抓包工具以及報文解析

1、包工具以及報文解析抓常用的包工具有抓Windows 下的mms-etherealWireShark 和 Solaris 下的 snoop 命令。mms-ethereal 可以自動解釋mms 報文適合進行應(yīng)用層報文的分析 WireShark 是 ethereal 的替代版本介面更加友好但標準版本中沒有對mms 報文分析的支持snoop 主要是用來包沒有圖形化的分析介面抓snoop 取的檔可以用抓WireShark 打開輔助分析對於廣播和組播報文如裝置的UDP 心跳報文、GOOSE 報文 61850-9-2 的 smv 采樣報文可以用筆記本連接到交換機上任意埠取。 對於后臺與裝置之間的抓TCP 通

2、訊有兩種方法。一是直接在后臺機上安裝軟體來包二是利用抓HUB連接后臺與裝置將筆記本接到HUB 上包。抓注意是 HUB 不能交換機。調(diào)試 61850 的站最好要家里帶上一個HUB庫房一般是 8 口 10M 的 TP-LINK- 不是交換機。主要用於資料包便於檔問題抓。沒有HUB 根本沒有辦法檔看遠動與裝置的 mms 報文只能取到抓goose 資料包。如果現(xiàn)場有管理型交換機也可以通過設(shè)置埠鏡像功能來監(jiān)視 mms 報文。 WireShark 和 mms-ethereal 均是圖形化的介面使用起來比較簡單注意選擇正確的網(wǎng)可?？磗noop 的使用方法可以用 man snoop 取得最基本的命令為sno

3、op -d bge0 -o xx.snoop下面均以 WireShark 例為 mms-ethereal 與之類似。 1設(shè)置包過濾條件抓在后臺上包時資料量比較大檔一大之后解析起來速度慢如果單純了分析抓很為應(yīng)用層報文可在包的時候設(shè)置過濾條件。如果了分析網(wǎng)路通斷問題一般不設(shè)置過抓為濾條件便於全面了解網(wǎng)路狀況。包過濾條件在抓Capture-Options-Capture Filter 里設(shè)置點 Capture Filter 會有多現(xiàn)很成的例子下面列幾個最常用的。舉tcp只取抓tcp報文udp只取抓udp 報文只取抓的報文ether host 00:08:15:00:08:15只取指定抓MAC地址的報

4、文 2 設(shè)置顯示過濾條件打開一個包檔后可以在工具列上的抓 filter 欄設(shè)置顯示過濾條件這里的語法與 Capture Filter 有點差別例如下。舉 tcp 只取抓 tcp 報文 udp 只取抓 udp 報文只取抓的報文eth.addr00:08:15:00:08:15 只取指定抓MAC 地址的報文還可以在報文上點擊右鍵選擇apply as filter 等創(chuàng)建一個過濾條件比較方便。 3 判別網(wǎng)路狀況輸入顯示過濾條件可以顯示失、 重發(fā)等異常情況相關(guān)的丟TCP報文此類報文的出現(xiàn)頻率可以作評網(wǎng)路狀況的一個尺規(guī)。常見的異常類型有以下幾個為估 TCP Retransmission 由於沒有及時收到

5、ACK 報文而檔生的重傳報文TCP Dup ACK xxx重復(fù)的 ACK 報文 TCP Previous segment lost 前一幀報文失丟TCP Out-Of-OrderTCP 的幀順序錯誤偶爾出現(xiàn)屬於正?，F(xiàn)象完全不出現(xiàn)說明網(wǎng)路狀態(tài)上佳。監(jiān)視 TCP 連接建立與中斷輸入顯示過濾條件是 TCP 建立的第一步FIN 是 TCP 連接正常關(guān)斷的標志RST 是 TCP 連接制關(guān)斷的標志。強統(tǒng)計心跳報文有無失丟在statistics-conversations 里選擇 UDP 可以看到所有裝置的 UDP 報文統(tǒng)計。一般情況下相同型號裝置的UDP報文的數(shù)量應(yīng)該相等最多相差1 到 2 個如果個別裝置

6、數(shù)量異常則可能是有心跳報文失可以以該裝置的位址過濾條件進行進一步檔。丟為找報工具是歸檔里面的抓61850 的報文監(jiān)視工具。如下打開包工具點擊左側(cè)第二個按開始設(shè)置抓鈕選擇本電腦網(wǎng)位址就是本地連接里面設(shè)置的卡IP 位址設(shè)置要監(jiān)視的裝置的 IP 位址格式為 host 198.120.0.72。點擊 browse 按設(shè)置存儲檔案名及路徑鈕設(shè)置長期包存儲選中抓按包大小存貯抓 m 代表 MB 可以是 KB 或者 GB按時間存儲如下圖把這個選項勾上就可以時顯示資料便於檔問題。即找點擊 “start按”開始包。鈕抓 destination 這兩個 MAC 位址都是 IL2215B 的 MAC 位址 sourc

7、e 是實際網(wǎng)的卡MAC 位址就是大家平時所說的 MAC 地址 destination 是組播地址在 SCD 中寫體現(xiàn)在填 goose.txt 文件中。下面以一組報文進行分析我們實際分析GOOSE報文的時候一般只需要分析 IEC 61850 GOOSE 下面的報文可。即 StNum 如果狀態(tài)沒有變化每一幀報文的檔相同如果狀態(tài)變化了則檔加1.SqNum如果狀態(tài)沒有變化每一幀報文的檔加1 如果狀態(tài)變化了則檔零。清在資料集中的每一個檔他反應(yīng)的是最后一次變位的檔也就是當(dāng)前的檔下面的SOE 時間表示最后一次狀態(tài)變位元發(fā)生的時間是格林威治時間比當(dāng)前時間檔了即8個小時。時間品質(zhì)反應(yīng)最后一次狀態(tài)變位元發(fā)生時候的

8、時間品質(zhì)而不是當(dāng)前狀態(tài)的時間品質(zhì)。報文中資料集與裝置的GOOSE 檔中的資料集一致順序也一致要想看某個檔是否變位以及什即時候變位直接在麼GOOSE 的資料集中到這個點然后到報文中數(shù)數(shù)數(shù)到這個點找既可以看他的檔?；蛘咴赟CD 的資料集中這個點在資料集中的位置也可以。找時包的時候不能保存只有停止包了才能保存所的包點擊“即抓抓抓 File ”下的 “save或”者 “save as可”。將保存的報文拖到程式主介面視可自動打開。即窗即 Unix 后臺可以使用 snoop 命令來包常用的命令如下抓snoop -d bge0 -o xx.snoop-d接受包的設(shè)備名網(wǎng)路介面網(wǎng)名稱卡-A網(wǎng) -o全數(shù)據(jù)包xx.snoop 檔案名。 這是和網(wǎng)抓卡 beg0 通訊的所有的資料包。 snoop 全數(shù)據(jù)包 xx.snoop 檔案名后臺機的機器名或者裝置的 IP。此命令是后臺機抓 scada1 和裝