抓包工具以及報(bào)文解析

1、包工具以及報(bào)文解析抓常用的包工具有抓Windows 下的mms-etherealWireShark 和 Solaris 下的 snoop 命令。mms-ethereal 可以自動(dòng)解釋mms 報(bào)文適合進(jìn)行應(yīng)用層報(bào)文的分析 WireShark 是 ethereal 的替代版本介面更加友好但標(biāo)準(zhǔn)版本中沒(méi)有對(duì)mms 報(bào)文分析的支持snoop 主要是用來(lái)包沒(méi)有圖形化的分析介面抓snoop 取的檔可以用抓WireShark 打開(kāi)輔助分析對(duì)於廣播和組播報(bào)文如裝置的UDP 心跳報(bào)文、GOOSE 報(bào)文 61850-9-2 的 smv 采樣報(bào)文可以用筆記本連接到交換機(jī)上任意埠取。 對(duì)於后臺(tái)與裝置之間的抓TCP 通

2、訊有兩種方法。一是直接在后臺(tái)機(jī)上安裝軟體來(lái)包二是利用抓HUB連接后臺(tái)與裝置將筆記本接到HUB 上包。抓注意是 HUB 不能交換機(jī)。調(diào)試 61850 的站最好要家里帶上一個(gè)HUB庫(kù)房一般是 8 口 10M 的 TP-LINK- 不是交換機(jī)。主要用於資料包便於檔問(wèn)題抓。沒(méi)有HUB 根本沒(méi)有辦法檔看遠(yuǎn)動(dòng)與裝置的 mms 報(bào)文只能取到抓goose 資料包。如果現(xiàn)場(chǎng)有管理型交換機(jī)也可以通過(guò)設(shè)置埠鏡像功能來(lái)監(jiān)視 mms 報(bào)文。 WireShark 和 mms-ethereal 均是圖形化的介面使用起來(lái)比較簡(jiǎn)單注意選擇正確的網(wǎng)可。卡即snoop 的使用方法可以用 man snoop 取得最基本的命令為sno

3、op -d bge0 -o xx.snoop下面均以 WireShark 例為 mms-ethereal 與之類(lèi)似。 1設(shè)置包過(guò)濾條件抓在后臺(tái)上包時(shí)資料量比較大檔一大之后解析起來(lái)速度慢如果單純了分析抓很為應(yīng)用層報(bào)文可在包的時(shí)候設(shè)置過(guò)濾條件。如果了分析網(wǎng)路通斷問(wèn)題一般不設(shè)置過(guò)抓為濾條件便於全面了解網(wǎng)路狀況。包過(guò)濾條件在抓Capture-Options-Capture Filter 里設(shè)置點(diǎn) Capture Filter 會(huì)有多現(xiàn)很成的例子下面列幾個(gè)最常用的。舉tcp只取抓tcp報(bào)文udp只取抓udp 報(bào)文只取抓的報(bào)文ether host 00:08:15:00:08:15只取指定抓MAC地址的報(bào)

4、文 2 設(shè)置顯示過(guò)濾條件打開(kāi)一個(gè)包檔后可以在工具列上的抓 filter 欄設(shè)置顯示過(guò)濾條件這里的語(yǔ)法與 Capture Filter 有點(diǎn)差別例如下。舉 tcp 只取抓 tcp 報(bào)文 udp 只取抓 udp 報(bào)文只取抓的報(bào)文eth.addr00:08:15:00:08:15 只取指定抓MAC 地址的報(bào)文還可以在報(bào)文上點(diǎn)擊右鍵選擇apply as filter 等創(chuàng)建一個(gè)過(guò)濾條件比較方便。 3 判別網(wǎng)路狀況輸入顯示過(guò)濾條件可以顯示失、 重發(fā)等異常情況相關(guān)的丟TCP報(bào)文此類(lèi)報(bào)文的出現(xiàn)頻率可以作評(píng)網(wǎng)路狀況的一個(gè)尺規(guī)。常見(jiàn)的異常類(lèi)型有以下幾個(gè)為估 TCP Retransmission 由於沒(méi)有及時(shí)收到

5、ACK 報(bào)文而檔生的重傳報(bào)文TCP Dup ACK xxx重復(fù)的 ACK 報(bào)文 TCP Previous segment lost 前一幀報(bào)文失丟TCP Out-Of-OrderTCP 的幀順序錯(cuò)誤偶爾出現(xiàn)屬於正常現(xiàn)象完全不出現(xiàn)說(shuō)明網(wǎng)路狀態(tài)上佳。監(jiān)視 TCP 連接建立與中斷輸入顯示過(guò)濾條件是 TCP 建立的第一步FIN 是 TCP 連接正常關(guān)斷的標(biāo)志RST 是 TCP 連接制關(guān)斷的標(biāo)志。強(qiáng)統(tǒng)計(jì)心跳報(bào)文有無(wú)失丟在statistics-conversations 里選擇 UDP 可以看到所有裝置的 UDP 報(bào)文統(tǒng)計(jì)。一般情況下相同型號(hào)裝置的UDP報(bào)文的數(shù)量應(yīng)該相等最多相差1 到 2 個(gè)如果個(gè)別裝置

6、數(shù)量異常則可能是有心跳報(bào)文失可以以該裝置的位址過(guò)濾條件進(jìn)行進(jìn)一步檔。丟為找報(bào)工具是歸檔里面的抓61850 的報(bào)文監(jiān)視工具。如下打開(kāi)包工具點(diǎn)擊左側(cè)第二個(gè)按開(kāi)始設(shè)置抓鈕選擇本電腦網(wǎng)位址就是本地連接里面設(shè)置的卡IP 位址設(shè)置要監(jiān)視的裝置的 IP 位址格式為 host 198.120.0.72。點(diǎn)擊 browse 按設(shè)置存儲(chǔ)檔案名及路徑鈕設(shè)置長(zhǎng)期包存儲(chǔ)選中抓按包大小存貯抓 m 代表 MB 可以是 KB 或者 GB按時(shí)間存儲(chǔ)如下圖把這個(gè)選項(xiàng)勾上就可以時(shí)顯示資料便於檔問(wèn)題。即找點(diǎn)擊 “start按”開(kāi)始包。鈕抓 destination 這兩個(gè) MAC 位址都是 IL2215B 的 MAC 位址 sourc

7、e 是實(shí)際網(wǎng)的卡MAC 位址就是大家平時(shí)所說(shuō)的 MAC 地址 destination 是組播地址在 SCD 中寫(xiě)體現(xiàn)在填 goose.txt 文件中。下面以一組報(bào)文進(jìn)行分析我們實(shí)際分析GOOSE報(bào)文的時(shí)候一般只需要分析 IEC 61850 GOOSE 下面的報(bào)文可。即 StNum 如果狀態(tài)沒(méi)有變化每一幀報(bào)文的檔相同如果狀態(tài)變化了則檔加1.SqNum如果狀態(tài)沒(méi)有變化每一幀報(bào)文的檔加1 如果狀態(tài)變化了則檔零。清在資料集中的每一個(gè)檔他反應(yīng)的是最后一次變位的檔也就是當(dāng)前的檔下面的SOE 時(shí)間表示最后一次狀態(tài)變位元發(fā)生的時(shí)間是格林威治時(shí)間比當(dāng)前時(shí)間檔了即8個(gè)小時(shí)。時(shí)間品質(zhì)反應(yīng)最后一次狀態(tài)變位元發(fā)生時(shí)候的

8、時(shí)間品質(zhì)而不是當(dāng)前狀態(tài)的時(shí)間品質(zhì)。報(bào)文中資料集與裝置的GOOSE 檔中的資料集一致順序也一致要想看某個(gè)檔是否變位以及什即時(shí)候變位直接在麼GOOSE 的資料集中到這個(gè)點(diǎn)然后到報(bào)文中數(shù)數(shù)數(shù)到這個(gè)點(diǎn)找既可以看他的檔?；蛘咴赟CD 的資料集中這個(gè)點(diǎn)在資料集中的位置也可以。找時(shí)包的時(shí)候不能保存只有停止包了才能保存所的包點(diǎn)擊“即抓抓抓 File ”下的 “save或”者 “save as可”。將保存的報(bào)文拖到程式主介面視可自動(dòng)打開(kāi)。即窗即 Unix 后臺(tái)可以使用 snoop 命令來(lái)包常用的命令如下抓snoop -d bge0 -o xx.snoop-d接受包的設(shè)備名網(wǎng)路介面網(wǎng)名稱(chēng)卡-A網(wǎng) -o全數(shù)據(jù)包xx.snoop 檔案名。 這是和網(wǎng)抓卡 beg0 通訊的所有的資料包。 snoop 全數(shù)據(jù)包 xx.snoop 檔案名后臺(tái)機(jī)的機(jī)器名或者裝置的 IP。此命令是后臺(tái)機(jī)抓 scada1 和裝