Modbus netwerk sniffer

Ik ben bezig een testomgeving te maken voor modbus communicatie. Ik ben nog in de fase om uit te denken wat ik precies wil bereiken en hoe ik dit wil bereiken. Ik heb een paar testapplicatie's gemaakt en weet hoe ik moet communiceren en hoe ik de communicatie op wil bouwen.

In de communicatie module heb ik ook een wens voor een sniffer waarmee ik kan zien wat er gecommuniceerd wordt. Voor een serieel modbus systeem is dit niet zo moeilijk, aangezien je alle berichten toch wel krijgt en enkel op de berichten reageert die voor jou bedoeld zijn.

Voor een modbus over ethernet systeem zie ik wel moeilijkheden. Ik zit namelijk achter een switch en ontvang dus niet alle berichten. Ik heb in mijn zoektocht 2 dingen gevonden die ik wellicht kan gebruiken:

ARP spoofing

Ik wil een debug systeem maken en geen gekke dingen doen die fouten kunnen veroorzaken. Zoals ik het lees ga je de berichten van een ander overnemen en dat is niet mijn bedoeling.

Manageble switch

Deze zijn behoorlijk duurder dan unmanageble switches en gezien het aantal service momenten niet erg aantrekkelijk.

Kan ik misschien op een andere manier (zonder het systeem teveel te beinvloeden) de communicatie over het netwerk opvangen?

Side info:

De netwerken die ik gebruik staan compleet los van de buitenwereld en er wordt geen vertrouwelijke informatie verstuurd.

LuckyY schreef op dinsdag 15 juli 2008 @ 17:39:
En iets van een onzichtbare proxy / gateway waar al het verkeer doorgaat is misschien wel een oplossing.

Het gaat om een netwerk van een paar PLC's, distributed I/O en een aantal touchscreens. Er hangt geen server in het netwerk die het netwerkverkeer regelt. Ik wil mijn laptop aan het netwerk hangen en het modbus verkeer kunnen monitoren.

Een HUB gaat sowieso niks worden denk ik, want de materialen die ik kan gebruiken moeten scheepskeur hebben en daarmee is het aanbod behoorlijk beperkt. Ik weet misschien een merk die het heeft, maar eigenlijk wil ik hier niet aan beginnen. Ik zou het systeem dan nog liever iets duurder maken met een manageble switch.

LuckyY schreef op dinsdag 15 juli 2008 @ 20:48:
Als al het verkeer via je server gaat kan je op je server iets als wireshark installeren.

Er is geen server. Een aantal losse apparaten die modbus praten, verder niks.

Het netwerk is vrij simpel. Alle apparaten zijn via 1 of meer switches verbonden. Afhankelijk van de applicatie met een redundante ring. Zodra er een redundate ring komt maakt de prijs van de switch niet zoveel meer uit.

Ik beperk mijn oplossing tot 1 switch met een aantal apparaten. Er moet ergens 1 station zijn die alleen tijdens service momenten aanwezig is die alle verkeer kan monitoren op 1 switch.

In een redundant netwerk heb ik 1 ringmaster (dipswitch op de switch). Sowieso in een redundant netwerk kies ik wel voor duurdere switches.

En weet je zeker dat je geen server-achtig geval nodig hebt? volgens Wikipedia is Modbus een master-slave protocol.

Modbus serieel is master - slave
Modbus TCP/IP is client - server

Ik heb geen server die het netwerkverkeer regelt. Elk apparaat heeft een modbus server.

Zou ik door bijvoorbeeld een MAC adres van een bepaald apparaat te spoofen alle verkeer op kunnen vangen voor dat adres zonder dat het apparaat er last van heeft?

Resistor schreef op dinsdag 15 juli 2008 @ 22:28:
Zo lang dat apparaat niet terug gaat praten over het netwerk kan je dat met een multiport repeater (oftewel een hub) afluisteren.

Dat was mij voor het openen van dit topic ook wel duidelijk. Een hub is geen mogelijkheid, zie AlainS in "Modbus netwerk sniffer"

En als de afstanden niet te groot zijn moet dat zelfs passief kunnen volgens mij.

Hoe bedoel je passief? Kun je hier meer over vertellen?

leuk_he schreef op dinsdag 15 juli 2008 @ 22:51:
ARP spoofing zorgt ervoor (afhangelijk van de swtich) dat meer poorten de pakketjes ontvangen. Zou kunnen werken.

Ik zal het eens uitproberen met de switch die ik normaal gebruik.

Mijn speedtouch 780 (volgens mij alle speedtouch modems met meerder ethernet poorten) heeft een (beetje) manageable swtich. in ieder geval manageable genoeg om het verkeer te kunnen sniffen dat over andere poorten gaat. (multi ethernet speedtouch kosten niet veel op internet http://link.marktplaats.nl/176911490 )

Mja, maar de switch die ik gebruik moet scheepskeur hebben en 'huis tuin en keuken' switches hebben dat niet. Alleen als een leverancier behoefte voelt om switches te gaan leveren aan de scheepvaart zal een leverancier geld investeren om een scheepskeur te krijgen. Geloof me, het aanbod is zeer klein.

En je kunt sniffen op het begin/eindstation zelf. Dit beinvloed de performance van dat station, maar niet het verkeer.

Op een relatief eenvoudige PLC of ethernet kopstations kun je niet sniffen. Dat is nu net de reden dat ik een sniffer op wil nemen in mijn applicatie. Het is erg lastig om een diagnose te stellen als je het station niet uit kunt lezen.

Resistor schreef op dinsdag 15 juli 2008 @ 23:34:
[...]

Een passieve hub is heel simpel gezegd een splitter, zonder extra componenten die wat met de signalen doen (versterken, regeneren)

ah, dat bedoel je dus.

leuk_he schreef op woensdag 16 juli 2008 @ 19:58:
[...]

Ik heb zelf geen idee wat scheepskeur is zonder te zoeken. Maar je wilt in een productie omgeving sniffen? Dat kan wel eens lastig worden. Ik had begrepen dat je een bepaalde situatie wilde debuggen, voor debuggen mag je waarschijnlijk wel gespecialiseerde apparatuur (Lees huis-tuin en keuken router) aansluiten.

Tijdens het debuggen op het bureau mag dat wel. Het gaat juist om de situatie wanneer alle onderdelen aan boord van het schip gemonteerd zijn. Dan wil ik zien welk apparaat wat communiceert. Dit kan handig zijn bij het inbedrijfstellen en bij eventuele storingen.

echter in productie sniffen levert zoveel data op dat je dat waarschijnlijk niet op een embedded device kunt opslaan. ??????

Een 'dom' eiland heeft geen geheugen waar je iets in op kunt slaan. Laat staan een applicatie op laten draaien. Er gaat overigens niet veel data over het netwerk.

sh4d0wman schreef op vrijdag 18 juli 2008 @ 16:14:
Wees wel voorzichtig met je arp spoofing. SCADA implementaties zijn niet altijd even stabiel... een simpele poortscan heeft wel eens een netwerk deels plat gelegd omdat devices hier van op tilt gingen.

Dat is nu net iets wat ik wil vermijden. Maar ik zal het eens testen met onze apparatuur (als ik weer eens op kantoor kom).

Ik zal nog eens naar die scheepsnorm kijken, wel benieuwd wat er zo speciaal moet zijn aan die hardware.

Op zich niks speciaals. Het zijn wat hogere normen met name op vibratie enzo. Het speciale is dat je je testgegevens aan de keuringsinstantie geeft waarvan je een certificaat wilt (er zijn er nogal wat) en deze instantie moet betalen om alles te controleren en eventueel zelf testen hiermee te doen. Dat kost veel geld en doe je dus alleen als je wat in die tak van sport wilt doen.

ElbY schreef op zondag 20 juli 2008 @ 00:43:
Welk scheepskeurmerk ben je precies naar op zoek - DNV? Zo ja, dan is misschien deze interessant:
http://www.modelec.nl/product.php?id=73

Deze switch gebruik ik als ik een redundant netwerk heb. Meestal wordt de boot gekeurd door LRoS, maar aangezien LRoS destijds geen enkele redundante switch goedgekeurd had mocht ik deze gebruiken.