X号线综合监控故障分析指南20140603.doc

PAGE PAGE 2 X号线综合监控故障分析指南 1.前言 本标准起草单位： 本标准主要起草人： 本标准版本号为第1 版、第0 次修订。 本标准2014年X月X日首次发布。 本标准从2014年X月X日起实施。 本标准由XX负责解释。 2.范围 规定了XX管辖的X号线综合监控故障分析指引。 3. 综合监控故障分析-SCADA抓包及分析案例 3.1在D盘新建文件夹，命名为scada，如下图所示： 3.2运行cmd，依次输入以下红色字体指令： C:\Users\AdministratorD: D:\cd scada（注释：进入刚才新建的SCADA文件夹） D:\scadatelnet（注释：如果输入telnet后，显示“不是内部或外部命令”，相应的处理方法稍后详解） Microsoft Telnet set logfile pscada_shd_130_140118.txt（注释：set logfile表示设置本地日志存放文件，后边的文件名可以自己定，但文件名最好有规律，让人见名会意，此处日志文件名定为: pscada_shd_130_140118.txt） 日志文件: pscada_shd_130_140118.txt 客户端登录 Microsoft Telnet open sms-shd-1（注释：此处以沙河顶站1#服务器为例子） login: root Password:root Last login: Thu Jan 16 02:45:57 on console Oracle Corporation SunOS 5.10 Generic Patch January 2005 You have mail. -bash-3.00# snoop -ta -x 54 179.17.130.101 port 2404（注释：输入snoop -ta -x 54 IP port 端口号，此处以沙河顶站SCADA通信管理器IP为例子，SCADA的IP规律是179.X.130.101或179.X.131.101（其中X代表站点）；ATS信号使用的端口是2700；PIDS使用端口是502；BAS专业到fep使用端口是3181；CCTV专业端口是3191，pa专业到fep端口为3211；SCADA专业端口是2404 ；在截取报文时，可以直接使用IP，而不加port，但这样截取的文件会很大） 以上指令是对沙河顶站的scada数据进行抓包，不同的站点和专业需修改open和snoop指令后面的设置； 按[Ctrl]+C可停止抓包。 3.3如果输入telnet后，显示“不是内部或外部命令，也不是可运行的程序或批处理文件”，则说明电脑没有安装telnet客户端导致，你可以打开电脑的“控制面板”——“程序”——“打开或关闭windows功能”——把“telnet客户端”选择打勾，如下图所示： 3.4完成抓包后，打开抓到的数据包如下： 3.5对其中一段报文分析如下： 19:25:58.04628 shd-pscada-1 - sms-shd-1 TCP D=49198 S=2404 Push Ack=2605869095 Seq=957551422 Len=140 Win=92 0: 688a 20e5 9c0c 0d10 0300 0100 1c 16: 5e7a 3f00 2340 0036 5e7a 3f00 3d40 0080 ^z?.#@.6^z?.=@.. 32: 7696 4300 3f40 0000 a27e 4300 4040 00ee v.C.?@...~C.@@.? 48: edc6 4400 4140 0084 56c5 4400 4240 0042 ?D.A@..V.D.B@.B 64: bb09 4400 4440 0000 edc6 4400 4540 0000 ..D.D@..?D.E@.. 80: 207d 4200 4640 0000 c1c 96: 601f 4200 4840 0000 a2c 112: fcb7 4300 4a40 0080 5dc7 4400 4c40 0080 ..C.J@..].D.L@.. 128: e6c5 4400 4f40 0000 80c8 4400 ..D.O@D. 3.6分析： 19:25:58.04628 shd-pscada-1 - sms-shd-1 （解释：19:25:58 沙河顶1号主控服务器接收