抓包工具使用和数字化变电站报文分析
网络抓包工具的使用和数字化变电站报文分析
GOOSE(Generic Object-Oriented Substation Event)是一种面向通用对象的变电站事件。主要用于实现在多个智能电子设备(IED)之间的信息传递,包括传输跳合闸、联闭锁等多种信号(命令),具有高传输成功概率。SV (Sampled Value)即采样值,它基于发布/订阅机制,交换采样数据集中的采样值的相关模型对象和服务。MMS(Manufacturing Message Specification)即制造报文规范就是ISO/IEC9506标准所定义的一套用于工业控制系统的通信协议。国际标准化组织出台MMS的目的是为了规范工业领域具有通信能力的智能传感器、智能电子设备(IED)、智能控制设备的通信行为,使出自不同制造商的设备之间具有互操作性,使系统集成变得简单、方便。在国外,MMS技术广泛用于工业过程控制、工业机器人等领域。
1 抓包工具的使用
1.1 抓包工具
常用的抓包工具有Windows下的mms-ethereal和
WireShark。mms-ethereal可以自动解释mms报文,适合进行应用层报文的分析。WireShark是ethereal的替代版本,界面更加友好,但标准版本中没有对mms报文分析的支持。
1.2 抓包方法
对于SV或GOOSE报文可以直接将装置的发送端(光口)接到光电转换器光口(或是既有光口又有电口的交换机的光口)上,将笔记本用网线与光电转换器的电口(或是既有光口又有电口的交换机的电口)相连,打开抓包软件即可抓包。
对于后台与装置之间的TCP通讯,有两种方法。一是直接在后台机上安装软件来抓包,二是利用HUB连接后台与装置,将笔记本接到HUB上抓包。注意一定要使用HUB,不能使用交换机。
WireShark和mms-ethereal均是图形化的界面,使用起来比较简单,注意选择正确的网卡即可。
1.3 分析举例
均以mms-ethereal为例,WireShark与之类似。
1.3.1 Ethereal安装
使用Ethereal会用到WinPcap函式库,在安装Ethereal前需要首先安装WinPcap。程序包中已包含WinPcap_4_1_2.exe,首次使用时先运行该程序安装WinPcap。
Ethereal运行界面如图2-1所示。
图2-1 Ethereal运行界面
1.3.2简易抓包教程
简易的抓包操作按照以下步骤操作即可。
点击工具栏中“capture”,选择“Options”进行如下配置(也可以直接点击左边第二个按钮):
上图为典型配置,设置完成后单击“Start”开始报文抓捕。选择Start,即开始报文抓捕,但需要注意,Start选项执行的前提是已经进行了抓捕设置(主要是选择了待监视网卡),否则执行Start会弹出出错提示。
各选项意义如下:
Options:
Interface: 用于选择待抓捕报文的网卡,当计算机具有多个活动网卡时,需要选择其中一个用来发送或接收分组的网络接口,下方的IP address会对应显示所选网卡所设置的IP地址;
Link-layer header type:数据链路层的协议,在以太网中一般是Ethernet II ;
Buffer size:数据缓存大小设定,默认是1M 字节;
Capture packets in promiscuous mode: 是否打开混杂模式。假如打开,抓取任何的数据包。一般情况下只需要监听本机收到或发出的包,因此应该关闭这个选项;
Limit each packet to: 限制每个包的大小,缺省情况不限制;
Capture Filter: 用于设置抓捕过滤规则,如果要捕获特定的报文,那在抓包前就要对应设置过滤规则,决定数据包的类型;设置过滤规则有两种途径:选择capture filter,手工创建的模板,也可以直接在capture options的capture filter的输入框中直接输入规则。
Capture File:
File:设定数据包文件的保存位置和保存文件名,默认不保存;
Use multiple files:启用多文件保存,默认不启用;
Next file every:设定每个数据包文件的大小(单位是M,默认1M)只有启用Use multiple files,后此项才可用;
Next file every: 设定每个数据包文件的大小(单位是分钟,默认1 分钟),只有启用Use multiple files 后此项才可用;
Ring buffer with:当保存多少个数据包文件后循环缓存,默认是2 个文件,即保存2 个数据包文件后丢弃缓存中的数据包,再添加新采集到的数据包;
Stop capture after: 当保存多少个数据包文件后停止捕获,默认是1 个文件;
Stop Capture …after:捕获到多少个数据包后停止捕获,默认不启用,如启用,默认值是1
…after:捕获到多少M 字节的数据包后停止捕获,默认不启用,如启用,默认值是1
…after:捕获多少分钟后停止捕获,默认不启用,如启用,默认值是1;
Display Options Update list of packets in real time:实时更新捕获到的数据包列表信息
Automatic scrolling in live capture:对捕获到的数据包信息进行自动滚屏显示;
Hide capture info dialog:隐藏捕获信息对话框
Name Resolution Enable MAC name resolution:把MAC 地址前3 位解析为相应的生产厂商;
Enable network name resolution:启用网络地址解析,解析IP,IPX 地址对应的主机名;
Enable transport name resolution:启用端口名解析,解析端口号对应的端口名;
左边第四个按钮是“Stop”,选中后停止正在进行的抓捕;
左边第五个按钮是“Restart”,选中后再次执行和上次相同设置的抓捕。
抓包结束后可根据需要在“Filter”中输入字符过滤报文,过滤出goose报文则输入“iecgoose”,过滤出sv报文则输入“iecsmv”,过滤出mms报文则输入“mms”,输入错误的过滤字符则窗口背景为红色,输入正确的过滤字符后窗口背景变为绿色,如下图所示:
过滤之后效果图:
2. 数字化变电站GOOSE与SV报文分析
2. 1 goose报文分析
2.1.1GOOSE报文发送机制
1)装置上电时GOCB自动使能,待本装置所有状态确定后,按数据集变位方式发送一次,将自身的GOOSE信息初始状态迅速告知接收方,第一封报文StateNumber为1(每次有变位加1),SequenceNumber为1(无变位时,每多发一封报文加1,如果有变位则从0开始计数,装置初始化重启例外)。
2)GOOSE报文变位后连续发送5帧,发送间隔应为T1、T1、T2、T3、T0;T1(即MinTime参数)应不大于2 ms,GOOSE心跳时间T0(MaxTime参数),T2=2T0,T3=2T2。
3)GOOSE报文中“timeAllowedtoLive”参数应为“MaxTime”配置参数的2
倍(即2T0);
2.1.2 GOOSE报文分析
2.2 SV报文分析
2.2.1 SV报文发送机制(SV9-2报文)
1)合并单元发送给保护、测控的采样值频率为4kHz,发送频率固定不变,样本计数和实际采样点顺序相对应,根据采样频率顺序增加并翻转(采样顺序号smpcnt值在0~3999,范围内),在同步脉冲出现时刻,采样值的样本计数应翻转置0。样本计数器不能跳变或越限。
2)电压采样值为32位整型,以10mV为单位,电流采样值为32位整型,以1mA 为单位。
2.2.2 IEC 61850-9-2 典型报文分析
3. 数字化变电站MMS报文分析
3.1初始化相关
3.1.1初始化Initiate
是client端与IED建立连接的初始报文。
Client初始化请求Request,装置的应答Response
Source为源端既报文发起方的IP地址,Destination为终端既报文接收方的
IP地址
3.1.2获取IED的S访问点下数据信息
子系统在初始化时,会读取每个IED的S访问点下所包含成员的,名称列表、类型和值,此时IED返回的是运行时包含的成员,必须与IED提供的静态模型文件icd完全一致,子系统才能在以后收到报告数据时正确解析。但由于各种原因,有时两者并不一致。因此子系统在初始化时先验证数据集成员运行时与静态模型是否一致,如果不一致,则子系统不再继续进行连接。
读取名称列表GetNameList
读取数据类型GetVariableAccessAtributes
Client request
IED response
子系统在验证了数据集成员FCDA的正确性后,还需要读取每个到DO级别的FCDA 包含的下级DA及每个DA的数据类型,用于后续报文解析。
读取成员值read
Client request
IED response
之后要读取该LD0下其他LN包含成员的类型及值,其他LD的读取方式同LD0。
3.2报告相关
3.2.1 读取报告使能状态
Client request
IED response
3.2.2RptEna置为false
在RptEna为false的情况下,才能设置报告控制块的属性。Client request
IED response
3.2.3设置完整性周期
按照指定周期由装置报告所有值给后台Client request
IED response
3.2.4设置等待时间
数据集内发生第一个元素变位后等待的时间Client request
IED response
3.2.5设置报告上送数据域OptFlds
IED response
3.2.6设置报告触发条件TrgOps
IED response
3.2.7使能报告Client request
IED response
3.2.8发起总召
装置连接成功后,会对所有报告进行一次总召。client写GI(General Interrogation)的值为TRUE,装置应上送整个报告对应的全部数据。
Client request
IED response
3.2.9上送总召报告
3.2.10上送遥信报告
品质q各位的含义:
Ethereal -抓包、报文分析工具
Ethereal -抓包、报文分析工具 Ethereal 是一种开放源代码的报文分析工具,适用于当前所有较为流行的计算机系统,包括 Unix、Linux 和 Windows 。 主界面如上图,点“抓包配置”按钮,出现抓包配置界面如下图。 在“Interface”中选择网卡,即用来抓包的接口,如果选择错误就不能抓到报文;“Capture packets in promiscuous mode(混杂模式抓包)”是指捕捉所有的报文,如不选中就只捕捉本机的收发报文;如果选中“Limit each packet to xx bytes(限制每个包的大小)”则只捕捉小于该限制的包;抓包时,数据量比较大,解析起来速度慢,可在“Capture Filter(抓包过滤
设置“Display Options(显示设置)”中建议选中“Update list of packets in realtime(实时更新抓包列表)”、“Automatic scrolling in live capture(自动滚屏)”和“Hide capture info dialog(隐藏抓包信息对话框)”三项。抓包配置好就可以点击“Start”开始抓包了。 抓包结束,按“停止”按钮即可停止。为了快速查看需要的报文,在“Filter”栏中输入过滤条件后按回车键即可对抓到的包进行过滤。 注意“Filter”栏中输入的过滤条件正确则其底色为绿色,错误则其底色为红色。常用
有些报文还可以判断网络的状况,例如输入显示过滤条件tcp.analysis.flags,可以显示丢失、重发等异常情况相关的TCP报文,此类报文的出现频率可以作为评估网络状况的一个标尺。偶尔出现属于正常现象,完全不出现说明网络状态上佳。 tcp.flags.reset==1。SYN是TCP建立的第一步,FIN是TCP连接正常关断的标志,RST是TCP连接强制关断的标志。 统计心跳报文有无丢失。在statistics->conversations里选择UDP,可以看到所有装置的UDP报文统计。一般情况下,相同型号装置的UDP报文的数量应该相等,最多相差1到2个,如果个别装置数量异常,则可能是有心跳报文丢失,可以以该装置的地址为过滤条件进行进一步查找。 抓取的报文可以点击“保存”按钮进行保存,以后就可以点击“打开”按钮查看已保存的报文包。保存报文时首先选择保存目录,再在“Packet Range”里“Captured(保存捕捉到的所有报文)”、“Displayed(保存屏幕显示的报文)”和“All packets(保存所有的数据包)”、“Selected packets only(保存选中的数据包)”、“Marked packets only(保存标记过的数据包)”配合选用,最后填上保存文件名点“OK”即可。
以太网常用抓包工具介绍_464713
v1.0 可编辑可修改 i RTUB_105_C1 以太网常用抓包工具介绍 课程目标: 课程目标1:了解常见抓包软件 课程目标2:掌握根据需要选择使用抓包软件并分析报文
v1.0 可编辑可修改 目录 第1章以太网常用抓包工具介绍.............................................................................................................. 1-1 1.1 摘要 ................................................................................................................................................ 1-1 1.2 简介 ................................................................................................................................................ 1-1 1.3 抓包工具介绍 ................................................................................................................................ 1-2 1.4 Sniffer使用教程 .......................................................................................................................... 1-3 1.4.1 概述 ..................................................................................................................................... 1-3 1.4.2 功能简介 ............................................................................................................................. 1-3 1.4.3 报文捕获解析 ..................................................................................................................... 1-4 1.4.4 设置捕获条件 ..................................................................................................................... 1-8 1.4.5 报文放送 ........................................................................................................................... 1-10 1.4.6 网络监视功能 ................................................................................................................... 1-12 1.4.7 数据报文解码详解 ........................................................................................................... 1-14 1.5 ethreal的使用方法 .................................................................................................................... 1-28 1.5.1 ethreal使用-入门 ......................................................................................................... 1-28 1.5.2 ethereal使用-capture选项 ......................................................................................... 1-30 1.5.3 ethereal的抓包过滤器 ................................................................................................... 1-31 1.6 EtherPeekNX ................................................................................................................................ 1-35 1.6.1 过滤条件设置 ................................................................................................................... 1-35 1.6.2 设置多个过滤条件 ........................................................................................................... 1-41 1.6.3 保存数据包 ....................................................................................................................... 1-45 1.6.4 分析数据包 ....................................................................................................................... 1-47 1.6.5 扩展功能 ............................................................................................................................. 1-1 1.6.6 简单分析问题的功能 ......................................................................................................... 1-5 1.6.7 部分解码功能 ..................................................................................................................... 1-9 1.6.8 案例 ..................................................................................................................................... 1-1 1.7 SpyNet ............................................................................................................................................ 1-1 1.7.1 使用简介 ............................................................................................................................. 1-1 1.7.2 使用步骤: ......................................................................................................................... 1-2 i
IGMP及抓包分析
IGMP IGMP 是Internet Group Management Protocol(互联网组管理协议)的简称。它是TCP/IP 协议族中负责IP 组播成员管理的协议,用来在IP 主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。 到目前为止,IGMP 有三个版本: 1、IGMPv1(由RFC 1112 定义) 2、IGMPv2(由RFC 2236 定义) 3、IGMPv3(由RFC 3376定义) 一、IGMPv1 1.1报文格式 1、版本: 版本字段包含IGMP版本标识,因此设置为1。 2、类型: 成员关系查询(0x11) 成员关系报告(0x12) 3、校验和 4、组地址: 当一个成员关系报告正被发送时,组地址字段包含组播地址。 当用于成员关系查询时,本字段为0,并被主机忽略。 1.2组成员加入过程 当一个主机希望接收一个组播组的数据,则发送成员加入报告给组播组。
IGMPv1 join包如下: 1.3查询与响应过程 路由器RTA(IGMP查询器)周期性地(默认60秒)向子网内所有主机(224.0.0.1代表子网内所有主机)发送成员关系查询信息。
所有主机收到IGMPv1成员关系查询信息,一主机首先向组播组发送IGMPv1成员关系报告。 组的其他成员监听到报告后抑制自己的成员关系报告发送。 1.4 抑制机制 当主机收到IGMP成员关系查询时,对它已经加入的每个组播组启动一个倒计数报告计时器。各个报告计时器初始值为从0到最大响应之间一个随机数,默认值是10秒。 计时器到时的主机则主动发送成员关系报告,目的地为该主机所属的组地址。 其它主机收到该成员关系报告,则抑制成员关系报告的发送,并删除计时器。 1.5 组成员离开过程 主机“默不作声”地离开组(不发送报告了)。 路由器发送成员关系查询信息。 路由器没有收到该组的IGMP报告,则再发送成员关系信息(3次查询周期过后)。 组播组超时,剪枝。 二、IGMPv2 2.1报文格式 1、类型 成员关系查询(0x11) 常规查询:用于确定哪些组播组是有活跃的,即该组是否还有成员在使用,常规查询地址由全零表示; 特定组查询:用于查询某具体组播组是否还有组成员。 版本2成员关系报告(0x16) 版本1成员关系报告(0x12) 离开组消息(0x17)
wireshark抓包分析实验报告
Wireshark抓包分析实验 若惜年 一、实验目的: 1.学习安装使用wireshark软件,能在电脑上抓包。 2.对抓出包进行分析,分析得到的报文,并与学习到的知识相互印证。 二、实验内容: 使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据,分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。 三、实验正文: IP报文分析: 从图中可以看出: IP报文版本号为:IPV4 首部长度为:20 bytes 数据包长度为:40 标识符:0xd74b 标志:0x02 比特偏移:0 寿命:48 上层协议:TCP 首部校验和:0x5c12 源IP地址为:119.75.222.18 目的IP为:192.168.1.108
从图中可以看出: 源端口号:1891 目的端口号:8000 udp报文长度为:28 检验和:0x58d7 数据长度:20 bytes UDP协议是一种无需建立连接的协议,它的报文格式很简单。当主机中的DNS 应用程序想要惊醒一次查询时,它构造一个DNS查询报文段并把它给UDP,不需要UDP之间握手,UDP为报文加上首部字段,将报文段交给网络层。
第一次握手: 从图中看出: 源端口号:56770 目的端口号:80 序列号为:0 首部长为: 32 bytes SYN为1表示建立连接成功当fin为1时表示删除连接。
第二次握手: 从图中看出: 源端口号是:80 目的端口号为:56770 序列号为:0 ack为:1 Acknowledgement为1表示包含确认的报文Syn为1表示建立连接。
第三次握手: 从图中看出: 源端口:56770 目的端口:80 序列号为:1 ACK为:1 首部长为:20bytes Acknowledgement为1表示包含确认的报文 所以,看出来这是TCP连接成功了 Tcp是因特网运输层的面向连接的可靠的运输协议,在一个应用进程可以开始向另一个应用进程发送数据前,这两个进程必须先握手,即它们必须相互发送预备文段,建立确保传输的参数。
抓包工具演示
Wireshark抓包软件简单使用 wireshark是一款抓包软件,比较易用,在平常可以利用它抓包,分析协议或者监控网络。 一、抓包使用简单过程: Wireshark启动界面: 看到启动界面后,现在主要会用到这几个按钮:
2.点击“开始”获取抓取结果(抓取到的为未加密数据)
4.显示结果:
加密数据抓取: 抓取结果:
二、捕捉过滤器使用方法: Protocol(协议): 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议,则默认使用所有支持的协议。 Direction(方向): 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地,则默认使用“src or dst”作为关键字。 例如,”host 10.2.2.2″与”src or dst host 10.2.2.2″是一样的。 Host(s): 可能的值:net, port, host, portrange. 如果没有指定此值,则默认使用”host”关键字。 例如,”src 10.1.1.1″与”src host 10.1.1.1″相同。 Logical Operations(逻辑运算): 可能的值:not, and, or. 否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级,运算时从左至右进行。 例如,
“not tcp port 3128 and tcp port 23″与”(not tcp port 3128) and tcp port 23″相同。“not tcp port 3128 and tcp port 23″与”not (tcp port 3128 and tcp port 23)”不同。 例子: tcp dst port 3128 //捕捉目的TCP端口为3128的封包。 ip src host 10.1.1.1 //捕捉来源IP地址为10.1.1.1的封包。 host 10.1.2.3 //捕捉目的或来源IP地址为10.1.2.3的封包。 ether host e0-05-c5-44-b1-3c //捕捉目的或来源MAC地址为e0-05-c5-44-b1-3c的封包。如果你想抓本机与所有外网通讯的数据包时,可以将这里的mac地址换成路由的mac 地址即可。 src portrange 2000-2500 //捕捉来源为UDP或TCP,并且端口号在2000至2500范围内的封包。 not imcp //显示除了icmp以外的所有封包。(icmp通常被ping工具使用) src host 10.7.2.12 and not dst net 10.200.0.0/16 //显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的封包。 (src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8 //捕捉来源IP为10.4.1.12或者来源网络为10.6.0.0/16,目的地TCP端口号在200至10000之间,并且目的位于网络10.0.0.0/8内的所有封包。 src net 192.168.0.0/24 src net 192.168.0.0 mask 255.255.255.0 //捕捉源地址为192.168.0.0网络内的所有封包。
智能变电站过程层报文详解
智能变电站过程层报文 1. GOOSE 报文 1.1. GOOSE 传输机制 SendGOOSEMessage 通信服务映射使用一种特殊的重传方案来获得合适级别的可靠性。重传序列中的每个报文都带有允许生存时间参数,用于通知接收方等待下一次重传的最长时间。如在该时间间隔内没有收到新报文,接收方将认为关联丢失。事件传输时间如图1-1所示。从事件发生时刻第一帧报文发出起,经过两次最短传输时间间隔T1重传两帧报文后,重传间隔时间逐渐加长直至最大重传间隔时间T0。标准没有规定逐渐重传时间间隔计算方法。事实上,重传报文机制是网络传输兼顾实时性、可靠性及网络通信流量的最佳方案,而逐渐重传报文已越来越不能满足实时性要求,对重传间隔时间已没有必要规定。 图1-1 GOOSE 事件传输时间 SendGOOSEMessage 服务以主动无须确认的发布者/订阅者组播方式发送变化信息,其发布者和订阅者状态机见图1-2和图1-3。 图1-2 GOOSE 服务发布者状态机 1) GoEna=True (GOOSE 使能),发布者发送数据集当前数据,事件计数器置1(StNum=1), 报文计数器置1(SqNum=1)。 2) 发送数据,SqNum=0,发布者启动根据允许生存时间确定的重发计时器,重发计时器 计时时间比允许生存时间短(通常为一半)。 3) 重发计时器到时触发GOOSE 报文重发,SqNum 加1。 4) 重发后,开始下一个重发间隔,启动重发计时器。重发间隔计算方法和重发之间的 最大允许时间都由发布者确定。最大允许时间应小于60秒。 5) 当数据集成员数据发生变化时,发布者发送数据,StNum 加1,SqNum=0。 5)
wireshark抓包分析了解相关协议工作原理
安徽农业大学 计算机网络原理课程设计 报告题目wireshark抓包分析了解相关协议工作原理 姓名学号 院系信息与计算机学院专业计算机科学与技术 中国·合肥 二零一一年12月
Wireshark抓包分析了解相关协议工作原理 学生:康谦班级:09计算机2班学号:09168168 指导教师:饶元 (安徽农业大学信息与计算机学院合肥) 摘要:本文首先ping同一网段和ping不同网段间的IP地址,通过分析用wireshark抓到的包,了解ARP地址应用于解析同一局域网内IP地址到硬件地址的映射。然后考虑访问https://www.360docs.net/doc/8e17588191.html,抓到的包与访问https://www.360docs.net/doc/8e17588191.html,抓到的包之间的区别,分析了访问二者网络之间的不同。 关键字:ping 同一网段不同网段 wireshark 协议域名服务器 正文: 一、ping隔壁计算机与ping https://www.360docs.net/doc/8e17588191.html,抓到的包有何不同,为什么?(1)、ping隔壁计算机 ARP包:
ping包: (2)ing https://www.360docs.net/doc/8e17588191.html, ARP包:
Ping包: (3)考虑如何过滤两种ping过程所交互的arp包、ping包;分析抓到的包有
何不同。 答:ARP地址是解决同一局域网上的主机或路由器的IP地址和硬件地址的映射问题,如果要找的主机和源主机不在同一个局域网上,就会解析出网 关的硬件地址。 二、访问https://www.360docs.net/doc/8e17588191.html,,抓取收发到的数据包,分析整个访问过程。(1)、访问https://www.360docs.net/doc/8e17588191.html, ARP(网络层): ARP用于解析IP地址与硬件地址的映射,本例中请求的是默认网关的硬件地址。源主机进程在本局域网上广播发送一个ARP请求分组,询问IP地址为192.168.0.10的硬件地址,IP地址为192.168.0.100所在的主机见到自己的IP 地址,于是发送写有自己硬件地址的ARP响应分组。并将源主机的IP地址与硬件地址的映射写入自己ARP高速缓存中。 DNS(应用层): DNS用于将域名解析为IP地址,首先源主机发送请求报文询问https://www.360docs.net/doc/8e17588191.html, 的IP地址,DNS服务器210.45.176.18给出https://www.360docs.net/doc/8e17588191.html,的IP地址为210.45.176.3
智能变电站的网络结构优化
0引言 智能变电站由一次设备和二次设备2个层面构成,其基本 的组成单元和普通数字化变电站并没有本质区别。 智能变电站的优势主要体现在一次设备的智能化控制以及利用网络化来组织二次设备上,加之一次设备与二次设备之间采用了高速网络通信,因此二者之间的联系得以加强。从智能变电站组成的层次结构来看,从一次设备(互感器、断路器)开始,往下是过程层设备(主要是户外柜组件和过程层交换机),其次是隔离层设备(如各类保护装置和测控装置),最后是由以太网MMS 、监控系统和远控装置构成的站控层设备。而从智能变电站的发展趋势来看,有向系统层和设备层2层结构简化的趋势。但这种2层简化结构需要依赖于大量的计算机和网络控制技术,因此短时间内还难以实现。 当前的智能变电站多数仍采用传统的3层结构形式,该种结构框架的过程层设备和间隔层设备是通过过程层的网络连接来实现的。网络连接在过程层中承担着智能变电站主要数据的通信任务,这些传输数据来自于变电站运行中的状态实时数据,以及变电站的模拟量采样信息、网络中传输的设备管理信息和事件警告信息等。因此, 在研究智能变电站的网络结构优化时,主要是考虑网络中数据传输的优化。 1智能变电站网络结构形式分析 智能变电站自动化系统分为站控层、间隔层和过程层3个 大层次,通信连接一般都是靠站控总线和过程总线完成。其中站控总线处理站控层与间隔层各控制设备之间的通信,而过程总线处理间隔层与过程层中各种智能一次设备的通信。 从逻辑上讲,在设计时,通常可依据需要将站控总线设置为独立于过程总线,或将站控总线与过程总线合并的形式。这2种不同的布线方式各有优缺点。如果将站控总线与过程总线合并,可能会因数据时效性属性不同(实时性、非实时性)、数据控制属性不同(控制性、非控制性)而导致数据间的互相影响,降低网络资源的利用效率和网络的安全性。但这种布线方式能够提高硬件资源的利用效率,在条件允许的情况下,可通过以太网的优先级排队技术或虚拟局域网技术来实现对各类重要等级不同的数据进行分析处理。 不论是采用站控总线和过程总线合并的形式还是单独布设的形式,从网络结构上看,都可以分为5个基本的层级结构:层级1(站控单元、站运行支持单元、路由器、远程控制中心)、层级2(一级交换机)、层级3(监控单元、保护单元)、层级4(二级交换机)、层级5(执行机构、传感器)。如果是站控总线和过程总线独立布设的形式,则各个层次的组成单元依次与下一层级的组成单元相连,同一层级的组成单元互不影响,形成从一级交换机开始的若干条独立的数据传输线路,此时一级交换机和二级交换机之间没有直接的线路连接,而是要经过层次3中的监控单元和保护单元。如果是站控总线和过程总线合并布设的形式,则在一级交换机和二级交换机之间直接存在直接的连接线路,但一级交换机所接收到的数据既有直接来自于二级交换机的数据,也有通过监控单元和保护单元的数据,这是这一布线方式可能存在数据干扰的根本原因。 2智能变电站网络结构优化 在本节中,将从某智能变电场升压站的组网结构优化及其 网络的流量优化2个方面来展开讨论。该升压站的原系统结构如图1所示。 2.1 原系统结构特点分析 由图1可知,其网络结构为典型的“三层两网”式结构,站控层、间隔层和过程层的层次结构很明显,过程层和站控层这2级网络为独立式布置。在本例中,网络采用高速以太网搭建,过程层的网络采用了2类网络形式来分别处理上行数据和下行数据,其中电流和电压实时数据的上传、开关量的上传均由SV 采样值网络完成,而分合闸控制量的下行则由GOOSE 网络完成。站控层网络采用MMS /GOOSE 通信方式来完成全站信息的汇总和处理。 在原站控层的组网方案中,采用的是双星型拓扑结构,冗余网络采用双网双工方式运行。而过程层的网络结构为单星型的以太网结构,保护装置由2套独立的单网配置提供,因此能够使过程层网络具有双重化的特点,且2套网络互相物理隔离。过程层中的网络采样值按点对点传输的方式完成,以直接跳闸的方式来实现对间隔层设备的保护。 采用上述组网结构后,可以实现GOOSE 和SV 以太网口的独立传输,在信息传输时交换机所承担的任务明确,能够有效避免数据之间的干扰。原过程层GOOSE 网络承担着繁重的数据采样任务,但网络仅具备100M 的流量承载力,影响了数据的传输效率,加之网络接口独立设置,因此不便于网络结构的维护。 浅谈智能变电站的网络结构优化 丁文树 (泰州供电公司,江苏泰州225300) 摘要:介绍了智能变电站的层级构成以及各个层级的特点,在此基础上,对当前智能变电站主要的网络结构形式进行了分析,最后 以某智能变电站的网络结构改造和优化为例,阐述了网络结构优化后的具体形式以及网络流量优化时所采用的优化方法。 关键词:智能变电站;网络结构优化;流量优化 图1升压站原系统结构示意图 站控层设备 站控层网络 间隔层设备 过程层网络 过程层设备 合并单元 测控装置 录波装置 计量装置 智能单元 保护装置 设计与分析◆Sheji yu Fenxi 134
DNS抓包分析
TCP/IP原理与应用课程作业一对DNS域名系统的抓包分析 姓名:XXX 学号:XXXXXXXXXX 学院:计算机科学与工程
一、实验目的 通过网络抓包试验,深刻理解TCP/IP协议簇中DNS域名系统的使用方式与报文具体格式与含义,加强对课程的理解与应用。 二、相关原理 2.1 DNS的定义 DNS 是域名系统(Domain Name System) 的缩写,它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址,而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方,它主要有两种形式:主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。在Internet上域名与IP地址之间是一对一(或者多对一)的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。DNS 命名用于Internet 等TCP/IP 网络中,通过用户友好的名称查找计算机和服务。当用户在应用程序中输入DNS 名称时,DNS 服务可以将此名称解析为与之相关的其他信息,如IP 地址。因为,你在上网时输入的网址,是通过域名解析系统解析找到了相对应的IP地址,这样才能上网。其实,域名的最终指向是IP。 2.2 DNS的构成 在IPV4中IP是由32位二进制数组成的,将这32位二进制数分成4组每组8个二进制数,将这8个二进制数转化成十进制数,就是我们看到的IP地址,其范围是在0~255之间。因为,8个二进制数转化为十进制数的最大范围就是0~255。现在已开始试运行、将来必将代替IPv4的IPV6中,将以128位二进制数表示一个IP地址。 2.3 DNS的查询 DNS查询可以有两种解释,一种是指客户端查询指定DNS服务器上的资源记录(如A记录),另一种是指查询FQDN名的解析过程。 一、查询DNS服务器上的资源记录 您可以在Windows平台下,使用命令行工具,输入nslookup,返回的结果包括域名对应的IP地址(A记录)、别名(CNAME记录)等。除了以上方法外,还可以通过一些DNS查询站点如国外的国内的查询域名的DNS信息。 二、FQDN名的解析过程查询 若想跟踪一个FQDN名的解析过程,在Linux Shell下输入dig www +trace,返回的结果包括从跟域开始的递归或迭代过程,一直到权威域名服务器。 2.4 DNS的报文格式 DNS报文的首部:
新浪微博抓包分析
新浪微博抓包分析 摘要:数据包捕获及分析主要实现了对网络上的数据包进行捕获及分析。在包分析功能模块,根据报文协议的格式,把抓到的包进行解析,从而得到网络层和传输层协议的报头内容等信息。本次研究通过对新浪微博的网络数据包进行捕捉,分析数据包的结构,从而掌握数据包捕获和数据包分析的相关知识。 关键词:包分析;协议;数据包 1序言 本实验研究通过技术手段捕获数据包并加以分析。Ether Peek5.1是当前较为流行的图形用户接口的抓包软件,是一个可以用来监视所有在网络上被传送的包,并分析其内容的程序。它通常被用来检查网络工作情况,或是用来发现网络程序的bugs。通过Ether Peek对TCP、SMTP和FTP等常用协议进行分析,非常有助于网络故障修复、分析以及软件和协议开发。计算机网络安全、信息安全已经成为一个国际性的问题,每年全球因计算机网络的安全问题而造成的经济损失高达数百亿美元,且这个数字正在不断增加。网络数据包的捕获与分析对研究计算机网络安全问题有着重要意义。网络安全问题既包括网络系统的安全,又包括网络信息的安全和机密性。 2抓包工具介绍及抓包原理 2.1工具介绍 目前常用的抓包工具有Sniffer,wireshark,WinNetCap,WinSock Expert,EtherPeek等。本次实验研究是在windows XP系统环境下安装EtherPeek进行抓包。EtherPeek是个用来截取网络数据包的工具,主要用监听统计和捕获数据包两种方式进行网络分析。它只能截取同一HUB的包,也就是说假如你的便携装了EtherPeek,那么你的便携必须与你要监控的目的地址和源地址中的一个接在同一HUB上。有了这个工具,如果5250仿真或telnet仿真出了问题,就可以用它来截取数据包,保存下来,再进行分析。 2.2数据包捕获原理 在通常情况下,网络通信的套接字程序只能响应与自己硬件地址相匹配的或
WIN8系统抓包工具使用介绍
抓包过程简要说明 对于工程上某些需要确认网管下发到设备上的数据或者设备上报给网管的数据正确性,需要对网卡进行数据抓包分析。现将详细的抓包方法进行说明(此版本抓包工具可用于windows server2003、WIN7和windows server2008操作系统上,其他的没试用过) 说明: windows server2008操作系统有两种,一种32位,一种64位。 查看操作系统位数的方法有两种(输入命令后可能会等待5~20s时间): 1、运行---输入“cmd”---在命令提示符窗口中输入“systeminfo”---找到其中的“System type:(系统类型)”对应的就是了。 2、运行DXDIAG就可以查看系统位数了。x86代表32位,X64代表64位! 该抓包工具根据操作系统位数有以下区别,x86为32位操作系统,x64为64位操作系统。本文档以32位操作系统为例进行说明。 步骤一:将附件的netmon_34.rar解压到任何位置,例如D:\ 步骤二:运行D:\netmon_3\ NM34_x86.exe文件,执行安装,步骤中全部选择默认安装即可。安装完成后,桌面会生成Microsoft Network Monitor 3.4的快捷图标。 步骤三:双击运行Microsoft Network Monitor 3.4,在菜单栏选择Tools->Options..可以看到下面的面板,在Faster Parsing上点击右键选择Create->Create From Selected,
步骤四:在Create New Parser Profile面板中可以自己命名Name(本例中命名为fiberhome_set,可自定义), 并选中路径列表中的第2项,然后选择Open Folder,
智能变电站网络安全策略分析与研究 徐晓寅
智能变电站网络安全策略分析与研究徐晓寅 摘要:智能变电站网络的可靠性和安全性决定了站内智能终端、合并单元、保 护装置、测控装置、自动化系统等各设备之间信息流的传输质量,会对变电站的 安全稳定运行产生直接影响。本文针对智能变电站网络存在的安全威胁,从技术 和管理方面提出了适用于智能变电站网络安全的策略。 关键词:智能变电站;网络安全;策略分析 1 智能变电站网络安全现状分析 智能变电站网络面临的安全威胁主要有内部和外部两部分:内部威胁为网络 交换机硬件问题对站内网络造成的风险;网络风暴造成站内网络瘫痪;外部人为 专业攻击造成的破坏。 1.1 外部安全威胁主要是人为专业攻击,在智能变电站网络条件下,人为专业攻击主要分为以下两种。 1.1.1 主动破坏 非法专业用户接入网络后,通过监听、拦截对站内信息及设备进行监视和控 制操作,再伪造信息向网络发送大量无用报文,使站内网络设备异常、死机甚至 无法重启,最后导致整个网络瘫痪。 1.1.2 无意识破坏 专业用户正常接入网络后,由于误操作导致大量组播报文在网络内传播,对 网络造成破坏和损失。 1.2 智能变电站面临的内部威胁主要来源于内部通信的脆弱性。智能变电站改变了原有的点对点的通信模式,取消了原有的硬接线模式,不同部件之间的通信,采用了对等的通信模式,所有变电站的智能部件之间的通信均在局域网上实现, 并且不同智能部件的关联度更加紧密。一旦某个智能部件遭到恶意攻击,就会影 响整个变电站内的通信,危及站内业务的正常运行。其安全威胁主要有以下几方面: 1.2.1 网络交换机硬件风险 变电站在正常和异常运行时,均会产生不同程度的电磁干扰,如高压电气设 备的倒闸操作、短路故障等电磁暂态过程及高压电气设备周围产生的静电场和磁场、雷电、电磁波辐射、人体与物体的静电放电等。这些电磁干扰会对交换机的 通信传输产生一定影响,导致交换机转发的报文出错,甚至丢失整帧报文,影响 智能变电站网络的安全可靠运行。因此,在强电磁干扰的情况下,交换机必须满 足零丢帧的要求,以满足过程层数字化的需求。而在实际生产现场,智能变电站 的交换机选型配置及验收都无明确的负责机构及硬件把关负责人员,导致交换机 管理处于无序甚至空白状态。 1.2.2 网络风暴 交换机作为网络核心通信设备,如果自身的报文转发机制异常,会导致网络 风暴,给智能变电站网络运维留下极大的隐患。网络风暴的基本表现为:大量重 复报文在网络中快速传播,大量信息排队等待,直至占满带宽或耗尽交换机 CPU 资源,严重影响网络的正常运行。产生网络风暴的原因很多,其中重要的原因是 网络环路问题,主要指:对过程层网络来说,虽然工程应用上通过静态VLAN划 分或 GMRP组播技术来实现网络隔离,但如果网络环路发生在同一VLAN内,仍 会产生网络风暴;对站控层网络来讲,由于没有采用任何组播报文隔离技术,GOOSE 报文组播范围为站控层全网;一旦网络内形成重复链路,GOOSE 报文就会
802.11抓包分析
802.11抓包分析 1.实验目的 分析802.11协议,了解802.11的帧格式 2.实验环境及工具 操作系统:ubuntu 实验工具:WireShark 3.实验原理 (1)802.11MAC层数据帧格式: Bytes 2 2 6 6 6 2 0-2312 4 Bits 2 2 4 1 1 1 1 1 1 1 1 Version:表明版本类型,现在所有帧里面这个字段都是0 Type:指明数据帧类型,是管理帧,数据帧还是控制帧,00表示管理帧,01表示控制帧,10表示数据帧 Subtype:指明帧的子类型 ,Data=0000,Data+CF-ACK=0001,Data+CF-Poll=0010, Data+CF-ACK+CF-Poll=0011,Nulldata=0100,CF-ACK=0101, CF-Poll=0110,Data+CF-ACK+CF-Poll=0111,QoS Data=1000, Qos Data+CF-ACK=1001,QoS Data+CF-Poll=1010, QoS Data+CF-ACK+CF-Poll=1011,QoS Null =1100, QoS CF-ACK=1101,QoS CF-Poll=1110,QoS Data+CF-ACK+CF-Poll=1111 To DS/From DS:这两个数据帧表明数据包的发送方向,分四种情况: 若数据包To DS为0,From DS为0,表明该数据包在网络主机间传输 若数据包To DS为0,From DS为1,表明该数据帧来自AP
若数据包To DS为1,From DS为0,表明该数据帧发送往AP 若数据包To DS为1,From DS为1,表明该数据帧是从AP发送往AP
抓包工具使用简介
抓包工具wireshark使用简介 在wireshark安装包安装完成后,以管理员身份运行Wireshark.exe,进入wireshark主界面,如图1-1所示。 图1-1 wireshark主界面 在主界面上,在菜单栏中选择Capture->interface,在点击interface按钮弹出的对话框中点击start按钮,进入如图1-2所示界面。 图1-2启动wireshark 当您在客户端点击某路视频时,会出现如图1-3所示界面,目前我们播放视频采用的是UDP协议,你在抓包工具中看到的大部分数据包都是UDP数据包。此时如果你只想去查看给某台机器上发的数据包时,可以通过过滤条件进行过滤,比如我只想查看我给172.20.32.168这台机器上发送的数据包,那么你只需要在Filter后面输入
ip.dst==172.20.32.168即可,需要注意的是这里是“==”而不是“=”。多个条件之间用&&。 数据过滤操作如图1-4所示。 图1-3 视频数据展示界面 图1-4数据过滤界面 此时你看到的数据包就都是发给172.20.32.168的UDP数据包,此处需要说明的是如果你点击视频时播放不出来视频,那么是不会有持续的UDP数据包发给指定的客户端的,客户端控件播放不出来视频那就不是控件的问题了,因为就根本没有视频数据包发送到客户端。 如果你在抓包时发现有持续的数据包时,那么你想看一下你抓的数据包是否正常,能不能播放出来,那么也可以通过wireshark将抓的数据包保存成文件用VLC播放试一下,具体操作流程如下: (1)点击某条视频数据,右键选择decode as(如图1-5),此时会弹出如图1-6所示界面;(2)在如图1-6所示的界面上选择RTP,点击OK,此时就会把所有的UDP数据包转换成RTP数据包,转换之后界面如图1-7所示; (3)在图1-7所示的界面上,在菜单栏中选择Telephony,在下拉的菜单中选择RTP,在其子菜单中选择Stream analysis,会弹出如图1-8所示界面; (4)在图1-8所示的界面上点击Savepayload按钮,进入视频保存页面(如图1-9),选择你保存的位置并设置保存的视频文件名; (5)此时就会在保存的目录下生成出来对应的视频文件,此处需要说明的是视频文件不
数据包捕获与解析
数据包捕获与解析课程设计报告 学生姓名:董耀杰 学号:1030430330 指导教师:江珊珊
数据包捕获与分析 摘要本课程设计通过Ethereal捕捉实时网络数据包,并根据网络协议分析流程对数据包在TCP/IP各层协议中进行实际解包分析,让网络研究人员对数据包的认识上升到一个感性的层面,为网络协议分析提供技术手段。最后根据Ethereal的工作原理,用Visual C++编写一个简单的数据包捕获与分析软件。 关键词协议分析;Ethereal;数据包;Visual C++ 1引言 本课程设计通过技术手段捕获数据包并加以分析,追踪数据包在TCP/IP各层的封装过程,对于网络协议的研究具有重要的意义。Ethereal是当前较为流行的图形用户接口的抓包软件,是一个可以用来监视所有在网络上被传送的包,并分析其内容的程序。它通常被用来检查网络工作情况,或是用来发现网络程序的bugs。通过ethereal对TCP、UDP、SMTP、telnet和FTP等常用协议进行分析,非常有助于网络故障修复、分析以及软件和协议开发。,它以开源、免费、操作界面友好等优点广为世界各地网络研究人员使用为网络协议分析搭建了一个良好的研究平台。 1.1课程设计的内容 (1)掌握数据包捕获和数据包分析的相关知识; (2)掌握Ethreal软件的安装、启动,并熟悉用它进行局域网数据捕获和分析的功能; (3)设计一个简单的数据包捕获与分析软件。 1.2课程设计的要求 (1)按要求编写课程设计报告书,能正确阐述设计结果。 (2)通过课程设计培养学生严谨的科学态度,认真的工作作风和团队协作精神。 (3)学会文献检索的基本方法和综合运用文献的能力。 (4)在老师的指导下,要求每个学生独立完成课程设计的全部内容。