【CMIC讯】1.EtherIP协议
 
　　EtherNetIP是由ODVA和ControlNet International两大国际工业组织所推出的面向工业自动化应用的工业应用层协议，它建立在UDP/IP和TCP/IP协议之上。由EtherNetIP工业以太网组成的系统具有兼容性和互操作性强、资源共享能力强、数据传输距离长、传输速率高的优势。
 
　　EtherNetIP在物理层和数据链路层采用以太网，可以与标准的以太网设备透明衔接，并保证随着以太网的发展，EtherNetIP也可以进一步扩展。EtherNetIP的网络层和传输层采用UDP协议传送实时性要求高的隐式报文，如面向控制的实时I/O数据，优先级较高；用TCP协议的流量控制和点对点特性通过TCP通道传输非实时性的显示报文，优先级较低。EthernetIP是实时以太网协议，容易受到以太网漏洞的影响，由于UDP之上的EthernetIP是无法连接的，因此没有内在网络层机制来保证可靠性、顺序性或进行数据完整性检查。CIP协议是一个端到端的面向对象并提供了工业设备和高级设备之间连接的一种协议，EtherNetIP协议在基于传统TCP/IP协议的基础上嵌入了CIP协议，CIP协议的对象模型也存在如下的安全问题：
 
　　CIP未定义任何显式或隐式的安全机制；使用通用工业协议必须对对象进行设备标识，为攻击者进行设备识别与枚举创造条件；使用通用应用对象进行设备信息交换与控制，可能扩大遭受工业攻击的范围，令攻击者可以操纵更多的工业设备；EthernetIP使用UDP与广播数据进行实时传输，两者都缺少传输控制，攻击者易于注入伪造数据或使用注入IGMP控制报文操纵传输途径。
 
　　2.EtherCAT协议
 
　　EtherCAT是由德国倍福（Beckhof）公司提出的开放式实时工业以太网技术，已经被纳入国际标准IEC61158、IEC61784以及ISO15745-4。EtherCAT是最快的工业以太网技术之一，提供纳秒级精确同步。相较于其他设置了相同时间的传统总线，EtherCAT系统结构通常能减少25%-30%的CPU负载，且节点地址可被自动设置，无需网络调试，集成的诊断信息可以精确定位到错误，EtherCAT也不需要配置交换机，避免了处理复杂MAC或IP地址的过程。EtherCAT采用分布时钟的精确校准提供了有效的同步解决方案。由于通讯利用了逻辑环网结构和全双工快速以太网兼实际环网结构，“主站时钟”可以简单而精确地确定对每个“从站时钟”的运行补偿。总体而言，EtherCAT具有高性能、拓扑结构灵活、成本低、高精度等优点。
 
　　EtherCAT是实时以太网协议，以太网协议的漏洞同样存在，容易受拒绝服务式攻击。UDP上的EtherCAT是无法连接的，没有内在的网络层可靠性、顺序性和数据完整性检测机制等。EtherCAT的时间同步机制也容易被注入网络的干扰帧，同时由于没有身份认证授权机制，存在容易被中间人攻击等安全问题。因此，应当与其他以太网系统进行隔离。
 
　　大家对工控主流协议的脆弱性有了解了吗？

责任编辑：拂晓晨风