:
  • Google-Fu:我們學習了如何運用Google的高級搜尋語法,精準地調查客戶的行業、潛在用戶和技術棧。
  • LinkedIn:我們利用LinkedIn來識別員工是否分享了關於公司或其所用技術的敏感資訊。
  • Shodan:我們透過Shodan發現了暴露在網際網路上的設備,並判斷它們是否屬於我們的客戶。例如,我們成功找到了公開的Koyo CLICK PLC設備。
  • Exploit-DB:我們查詢了Exploit-DB,以了解是否有公開可用的利用程式碼,可以針對我們在先前步驟中發現的漏洞進行攻擊。
  • NVD:最後,我們檢視了NVD,以確定在我們發現的系統上存在哪些漏洞,並深入了解其嚴重性和影響。

透過這些蒐集和記錄的數據,我們對客戶的業務、人員、流程和技術有了全面的理解。這為後續的滲透測試工作奠定了堅實的基礎。

展望未來:網路流量監控

玄貓認為,在接下來的章節中,我們將探討網路流量監控的重要性,特別是SPANs(交換埠分析器)和TAP(網路分流器)的應用。這些技術可以幫助我們捕獲和分析網路流量,從而識別出在網路中進行通訊的實際設備。

網路監控的興起:

  • 帶外網路監控:近年來,帶外網路監控在工業網路安全領域佔據主導地位。
  • 被收購的資安公司:許多專注於被動監控的資安公司,例如Security Matters、Indegy、Sentryo、CyberX等,都獲得了大量的風險投資和併購,這突顯了自動化技術及其對關鍵基礎設施影響的重要性。
  • 被動監控的價值:被動監控可以幫助我們在不干擾生產系統的情況下,了解網路行為、識別異常模式,並發現潛在的威脅。

第五章:SPANs與TAP

玄貓認為,前一章我們討論了利用開源研究來建立客戶、其組織、用戶和技術檔案的價值。本章我們將更深入地探索這個「兔子洞」,討論帶外網路監控。在過去幾年中,入侵偵測系統(IDS)在工業網路安全領域一直佔據主導地位。Security Matters、Indegy、Sentryo、CyberX、Claroty、Nozomi Networks、SCADAfence等眾多公司蓬勃發展。風險投資和投資銀行的大量資金湧入被動監控領域,以提高人們對自動化技術及其對關鍵基礎設施影響重要性的認識。

帶外網路監控:SPANs與TAP的關鍵作用

玄貓認為,在工業網路安全領域,所有先進的入侵偵測系統(IDS)都高度依賴於網路基礎設施提供流量分析的能力。這通常透過**交換埠分析器(Switch Port Analyzer, SPAN)測試存取點(Test Access Point, TAP)**來實現。作為滲透測試人員,理解如何利用這些方法進行帶外監控,以及這對滲透測試的意義,是至關重要的。

本章核心議題:

  • SPAN的原理與配置:深入探討SPAN的運作機制,以及如何設定埠鏡像(port mirroring)來複製網路流量。
  • TAP的應用:介紹TAP的類型及其在滲透測試中的實際應用。
  • IDS技術與SPAN:分析工業領域中常見的IDS技術如何利用SPAN來監控網路流量,以及在面對這些系統時應有的預期。

技術要求

為了完成本章的學習和實作,您需要準備以下工具:

  • TP-Link TL-SG108E 智慧型交換器:這是一款經濟實惠的交換器,支援埠鏡像功能,我們將用它來學習如何設定埠鏡像。
  • Throwing Star LAN TAP:這是一款低成本的網路分流器,可用於擷取網路封包,以便後續分析。
  • Wireshark/TShark 和 Tcpdump:這些是業界標準的網路封包分析工具。

Wireshark的安裝與基礎使用

玄貓認為,Wireshark是網路工程師和資安專家監控網路流量的業界標準工具。當網路出現問題時,Wireshark往往是第一個被啟動的工具。它是任何滲透測試工具包中絕對不可或缺的工具。

Wireshark的重要性:

  • 事實上的標準:Wireshark是網路流量分析的業界標準工具。
  • 關鍵工具:它是資安領域中最關鍵的工具之一。
  • 滲透測試必備:對於任何滲透測試人員來說,Wireshark都是必備工具。

Wireshark的安裝:

  • macOS
brew install wireshark
  • Linux發行版
sudo apt-get install wireshark
  • Windows 10: 請透過官方網站下載安裝程式。安裝過程通常很簡單,並且有大量的線上教學資源可供參考。
  • 額外組件:確保在安裝過程中同時安裝所有額外的或補充的組件,例如TShark、dissector plugins、Editcap、Mergecap等。這些組件在後續的分析中會非常有用。

Wireshark的基礎使用:

  1. 啟動Wireshark:開啟Wireshark後,您應該能看到所有可用的網路介面。
  2. 選擇介面:從列表中選擇一個網路介面,然後開始監聽網路流量。
  3. 流量可見性:請記住,您只能看到該介面上的廣播(broadcast)、多播(multicast)和單播(unicast)流量。
  • 廣播與多播:如果您選擇Wi-Fi介面,您會看到大量的設備透過多播和廣播通訊連接到網路,特別是如果您是物聯網(IoT)愛好者。
  • 單播流量的限制:對於單播流量,您只能看到與該介面直接相關的流量。若要監聽兩個通訊設備之間的單播流量,您必須存取SPAN/鏡像埠或安裝TAP。

此圖示:Wireshark安裝與介面選擇

@startuml
!define DISABLE_LINK
!define PLANTUML_FORMAT svg
!theme _none_

skinparam dpi auto
skinparam shadowing false
skinparam linetype ortho
skinparam roundcorner 5
skinparam defaultFontName "Microsoft JhengHei UI"
skinparam defaultFontSize 16
skinparam minClassWidth 100

actor "使用者 (User)" as user
participant "作業系統 (OS)" as os
participant "Wireshark 安裝程式" as installer
participant "Wireshark 應用程式" as wireshark_app
participant "網路介面列表" as interface_list

user -> installer : 執行 Wireshark 安裝 (macOS/Linux/Windows)
installer --> os : 安裝 Wireshark 核心組件
installer --> os : 安裝額外組件 (TShark, dissectors)

user -> wireshark_app : 啟動 Wireshark
wireshark_app --> interface_list : 顯示所有可用的網路介面

user -> interface_list : 選擇一個網路介面 (例如: Wi-Fi, Ethernet)
interface_list --> wireshark_app : 開始監聽選定介面流量

note right of wireshark_app
Wireshark 只能監聽
選定介面上的廣播、多播
和與該介面相關的單播流量。
監聽設備間單播需 SPAN/TAP。
end note

@enduml

看圖說話:

此圖示展示了Wireshark的安裝與基礎使用流程。使用者首先透過Wireshark安裝程式在各自的作業系統上安裝Wireshark及其相關組件。安裝完成後,使用者啟動Wireshark應用程式,此時會顯示一個網路介面列表。使用者從列表中選擇一個網路介面(例如Wi-Fi或乙太網路),Wireshark便會開始監聽該介面上的網路流量。圖中特別強調,Wireshark只能監聽選定介面上的廣播、多播以及與該介面直接相關的單播流量。若要監聽兩個設備之間的所有單播通訊,則需要進一步配置SPAN埠鏡像或使用TAP設備。

網路流量監控:SPAN與埠鏡像設定

玄貓認為,我們已經了解了Wireshark的安裝與基本操作,但要實現真正的設備間單播通訊監控,必須依賴SPAN或TAP。本節將深入探討SPAN(交換埠分析器)及其埠鏡像(port mirroring)功能,並示範如何在受控交換器上進行設定。

什麼是SPAN及其運作原理?

  • SPAN(Switch Port Analyzer),或稱埠鏡像(Port Mirroring),是一種在支援此功能的受控交換器上,將一個或多個埠的流量複製到同一個交換器上的另一個或多個埠的技術。
  • 本地SPAN:這是最常見的SPAN形式,通常用於將流量導向入侵偵測系統(IDS)進行分析。
  • 遠端SPAN (RSPAN):SPAN的擴展功能,允許將遠端網路流量與專用VLAN關聯,然後透過Trunk埠傳輸到另一個交換器。
  • RSPAN的代價:雖然RSPAN對於監控跨網路傳輸的數據非常有用,但它會佔用交換器埠,減少可用於正常運作的埠數量。
  • 滲透測試中的價值:在滲透測試中,RSPAN可以記錄關鍵資訊,例如憑證數據、作業系統資訊、埠和服務等,這些都可以被Wireshark、TShark或Tcpdump捕獲,有助於突破系統。
  • SPAN的負載影響:無論是本地SPAN還是RSPAN,都會增加交換器的負載。如果交換器負載過重,可能導致封包丟失,甚至影響生產運作。在未完全控制或理解的交換器上操作時,必須格外小心,因為任何因SPAN引起的停機都可能導致收入損失。

SPAN與埠鏡像的詞彙解釋:

  • SPAN是Cisco專有的術語,而埠鏡像則是更通用的術語,兩者指代的是相同的技術。

本地SPAN的常見架構:

一個典型的本地SPAN設定是將監控埠連接到分析工具(例如運行Wireshark的機器),而源埠則是需要監控流量的埠。

此圖示:SPAN流量監控架構

@startuml
!define DISABLE_LINK
!define PLANTUML_FORMAT svg
!theme _none_

skinparam dpi auto
skinparam shadowing false
skinparam linetype ortho
skinparam roundcorner 5
skinparam defaultFontName "Microsoft JhengHei UI"
skinparam defaultFontSize 16
skinparam minClassWidth 100

node "PLC/工業設備" as plc
node "終端使用者 PC" as user_pc
cloud "網際網路" as internet

rectangle "受控交換器" as switch {
port "Port 1 (PLC)" as p1
port "Port 2 (PC)" as p2
port "Port 3 (IDS/監控)" as p3
port "Port 4 (網際網路)" as p4
}

rectangle "入侵偵測系統 (IDS) / 監控工具" as ids_monitor {
component "Wireshark" as wireshark
component "TShark" as tshark
component "Tcpdump" as tcpdump
}

plc -- p1
user_pc -- p2
p4 -- internet

p1 -[hidden]right-> p2
p2 -[hidden]right-> p3
p3 -[hidden]right-> p4

p1 ..> p3 : SPAN/鏡像流量
p2 ..> p3 : SPAN/鏡像流量

p3 -- ids_monitor

ids_monitor --> wireshark
ids_monitor --> tshark
ids_monitor --> tcpdump

note right of switch
SPAN/埠鏡像將指定埠的流量
複製到監控埠,供 IDS/監控工具分析。
end note

@enduml

看圖說話:

此圖示展示了一個典型的SPAN流量監控架構。在一個受控交換器中,PLC/工業設備連接到Port 1終端使用者PC連接到Port 2,而Port 4則連接到網際網路。為了監控這些埠的流量,交換器會將Port 1Port 2的流量透過SPAN/鏡像功能複製到Port 3Port 3則連接到一個入侵偵測系統(IDS)/監控工具,該工具內部運行著WiresharkTSharkTcpdump等封包分析軟體。透過這種方式,監控工具可以接收並分析來自PLC和使用者PC的所有流量,而不會干擾正常的網路運作,這對於資安監控和滲透測試中的情報蒐集至關重要。

結論

縱觀現代工業資安的風險評估流程,從外部的開源情資(OSINT)蒐集到內部的網路流量監控,已構成一套完整且層次分明的分析體系。

NVD、Shodan等工具提供了宏觀的威脅輪廓,使我們能預判潛在漏洞與攻擊面,但其價值常止於理論推演。真正的挑戰在於,如何安全地驗證這些外部情資在客戶實際內部網路中的有效性。SPAN與Wireshark等帶外監控技術,恰好彌補了此一斷層,它們將抽象的CVE風險,轉化為具體的網路封包證據,但其瓶頸在於需要取得存取權限,且可能對生產系統造成額外負擔。因此,將外部漏洞數據與內部實際流量進行交叉比對,才是形成精準、立體化風險圖像的核心策略。

未來,工業資安的滲透測試將更趨向這種「靜態情資」與「動態流量」的融合分析。隨著被動監控技術的成熟,純粹的漏洞利用將逐漸讓位給基於數據分析的異常行為偵測,這要求測試者不僅要懂攻擊,更要深刻理解工業流程的正常通訊模式。

玄貓認為,對於資安專家而言,建立從外部威脅探索到內部流量驗證的完整分析鏈路,不僅是提升評估深度的技術要求,更是確保在敏感工業環境中執行安全、有效測試的專業素養核心。