淺析PROFINET中DCP協議

晏騰飛

摘 要：DCP協議作為PROFINET協議的一部分，作用是對PROFINET設備進行名稱分配以及設置網絡參數等。介紹DCP報文的基本格式、含義，以菲尼克斯PLC模塊及管理型交換機搭建的簡單PROFINET工業以太網為例，結合網絡報文分析工具Wireshark，對PROFINET設備名稱、IP地址等網絡參數設置的過程細節進行了分析，總結DCP的特點以及應用注意事項。

關鍵詞：PROFINET;DCP;Wireshark;協議

中圖分類號：TP391文獻標識碼：A文章編號：2096-6903（2022）08-0123-03

0 引言

PROFINET是一個開放式的工業以太網通訊協議，由PROFIBUS & PROFINET國際組織（PI）所提出。PROFINET吸收了多年成熟應用的PROFIBUS和工業以太網的技術特點，采用開放的IT標準，與以太網的TCP/IP標準兼容，并提供了實時功能，能滿足所有自動化的需求[1]。自2003年起，PROFINET成為IEC 61158及IEC 61784標準中的一部分。成為市場上領先的工業以太網標準。根據PROFIBUS & PROFINET國際組織（PI）發布的最新數據，截至2021年底，總計已有4800多萬臺PROFINET設備安裝于工業現場，與2019年相比增加了850萬臺，增長率22%。

分析PROFINET使用DCP協議對設備進行發現、名稱分配、設定網絡參數的過程，采用管理型交換機以及Wireshark對設備間的真實網絡報文進行捕獲與解析，以了解DCP協議工作的細節與特點。

1?DCP簡介

DCP全稱Discovery and Basic Configuration Protocol，意為發現和基本配置協議。在將PROFINET設備投入使用前，需要通過工程工具或者控制器設置該設備的名稱、IP地址等參數。設備名稱（Name of Station）對于PROFINET網絡中設備來說是必須的，且同一網絡中的設備名稱不能重復。為防止重啟后失效，參數需永久性地保存在設備的設置中[2]。

DCP工作在數據鏈路層，依靠設備的MAC地址區分不同設備，因此無須設置IP地址即可發現或者設定PROFINET設備，這個特性還帶來一個影響：計算機只能發現和設定在同一子網中的PROFINET設備，即DCP數據幀不能穿過NAT設備，例如路由器。

2DCP幀結構

一個DCP幀具有以太網類型0x8892（表示PROFINET），其結構如圖1所示，其中數據字段的長度及取值見表1。

服務ID代表了DCP的四大功能：Get、Set、Identify、Hello，最常用的功能是Set和Indentify。Set表明這是一個設置幀，當服務類型是Request時，收到該幀的設備將按照數據塊中的內容設置自己的名稱、IP地址、子網掩碼、網關、閃爍識別、恢復出廠設置等，設置完成便向對方發送服務類型為Response Success的設置幀表示應答。Identify表明這是一個識別幀，功能是PROFINET設備的識別和應答，收到該幀的設備會向控制器回復自己的信息，包括設備名、型號、廠商、IP地址等。工程工具掃描網絡中有一些PROFINET設備便是使用此功能。

Xid：請求和響應通常是成對出現，所有的響應都要包含和請求同樣的Xid，以便控制器確定收到的響應是屬于哪一個請求。

響應延遲：由于 DCP 可能同時查詢網絡上的所有設備，它們也會或多或少地立即發送回復，因此可能出現同時發送的情況。這將導致流量大幅增加，并可能導致擁塞，從而干擾設備間關鍵過程數據的交換。為了防止這種情況，響應延遲字段用于定義一個時間間隔，所有響應都應在該時間間隔內展開。有效值是從 1 到 6400，這意味著響應可以是最小10 ms和最大64 s。

3DCP報文監聽

3.1 硬件設置

以菲尼克斯型號為AXC 3050的PLC及BK PN子站為主要研究對象，使用管理型交換機以及Wireshark網絡分析工具來對DCP的工作過程進行具體分析。

將控制器AXC 3050連接至交換機端口1，將子站BK PN連接到交換機端口3，安裝了Wireshark的計算機連接到交換機端口5，如圖2所示。

3.2 軟件設置

設置管理型交換機，將端口5作為端口1 的鏡像端口，即端口1的所有數據幀將會被復制到端口5，包括流出和流入的數據，接到端口5的Wireshark便可以捕獲并分析所有AXC 3050與BK PN模塊之間的通信。打開Wireshark，選擇連接了交換機端口5的網卡，點擊捕獲，開始記錄端口5上的數據。

在工程軟件中新建一個項目DcpTest，將各設備做如表2的配置，其中，AXC 3050的MAC地址為a8：74：1d：02：6e：12，BK PN的MAC地址為00：a0：45：91：cf：c9。

在將項目下載到AXC 3050前，應先設置其名稱及IP地址、子網掩碼等，步驟如下，打開DCP Tool，掃描設備，找到AXC 3050，設置其名稱為axc-30503，IP地址為10.11.11.2。

3.3 DCP數據幀分析

在Wireshark過濾器中輸入pn_dpc以過濾掉無關的幀。可以觀察到DCP Tool設置設備名稱及IP的過程（如圖3所示）：

幀4為DCP Tool發送的設置名稱請求，目的地址正是AXC 3050的MAC地址。內容是“站名稱：axc-30503”。

幀5為AXC 3050的回復：設置完成，響應正常。

幀10為DCP Tool發送的設置IP請求，內容是“永久保存，IP地址10.11.11.2，子網掩碼255.255.255.0等”。

幀11是AXC 3050的回復：設置完成，響應正常。

將項目下載到AXC 3050中，等控制器啟動完成，可以觀察到若干個識別請求。應該注意，DCP 識別請求對于 PROFINET 設備的識別和參數化至關重要。在控制器啟動時，它們用于搜索組態中的 PROFINET 設備，這個過程循環重復，直到相應的設備響應。可在圖4中觀察到這種現象。

幀17～47表明控制器向MAC地址01：0e：cf：00：00：00發送識別請求幀，這個特殊的MAC是PROFINET的組播地址。這些報文的含義如下：哪個站的名稱是axl-f-bk-pn，收到請響應。因為BK PN的設備名稱還未設置，所以網絡中沒有設備能響應控制器的請求，控制器就一直重復發送這個組播幀。

控制器啟動完成后，通常在 PROFINET 網絡中不再發生DCP多播。可能的例外是臨時可訪問設備的配置，例如由于工具更改或無線鏈接。應該根據情況決定采取措施（例如臨時注銷節點）來最小化 DCP 多播的數量。如果控制器啟動后需搜尋的設備數量大于20，則會導致組播負載太高，不能保證無故障運行[4]。

下一步使用DCP Tool設置BK PN模塊的名稱為axl-f-bk-pn，然后觀察控制器和子站間的數據（如圖5所示）。

幀89，控制器請求：設置子站的名稱為axl-f-bk-pn。

幀90，子站回復：設置完成。

幀96，控制器組播：哪個站的名稱是axl-f-bk-pn。

幀97，子站回復：本站的名字是axl-f-bk-pn。

幀117，控制器：設置IP為10.11.11.30等參數。

幀118，子站回復：設置完成。

打開DCP Tool，重新掃描設備，可以觀察到子站BK PN的IP地址等網絡參數已經分配，與DcpTest項目中的設置保持一致。

可以看出，DCP與常見的DHCP（動態主機配置協議）有相似之處[3]，都是對網絡中的設備分配IP地址等參數的協議，主要不同點是DCP由控制器主動查找設備，對符合硬件組態的設備主動進行分配設置，不能跨網段，而DHCP是設備向主機發起請求，主機再進行響應，其作用范圍是跨網段的。

4 基于DCP的網絡攻擊

目前的DCP協議中并沒有設計身份驗證字段，而該協議又負責設備的配置，因此通過偽造報文，可以發動對PROFINET網絡的攻擊。例如數據包洪流攻擊、數據包嗅探、Xid欺騙等[5]。以數據包洪流攻擊為例，正常網絡中，控制器識別出設備并收到響應之后便不再發送識別請求。而偽裝成控制器的攻擊者可以掃描出網絡中的所有設備的名稱，然后向網絡中組播大量的識別請求，設備可能會忙于進行響應而不能處理正常的數據，甚至導致宕機（如圖6所示）。

不過，正因為DCP報文使用的是第二層協議，不能通過路由設備，惡意設備必須能訪問到控制器所在的同一網段才能起到作用，所以影響較小。當網絡規模較大，難以控制接入設備時，被入侵的風險也隨之增加了。

5結語

通過搭建一個PLC主站及子站構成的簡單PROFINET網絡，分析了DCP發揮作用的過程，挖掘DCP工具不能跨子網進行設置的原因，以及控制器如何發現并管理PROFINET設備的細節，還對利用DCP進行網絡攻擊的可能性進行了分析。有助于厘清DCP工作的基本原理、抓包網絡的搭建以及工程工具的適用環境。

參考文獻

[1] 廖常初，祖正容.西門子工業通信網絡組態編程與故障診斷[M].北京：機械工業出版社，2009：336.

[2] 和淑芬，沈勇，范雄濤，等.深入解析 ProfiNet IO 系統啟動前尋址的實時報文[J].電氣技術，2018（2）：96-101.

[3] 陳曦.PROFINET IO技術中的DCP協議[J].中國儀器儀表， 2016（10）：27-30.

[4] PNO， PI.PROFINET Commissioning Guideline for PROFINET[C].PROFIBUS Germany，2019.

[5] Sangkyo Oh， Hyunji Chung， Sangjin Lee， et al. Advanced Protocol to Prevent Man-in-the-middle Attack in SCADA System[J].International Journal of Security and its Applications，2014（2）：1-8.