抓包工具以及报文解析.docVIP

包工具以及报文解析抓常用的包工具有抓Windows下的mms-etherealWireShark和Solaris下的snoop命令。mms-ethereal可以自动解释mms报文适合进行应用层报文的分析WireShark是ethereal的替代版本介面更加友好但标准版本中没有对mms报文分析的支持snoop主要是用来包没有图形化的分析介面抓snoop取的档可以用抓WireShark打开辅助分析对於广播和组播报文如装置的UDP心跳报文、GOOSE报文61850-9-2的smv采样报文可以用笔记本连接到交换机上任意埠取。对於后台与装置之间的抓TCP通讯有两种方法。一是直接在后台机上安装软体来包二是利用抓HUB连接后台与装置将笔记本接到HUB上包。抓注意是HUB不能交换机。调试61850的站最好要家里带上一个HUB库房一般是8口10M的TP-LINK---不是交换机。主要用於资料包便於档问题抓。没有HUB根本没有办法档看远动与装置的mms报文只能取到抓goose资料包。如果现场有管理型交换机也可以通过设置埠镜像Mirror功能来监视mms报文。WireShark和mms-ethereal均是图形化的介面使用起来比较简单注意选择正确的网可。卡即snoop的使用方法可以用man snoop取得最基本的命令为snoop -d bge0 -o xx.snoop下面均以WireShark例为mms-ethereal与之类似。1 设置包过滤条件抓在后台上包时资料量比较大档一大之后解析起来速度慢如果单纯了分析抓很为应用层报文可在包的时候设置过滤条件。如果了分析网路通断问题一般不设置过抓为滤条件便於全面了解网路状况。包过滤条件在抓Capture-Options-Capture Filter里设置点Capture Filter会有多现很成的例子下面列几个最常用的。举tcp 只取抓tcp报文udp 只取抓udp报文host 198.120.0.100 只取抓198.120.0.100的报文ether host 00:08:15:00:08:15 只取指定抓MAC地址的报文2 设置显示过滤条件打开一个包档后可以在工具列上的抓filter栏设置显示过滤条件这里的语法与Capture Filter有点差别例如下。举tcp 只取抓tcp报文udp 只取抓udp报文ip.addr198.120.0.100 只取抓198.120.0.100的报文eth.addr00:08:15:00:08:15 只取指定抓MAC地址的报文还可以在报文上点击右键选择apply as filter等创建一个过滤条件比较方便。3 判别网路状况输入显示过滤条件tcp.analysis.flags可以显示失、重发等异常情况相关的丢TCP报文此类报文的出现频率可以作评网路状况的一个尺规。常见的异常类型有以下几个为估TCP Retransmission由於没有及时收到ACK报文而档生的重传报文TCP Dup ACK xxx重复的ACK报文TCP Previous segment lost前一帧报文失丢TCP Out-Of-OrderTCP的帧顺序错误偶尔出现属於正常现象完全不出现说明网路状态上佳。监视TCP连接建立与中断输入显示过滤条件tcp.flags.syn1tcp.flags.fin1 tcp.flags.reset1SYN是TCP建立的第一步FIN是TCP连接正常关断的标志RST是TCP连接制关断的标志。强统计心跳报文有无失丢在statistics-conversations里选择UDP可以看到所有装置的UDP报文统计。一般情况下相同型号装置的UDP报文的数量应该相等最多相差1到2个如果个别装置数量异常则可能是有心跳报文失可以以该装置的位址过滤条件进行进一步档。丢为找报工具是归档里面的抓61850的报文监视工具。如下打开包工具点击左侧第二个按开始设置抓钮选择本电脑网位址就是本地连接里面设置的卡IP位址设置要监视的装置的IP位址格式为host 198.120.0.72。点击browse按设置存储档案名及路径钮设置长期包存储选中抓按包大小存贮抓m代表MB可以是KB或者GB按时间存储如下图把这个选项勾上就可以时显示资料便於档问题。即找点击“start”按开始包。钮抓destination这两个MAC位址都是IL2215B的MAC位址source是实际网的卡MAC位址就是大家平时所说的MAC地址destination是组播地址在SCD中写体现在填goose.txt文件中。下面以一组报文进行分析我们实际分析GOOSE报文的时候一般只需要分析IEC 61850 GOOSE下面的报文可。即StNum如果状态没有变化每一帧报文的档相同如果状态变化了则档加1.SqNum如果