问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
汽车CAN总线-01 介绍
免责声明:本文涉及到的所有技术仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透。否则产生的一切后果自行承担!一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢! 本专题文章将分为三部分:介绍、攻击、演示,本文为第一部分汽车CAN总线介绍 。
工作原理 ==== CAN总线协议介绍 ========= CAN是控制器局域网络(Controller Area Network, CAN)的简称,是由以研发和生产汽车电子产品著称的德国BOSCH公司开发的一种串行通讯协议总线,它可以使用双绞线来传输信号,是世界上应用最广泛的现场总线之一,是当前应用最广的汽车总线,并最终成为国际标准(ISO 11898)。 CAN总线通常采用屏蔽或非屏蔽的双绞线,总线接口能在极其恶劣的环境下工作。根据ISO 11898的标准建议,即使双绞线中有一根断路,总线都必须能继续工作。 ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-9df024ce52d3b14335ebb04a3b550163778e7a0c.png) 在一个CAN总线上,存在CAN传输器,CAN控制器以及微控制器。CAN传输器以及控制器负责建立CAN协议的底层规则,微控制器负责提取CAN协议部分并提供给应用程序使用。 寻址方式 ---- ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-717c2760f45fa910c008e499376562b50c71100e.png) CAN协议具备两种寻址方式一种是点对点传输,一种是广播传输。 CAN过滤器 ------ ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-a7d1f2d70eb685284565a34398adccbfeb1b9d59.png) 在CAN网络上控制器部分,实现了过滤节点,将不属于自身以及自身不感兴趣的报文进行过滤。 冲突访问与仲裁 ------- ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-2782b16ad6a4ead1dc4c8948925400ad7acfe720.png) 上图可以看出总线上三个节点同时发送报文,但是是由优先级的,谁先发谁后发都是有一定规则。 ### 优先级裁定 显性与机制 ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-a3417173628c16531598806994e19f424f0dcf2a.png) 不同节点同时发送数据,0为显性位,1位隐形位。将按照$1 & 0$的方式来确定发送优先级,仲裁优胜一方将继续发送并仲裁,另外一方将从发送节点转为接收节点,上图的节点A仲裁输了,将转换身份从发送节点转变为接收节点。随后B,C节点继续仲裁。 ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-ed429ad29c65cde2a0b4e95ff5554876af5b8176.png) #### 优先级 介于仲裁优先级判断方式,*CANID*越低优先级越高。 ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-ef7193ac1a4497b5fa65389b29bd90f846f11f2d.png) 报文协议 ---- | 名称 | id长度 | 数据长度 | 常见度 | |---|---|---|---| | 远程帧 | 11位 | 0 | 不常见,仅起请求作用 | | 标准帧 | 11位 | 64位 | 常见 | | 扩展帧 | 29位 | 64位 | 商用车常见 | | 扩展远程帧 | 29位 | 0位 | 极少见 | ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-97393fe1d6882ad75aabbfa60e82e10cd5639eb2.png) ### 完整的一帧CAN报文 ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-1b97406aa00211548798700008d9f9b9901e1bd6.png) ### 帧起始(*SOF*) ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-fe0238bf21829085d263bb1d303140ca5b8c97db.png) 发送节点设置起始为0,表示总线非空闲。接收节点与发送节点做硬同步。 ### 标识(*Identifier*) ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-03d18ac9e2eec2dcdbdd666f92068c6623b35395.png) ### 远程传输请求(*RTR*) ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-209034e1946f1e98d6b8d33a729fbfd84d92aa6a.png) - 0 表示此帧是数据帧 - 1 表示此帧是远程帧 ### 标识扩展(*Identifier Extension*) ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-f7ec77a7c982ccbf9c726cde4bb839a452457324.png) - 0 表示此帧是标准CAN报文 - 1 表示此帧是扩展CAN报文 #### 扩展帧的远程请求位(*SRR*) 在**扩展帧**状态下,*SRR*位与*RTR*的作用相同,都是表示此帧是否是一个远程帧。 ### 保留位(*r*) 此位是存在标准帧上无意义,一般为0。在CANFD时对此进行重新定义。 ### 数据长度与数据(*DLC*) ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-ece837917f9cfd496e8af5bdcfbc81d2c8eed2d5.png) 此域总共4位可以表示0-15个整数。 - 0-8 表示实际数据段的字节数 - 9-15 表示数据段有8个字节 在CANFD中将数据段可以扩展到16个字节。 ### 循环校验(*CRC*) ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-d82ee2e6926efad46fe96d5fcb28ed9d2283bf19.png) 发送节点计算从*SOF*到数据部分的校验值存入*CRC*字段中。接收节点按照同样的算法进行计算并与*CRC*中的值进行比较。 ### 界定符位(*DEL*) 固定格式1,目前无实际意义。 ### 应答位(*ACK*) ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-57c631359e2a399cdaef36990cbc7bc70bb31622.png) 接收节点会根据CRC得校验来设置*ACK*位来表明传输是否存在错误。 - 0 表示成功 - 1 表示失败 发送节点在发送帧之后会接收回应帧,如果*ACK*位为0,则表示发送数据成功,它会继续发送。如果为1,则发送节点会停止发送并再之后发送一个错误帧。 ### 界定符位(*DEL*) 固定格式1,目前无实际意义。 ### 结束位(*EOF*) ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-341184664bbfad6c6774d62bde26c03a9c97889f.png) *EOF*是连续的7个1表示一帧的结束。*ITM*是帧间隔,是三个111,紧跟在每帧的*EOF*后。 总线空闲 ---- 因为*DEL* + *EOF* + *ITM*一般是连续11个1。所以在检测到总线上存在连续11个1时,即表示总线空闲。当有节点检测到总线上连续11个1时既可以在总线上发送数据。 这里就造成了一个问题,如果在一帧报文中出现11个1的话如何解决。这里就涉及到位填充的机制了。 位填充 --- ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-5a1fa9e4f318c913771daf0978f75f3a6703711e.png) 在总线上,如果存在连续5个1或者0,那么会在随后插入一个相反的位。填充范围是从*SOF*开始到*CRC*结束。也就是说报文区域不可能存在连续相同的位。从上图可以看出,连续存在是包含了插入相反位的状况,也就是说连续五个1后,插入一个0,如果报文正常时跟的连续4个0,那么加上插入的0又构成连续5个0,那么就又插入了1。下图清晰的展示了这种情况。 ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-b1e1a4911b3c9a35654db444754b37a61e2fbcd7.png) 数据保护机制 ------ ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-6a35c910eb8dad61f317fd393fcb943a5926124a.png) 以下列出了几种检测手段。 - 位检查 - ACK回应包 - ACK回应位检查 - CRC校验 - 位填充 - 格式检测 ACK回应包,CRC校验,位填充。都在以上小节叙述过了,下面小节讲解位检查、格式检查以及ACK回应位检查。 ### 位检查 ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-bf7fe9daf17193b3bcecb21c1f87981b75c348df.png) 发送节点通过位监控的手段来检测是否发送错误,具体原理就是检测回应报文是否与发送一致。这里分几个部分,在上图中在仲裁场也就是*Identifier*+*RTR*部分(图中显示为虚线)如果发1读0,不会认为这事一个位错误,当作仲裁失败处理。但是发0读1。在*ACK*部分也是虚线表示,因为*ACK*是返回0表示回应正确。1表示错误,所以发1读0,是没有错误的。 ### 格式检测 格式检测就是检测两个*DEL*位以及*EOF*位是否为1,这样的固定格式。如果检测到错误则会发送错误帧。 ### ACK回应位检查 ACK回应检查一般由接收节点来填充回应,当它发送了回应包,它也会回读总线上的回应包,如果它发送的是1,回读到的是0,那么它会认为破坏了帧的内容,则这个节点就会在下一帧发错误帧。 错误帧 --- 当一个错误被检测到,那么错误帧会在下一刻立即发送。这里除了CRC校验错误。CRC校验错误会在返回给发送节点之后,由发送节点判断ACK位是否为1来确定是否发送错误帧。 ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-f35bef5362eec62eacc14c6aeb61599c76116455.png) ### 错误帧格式 错误帧是由错误标志位+错误界定符组成。错误标志位由主动状态与被动状态组成。 #### 主动错误状态(*Error-Active Node*) 在主动检测到发送存在错误时,节点会发送6个0的测试标志位+8个1的错误界定符,但是可能总线上存在其他节点也在发送主动错误帧,所以这里的错误标志位可能不止6个。 #### 被动错误状态(*Error-Passive Node*) 在被动错误状态,将发送6个1的测试标志位+8个1的错误界定符。如果是发送节点它的错误状态是直接可以发出来的,但当接收节点处于被动错误状态时,检测到错误,它发送的错误帧可能会被其他节点的发送覆盖掉,所以它只能等待处于主动状态的节点发送6个0后,它再发送6个1。 ### 错误帧例子讲解 首先假设所有节点都处于主动状态,也就是说当它们检测到错误后,会连续发6个0和8个1。下图展示了,当发送节点发送数据3个1后又发送了1个0,但是根据位监控机制回读总线上读出来是1。 ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-0cc57a742702373293bc95194cc5d4377831a910.png) 那么它会发送6个0与8个1,表示错误。 ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-16493d659c7737fde3a0f643b461091794711bc2.png) 但是接收节点读取总线数据,它读到错误发送1,它是不知道1是错误的。它继续读取直到读取到连续的6个0。由于位填充规则总线上是不可能有连续6个相同的位的。破坏了填充规则。 ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-960578f20e38dd412d80629ef894467371d5c8df.png) 它会任何这是一个错误,它会发送一个6个0加8个1的主动错误帧。从下图可以看出是所有接收节点都会这样去做。 ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-3bea21ca6e79b93dc4ffe380503dc288f1007f1d.png) 那么此时错误帧可能存在连续12个0外加8个1。最后会再填充3个1的帧间隔,总共连续11个1,那么总线又进入一个空闲状态。那么发送节点会将这帧进行重发。从上图可以看出,再出现错误时,只要是参与通讯的节点都会发送错误帧。 ### 错误状态判断 下图展示了主动错误状态与被动错误状态的转换。可以看出总共有三种状态,那么一个节点就有这三种状态。 1. 主动错误状态 2. 被动错误状态 3. BUS OFF状态 ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-d51ac4ded47b4e858dc0c22482127d2bb049493b.png) 在每个节点内实现了两个寄存器,一个是TEC(发送错误计数器)一个是REC(接收错误计数器)。节点内部通过这两个计数器的数值来完成两个错误状态的切换。当**TEC与REC都小于等于127**时,节点处于主动错误状态,当**TEC或者REC数值大于127**时,状态切换到被动错误状态,当**TEC和REC都小于128时**节点又切换回主动错误状态,当处于被动错误状态时,**TEC大于255**那么会切换到BUSOFF状态,在BUSOFF状态,或者通过软件重置或者等待连续128组11个1后转为主动错误状态。 在CAN11898-1中明确定义了TEC,REC的数值说明。简要来讲就是当一个节点成功发送一帧报告,那么它的TEC与REC的计数就减1。发送节点在发送数据后检测到错误,那么它的TEC就会加8。接收节点率先检测到错误之后它的REC就会加8。如果在其他节点检测到错误帧的状况下,又检测到错误那么它的REC就会加1。具体可参见标准。 ### 主动错误状态与被动错误状态的不同 ![图片](https://shs3.b.qianxin.com/attack_forum/2023/12/attach-dc558032fe0a3dbb8a67f29aa429952b61ccbac8.png) 三种错误状态的不同,在主动错误状态的节点,就是正常的节点,收发都是正常的。但是当处于被动错误状态在检测到连续11个1的帧末尾后,它是不能直接发送数据的,它必须等待8位的空闲时间后再进行发送。这是对它的一个惩罚。当进入BUSOFF状态的节点那么是不允许它发送数据的。
发表于 2024-01-05 09:00:00
阅读 ( 5123 )
分类:
其他
1 推荐
收藏
0 条评论
请先
登录
后评论
zh1chu
3 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!