vivek28ahir/ics-network-analysis-grassmarlin

# 使用 GrassMarlin 进行 ICS 网络分析 ## 概述 本项目专注于使用 GrassMarlin 分析工业控制系统（ICS）网络流量。目标是通过对 PCAP 文件进行被动网络分析，识别设备、通信模式、工业协议以及潜在的安全风险。 ## 使用的工具 - GrassMarlin（NSA 工具） - Labtainer - Kali Linux ## 关键活动 - 启动 GrassMarlin 实验室环境（使用 Labtainer） - 导入并分析 ICS PCAP 文件 - 识别网络资产和 IP 范围 - 检查 PLC 与服务器之间的通信 - 分析工业协议和流量行为 - 评估网络安全风险 ## 关键发现 ### 识别出的网络资产 - PLC 控制器（Rockwell Automation） - Windows 服务器（文件复制服务） - 从站和主站 ICS 设备 - 广播和组播地址 ### 观察到的协议 - EtherNet/IP（TCP 44818） - PROFINET 和 EtherCAT - IGMP（224.0.0.22） - LLMNR（224.0.0.252） - NetBIOS（UDP 137、138） ### 流量行为 - 控制器（10.1.30.1）与 PLC（10.1.100.2）之间通信频繁 - 稳定且重复的工业通信模式 - 存在组播和广播流量 ### 识别出的安全风险 - 通信中无加密或身份验证 - 平坦的网络架构（无分段） - 使用可能被利用的组播协议（LLMNR、IGMP） - 跨设备横向移动的潜在风险 ## 关键要点 - 被动分析在 ICS 环境中至关重要 - 工业协议通常缺乏内置安全性 - 网络分段对于防护至关重要 - GrassMarlin 等监控工具可提升可见性 ## 学术背景 本项目作为 ICS 网络安全实验室的一部分完成，重点关注 SCADA 网络分析和被动监控。

标签：EtherCAT, EtherNet/IP, GrassMarlin, ICS 网络分析, IGMP, Labtainer, LLMNR, NetBIOS, PCAP 分析, PLC, PROFINET, SCADA, SCADA 网络分析, SEO审计, 协议分析, 哈希传递, 多播广播, 安全风险评估, 工业协议, 工业控制系统, 工业设备识别, 工业通信, 扁平网络, 无加密通信, 权限提升, 横向移动, 流量行为分析, 潜在安全风险, 编程规范, 网络分段, 网络资产识别, 被动分析, 通信协议识别