常见报文分析要点.docVIP

常见报文分析 前言：抓包工具的使用方法 Ethereal工具的使用方法 抓包设置页面 协议显示 显示信息 过滤机制 4.1 关键字段过滤 1）按目的MAC地址过滤 2）按源MAC地址过滤 3）按优先级过滤 4）按VLAN过滤 语法vlan.id == 210 5）按以太网类型码过滤 vlan.etype == 0x88b8 6）按APPID过滤 7）按GOOSE控制块过滤 语法：frame[30:9] == 80:07:67:6f:63:62:52:65:66 从该帧报文的第30个字节读取9个字节 8）其他字段的过滤类似不在一一举例 4.1 组合过滤 1）找到特征报文的起始点 2）标注起始报文 3）去掉过滤条件，在所有的原始报文中显示标注报文，能找到事件之间的时间关系 4）进一步优化时间显示 设置特征报文为计时参考点 过滤结果 MMS报文 MMS（GBT 16720.2-2005 ）是一种实时通信机制1.对象建模：对一个实际设备进行抽象，利用面向对象思想理解设备的逻辑构成。参考7－2中进行抽象建模，提炼出设备所含有的逻辑节点，每个逻辑节点所含的参数、属性，找出逻辑节点之间数据流向。整个过程需要对设备有大概的了解，知道设备可以被抽象为哪几个逻辑节点组成，特别是数据流向问题，还有该设备可能和哪些其他设备发生数据关系。参考7－1找出该设备与其他设备发生交换的时候需要哪些ACSI服务。最