Sinec H1是第一个基于以太网的工业协议，可提供传输层功能。该协议由西门子推出，目的是使用现有标准并丰富工业通信协议的相关细节，主要用于控制系统之间的数据传输。它具有大带宽特点，非常适合传输大量数据。基于ISO / IEC 8073标准，定义了不同的传输方法。

当PLC之间进行通讯时，采用在OSI第4层上的对等数据传输模式，称为传输层连接；

当上位机与PLC之间通讯时，在OSI的第7层上进行TF (Technology Function)通信。

TF（Technology Function）通信服务通常在监控上位机和PLC之间使用，以进行数据采集和控制，在典型的H1网络中，可以使用具有该功能的上位机连接一个或多个PLC。上位机系统必须具有以下功能：可在PLC中读取和写入数据。

虽然该协议推出时间较早，但是其用法简单传输数据量大，现在依然存在于大多数工业现场，尤其是和上位机SCADA进行数据交换时应用广泛。各个厂家在SCADA的通信驱动中集成了该协议，但有的命名为Siemens S7驱动而未提及Sinec H1相关内容。

关于该协议的信息在网上极少，无公开的报文设计类文档，因此无从知晓数据帧格式。面对这种情况。有如下突破的思路：

点击下载后，出现了不美妙的一幕。

显示为限制出口的软件，需要再次注册，即使再次注册最终也是没能成功下载到该软件，因此此路不通，暂时放弃。

转战B路线，在测试环境中找到了上位机SCADA与下位机CP443-1模块利用H1协议通信的驱动程序，命名为s7drv。遂将此文件拷贝出，利用IDA进行分析，如下图：

逆向出的文件很清爽，有完整的文件命名，便于阅读理解。依照main函数找到main_loop，再次深入其中找到处理协议的相关函数Polling_Data,在其中看到轮询数据的处理BUF内存入的数据格式，构造出格式后通过send_to_lan发送至网内。

追踪send_to_lan函数，查看是否还有其余处理程序调用该函数。得到如下图示：

得知有6个函数块调用该发送函数，猜测功能分别为：

针对于6个不同功能的操作函数，梳理其对应的数据结构如下图：

绿底色的数据结构为固定值，可以推测为标志符、长度之类，青底色的结构可以看作是对应函数操作的功能码，其余无填充色的部分均为随着应用场景变化的部分。

在查找资料过程中发现了Wireshark中对于该协议可解析，且可以获取到对应插件的源码，因此对照源码再次梳理以上数据结构。

在block_type_vals[]字段中定义了以下4中类型：

在value_string opcode_vals[]中定义了4中类型：

在value_string org_vals[]中定义了多种类型，对应访问PLC中的各种不同类型的数据块及其片区。

根据以上较为明显的定义，阅读解析协议的插件代码并对照以上逆向分析出的数据结构，得到如下数据帧结构，不同底色的数据内容可划分为一个类别，按照类别理解每个块的功能结构。

至此推测分析该协议的数据帧格式步骤已完成，接下来通过抓取现场数据报文验证分析过程是否准确，抓取一段时间过滤后的报文如下图所示。

可看到Wireshark解析报文info标记为S5，解析内容均为读操作（包含响应与请求），选取几个报文精细分解。

该报文中访问DB38号块，访问地址为0000，长度为0001，结合逆向结果可知该报文在实际的应用场景中为轮询WRFlag状态，响应帧见下：

整个帧结构为响应帧，在操作类型和第2个子块类型中均为读操作的响应帧结构。附带的响应数据为0。

以下该数据帧结构为读取DB36号块，偏移为0，长度为751的请求帧结构。对照逆向的代码，在该应用场景下为轮询PLC内部数据的操作。

到此我们通过逆向SCADA内部的西门子H1驱动结合Wireshark插件源码，给出了报文格式，再根据现场抓取的报文结合分析了数据格式及其现场应用的实际意义与功能。但仍有以下问题：

根据经验推测：该SCADA的驱动为厂商定制开发，结合Sinec H1协议支持的功能只保留对以上提及DB块的特定操作，减少工程组态的工作量，也可以在针对特定行业开发固定工程模板，提高工程效率。

本文选取的FUZZ框架为boofuzz(其余广泛流传的文章中均以sulley、Peach为例)，boofuzz的详细信息下载地址https://github.com/jtpereyda/boofuzz。

Boofuzz是Sulley模糊测试框架的继承者。除了修复了许多错误，boofuzz还提升了可扩展性。主要特性有以下几点：

先需要在脚本运行的PC机上安装boofuzz,

根据以上分析的H1协议帧结构编写fuzz脚本，fuzz对象为下位机PLC系统，因此在参数设置中均以PLC为目标对象。如下所示：