常见报文分析
常见报文分析
前言:抓包工具的使用方法
Ethereal 工具的使用方法 1、 抓包设置页面
选择以太网卡
设置为实时刷新报文设置为是否滚动
设置一次抓包长度或抓包时间
设置抓包存储方式
2、 协议显示
MMS 报文
SNTP 建立以太网通讯时会发ARP 报文ping 报文
SV 、GOOSE 抓包时间
3、显示信息
报文序号
抓取该帧报文时刻,PC时间
该帧报文是谁发出的
该帧报文是发给谁的
协议类型--以太网类型码
报文长度
4、过滤机制
4.1 关键字段过滤
1)按目的MAC地址过滤
2)按源MAC地址过滤
3)按优先级过滤
4)按VLAN过滤
语法vlan.id == 210
5)按以太网类型码过滤
vlan.etype == 0x88b8
6)按APPID过滤
7)按GOOSE控制块过滤
语法:frame[30:9] == 80:07:67:6f:63:62:52:65:66 从该帧报文的第30个字节读取9个字节
8)其他字段的过滤类似不在一一举例
4.1 组合过滤
1)找到特征报文的起始点
找到自己关注GOOSE的APPID
根据GOOSE变位时sequencenumber会
变0的特性找到第一帧变位GOOSE
2)标注起始报文
注意报文编号:28、36
3)去掉过滤条件,在所有的原始报文中显示标注报文,能找到事件之间的时间关系
去掉过滤条件并Apply,在“28、
36”附近发生的事情一目了然
4)进一步优化时间显示
显示绝对时间
不含年、月、日绝对时间
以第一帧报文为计时起点
相对时间
以上一帧报文为计时起点
查看相邻两帧报文的间隔设置特征报文为计时参考点
过滤结果
“28”以后的报文均以其为计时起点
1、MMS报文
MMS(GBT 16720.2-2005 )是一种实时通信机制。
1.对象建模:对一个实际设备进行抽象,利用面向对象思想理解设备的逻辑构成。参考7-2中进行抽象建模,提炼出设备所含有的逻辑节点,每个逻辑节点所含的参数、属性,找出逻辑节点之间数据流向。整个过程需要对设备有大概的了解,知道设备可以被抽象为哪几个逻辑节点组成,特别是数据流向问题,还有该设备可能和哪些其他设备发生数据关系。参考7-1找出该设备与其他设备发生交换的时候需要哪些ACSI服务。最终形成一张该设备的按IEC61850思想获得的逻辑抽象参数表与逻辑数据流程图。参考设备的逻辑抽象参数表与逻辑数据流程图,根据MMS协议与8-1实现映射,将逻辑节点映射成MMS中的域,特别是设备涉及的ACSI(抽象服务通讯接口)服务,很大一部分其实转映射成MMS中的读写服务。根据映射关系得出MMS映射逻辑抽象参数表与MMS服务与ACSI服务对照表。根据MMS服务与ACSI服务对照表,准备一个XML文件作为MMS的配置文件,记录该设备的MMS服务以及参数.面向连接的传递机制(考虑Socket)(RPC)在IED上实现61850,包括2个内容:①建立设备数据模型和服务模型;②数据模型和服务模型向MMS的映射.其中服务模型逻辑设备模型、数据对象模型、数据集模型、关联服务模型、数据存取服务模型、报告服务模型、设备控制模型、多播服务模型、时间模型、大数据模型(如图像等)。数据和服务模型必须向MMS映射,就是采用MMS来完成通信过程,MMS是OSI7层通信模型的一种应用层协议,主要用于过程自动化领域。MMS中有一些对象和应用服务单元,将通用应用服务模型向MMS映射。就是把它的对象与服务用MMS相应的对象和服务表示。MMS是IEC61850和UCA
2.0的关键技术之一,它定义了通信报文格式。IEC61850标准定义了两种抽象模型:采样值传输(SAV)模型和通用的以对象为中心的变电站事件(GOOSE)模型。其中SAV模型应用于采样值传输及相关服务,而GOOSE模型则提供了变电站事件(如命令、告警等)快速传输的机制,可用于跳闸和故障录波启动等。为简化叙述,以下将采样值报文称之为SAV报文,跳闸命令报文称之为GOOSE报文。
SAV报文和GOOSE报文的传输均/订阅者(publisher/subscriber)通信结构.
MMS报文传输实现机制:IEC 61850标准针对变电站所有功能定义了比较详尽的逻辑节点(logicalnode)和数据对象,并提供了完整的描述数据对象模型的方法和面向对象的服务。这些抽象的通信服务、通信对象及参数通过特殊通信服务映射(SCSM)可映射到底层应用程序,其映射一般遵循MMS(应用层)+TCP/IP(网络层传输层)+ISO/IEC8802.3模式(物理层链路层标准),而SV模型和GOOSE模型的报文传输映射实现比较特殊:应用层专门定义了协议数据单元(ProtocolData UnitPDU),经过表示层编码后,不经TCP/IP协议,直接映射到数据链路层和物理层,即传输层和网络层均空。这种映射方式的目的是避免通信堆栈造成传输延
时,从而保证报文传输的快速性。
2.初始化
1.提出
A8 25 :PDU请求初始化
A8 (1010 1000 ) 25(PDU报文长度37字节)
Bit7,6. Tag type 00通用10上下文提及
Bit5,0 原始 1 构建
BIT4-0:值,原始的通用标签,ASN.1中定义的值,[X]在MMS其他用途。
80 02 7D 00:本地通信细节,MMS最大为32000字节
81 01 1E:提出主叫持续时间(30)
82 01 1E:提出被叫持续时间(30)
83 01 08: 拟建数据结构嵌套级别(8)
A4 16: mms请求初始化
A4(1010 0100) 定义类型16(MMS报文长度为22字节)
80 01 01:版本号(01)
81 03 05:定义未用的位(05)
FB 00:(1111 1011 00)
{
1 支持数组(1T 0F)
2 支持结构体
3 支持命名变量
4 支持备用访问
5 支持未命名变量
6 支持分散接入
7 支持第三方操作
8 支持命名变量列表
9 支持ASN.1实时数据类型
10 支持条件时间
}
82 0C 03: 定义未用的位(03)2、响应
读服务
回复读服务
写服务
回复写
2、GOOSE报文
01 0c cd 01 10 02 :目的MAC
22 5a 36 29 df ab :源MAC
88 b8 :GOOSE报文标识
10 02 :APPID(0-3FFF)
03 a7 :PDU长度
00 00:保留
00 00:保留
61 82:APDU长度TL(8+m,m,)
03 9b:
80 1d 45 31 51 31 53 42 31 30 31 50 49 47 4f 2f 4c 4c 4e 30 24 47 4f 24 47 4f
5f 47 63 62 31 :GocbRef
81 02 27 10 :TTL 报文生存时间(2T0,装置在4T0未收到GOOSE报文时判链路断开)
82 1a 45 31 51 31 53 42 31 30 31 50 49 47 4f 2f 4c 4c 4e 30 24 64 73 47 4f 4f
53 45 :DataSetReference
83 11 50 49 47 4f 2f 4c 4c 4e 30 2e 47 4f 5f 47 63 62 31 :GOOSEID
84 08 51 ad 54 de 71 80 00 2a:最新的变位时标ST+1 (0a表示同步 2a表示失步)
85 01 01:STnum 上电时从1开始,以后每次发生状态变化加一
86 01 0a :Sqnum 在stnum不变时,其根据报文的个数加一,报文发送的间隔为
87 01 00:检修位该位与数据集中的检修位一致。
88 01 01:Config Revision
89 01 00:未配置好标志
8a 02 00 ca :DA个数(ASN.1编码)
ab 82 03 28 :GOOSE报文长度
83 01 01 :val
84 03 03 00 00 :q
GOOSE报文数据集中一个发生变化整个数据集状态全部发送,
数据状态发生变位后,立即发送事件变位报文,STnum+1,Sqnum清0,然后以间隔T1重新发送该报文,再以T2、T3间隔再传输一次该报文,GOOSE服务器进入稳态传输进程后以T0时间间隔循环发送GOOSE报文。该过程中STnum不变,Sqnum依次加1.(4T1=2T2=T3)装置上电或者GoEna从false变true,发送的第一帧GOOSE的StNum=1,SqNum=1。
装置把GOOSE的DS里所有信息DO的品质q置为无效,并把StNum和SqNum清零。
GOOSE品质位
当接收的GOOSE报文中只有v,无q的时候,如果该GOOSE报文头的Test是true,那么接收后,该GOOSE中所有对象的q的Test位在装置中都会置为true。如果GOOSE报文中不但有v,而且有q的时候,就以报文中的q为准,无论GOOSE报文头的Test是否为true,都不影响各个对象的q的Test位。
GOOSE异常分析
一、1、stNum不变, SqNum跳变
2、stNum跳变
报文丢失
二、顺序计数sqNum以及报文内容和上一帧GOOSE 报文完全一致。
报文重复
三、顺序计数sqNum小于上一帧GOOSE报文的sqNum,且sqNum 不等于1。
报文顺序逆转
四、状态计数StNum小于上一帧GOOSE报文的StNum,且StNum 不等于1。
报文顺序逆转
五、状态计数StNum大于上一帧GOOSE报文的StNum加1,且StNum不等于1。
报文状态跳跃或报文有丢失
六、GOOSE 报文状态计数StNum 发生变化,但数据集的内容却没有变化,反之亦然。
虚假状态变位或错误报文或报文有丢失
七、在GOOSE报文的2倍生存时间(timeAllowedtoLive)内没有收到新的GOOSE报文。
GOOSE链路断开
八、目的MAC地址错误
发送方配置错误。
目的MAC 为广播或组播地址,建议地址范围为:01-0C-CD-01-00-00到01-0C-CD-01-01-FF 九、gooseRef,dataset,gooseID与SCL文件中内容不匹配
GOOSE链路出错或发送方配置错误
十、GOOSE 报文中数据集的格式、数量和SCL文件中定义的不一致。
GOOSE链路出错或发送方配置错误
十一、配置版本(confRev)等于0
发布方配置错误。
0为保留值,confRev不能使用
3、SV报文
01 0c cd 04 40 08:目的MAC
22 5a 12 c9 f6 33:源MAC
88 ba:SV报文标识
40 08:APPID
00 b0 :报文长度
00 00 :保留
00 00 :保留
60 81 a5: T(60)+L(81 a5) savPDU(协议数据单元)长度
80 01 01: T(80)+L(01)+V(01) noASDU(应用服务数据单元)数目
A2 81 9f:T(a2)+V(81 9f) seqASDU长度
30 81 9c: T(30)+V(81 9c) ASDU(1)长度
80 0a 78 78 78 78 4d 55 6e 6e 30 31:SVID
82 02 09 4b:smpcnt (0-3999)
83 04 00 00 00 01:confref
85 01 00:smpsynch
87 81 80 ff ff ff cc 00 00 08 00 :value + Q
Value:电流为(mA*(x)/1000)* (√2)/2 电压为 10mV*(x)/1000 * (√2)/2
Value的值高位为0表示正值,正值为原码,如0x000c71fb,转换为十进制为815611,若为电压则为8.15611KV;高位为1表示负值,为补码,计算方法为减一再取反,如0xfff38ecb,将其减1取反得0x000c7135 ,转换为十进制为815413,若为电压则为-8.15413KV。
SV的有效值可以通过IEC61850工具得到,也可根据波峰和波谷计算出有效值。
Q:61850规约7-3部分,仅使用validity及test属性。
0x 00 00 00 00 有效
0x 00 00 00 01 无效
0x 00 00 08 00 检修
0x 00 00 00 00 无检修
4、1588报文
1588对时原理:
1588报文:
1、事件报文:需要精密时间戳,会激发发送后续消息的报文。端口:319
Sync报文:以广播方式从主时钟节点发出,需要在主时钟节点处标记其离开时间,在从时钟节点处标记其到达时间。
De_lay_Req报文:以点对点方式从各从时钟节点发出,需要在各个从时钟节点处标记其离开时间,在主时钟节点处标记其到达时间。
Pdelay_Req报文:
Pdelay_Resp报文:
2、通用报文:不会激发发送后续消息的报文端口:320
Announce报文:用来建立同步架构
Follow_up报文:以广播方式从主时钟节点发出,不需要时间标记
Delay_Resp报文:以点对点方式从主时钟发出,不需要时间标记
Pdelay_Resp_Follow_up报文:
Management报文:用来查询和更新时钟维持的PTP数据集,这些消息用来定制PTP系
统和初始化以及故障管理,管理消息在管理节点之间用。
Signaling报文:用来在时钟之间做其他用途。例如,信号消息可以用来协商主和从设
备之间的单播消息的速率。
PTP协议的时间同步方式是由主时钟周期性地发出同步(Sync)信息,Sync信息是包含了一个时间戳,精确地描述了数据包发出的预计时间(OriginTimestamp)。由于信息包含的是预计的发出时间而不是真实的发出时间,所以Sync信息的真实发出时间(PreciseOriginTimeStamp)被测量后在随后的Follow_up信息中发出。Sync信息的接收方记录下真实的接收时间(sync_receipt_fime)。使用Follow—Up信息中的真实发出时间(PreciseOriginTimeStamp)和接收方的真实接收时间(sync_receipt_time),可以计算出从属时钟与主时钟之间的时差,并据此更正从属时钟的时间。
但是按照以上方法计算出的时差包含了网络传输造成的延时,所以使用Delay_Req信息来定义网络的传输延时。Delay_Req信息由从时钟在收到Sync信息后发出。与Sync信息一样,发送方记录准确的发送时间(dehy_req_sending_time),接收方记录准确的接收时间
(delayReceiptTimestamp)。准确的接收时间包含在Delay_Resp信息中,从而计算出网络延
时和时钟误差。这样,主时钟通过周期性地发出时间同步消息,从时钟通过不断地根据时间偏差修改本地系统时间,便实现了基于PTP协议时间同步机制。
One step:将时间放在Sync报文中,要求非常精确的底层硬件处理;
Two step:将时间放在Follow_Up报文中传送。
Sync, Delay_Req, Follow_Up和Delay_Resp消息用于产生和通信用于同步普通时钟和边界时钟的时间信息。
Pdelay_Req, Pdelay_Resp和Pdelay_Resp_Follow_Up用于测量两个时钟端口port之间的链接延时。链接延时被用来更正在Sync和Follow_Up消息中的时间信息。
透明时钟peer-To-peer链路延时计算方式
Node-A和Node-B没有主、从之分
Node-A:发送一个Pdelay_Req消息,并记下该时间t1。
Node-B:接收到Pdelay_Req消息,记下接收时间t2,然后返回一个Pdelay_Resp消息,记下该消息的发送时间t3。(收到消息到发送消息的时间间隔要尽可能的短以减小由于两个端口之间的频率偏移引起的误差。)
然后Node-B可以:
1)在Pdelay_Resp中返回t2和t3的差值。
2)在Pdelay_Resp_Follow_Up消息中返回t2和t3的差值。
3)在Pdelay_Resp 和Pdelay_Resp_Follow_Up 消息中分别返回t2和t3。
Node-A:接收到Pdelay_Resp 后,记下时间t4。利用这四个时间可以计算平均链路延时。 1) 以下图为例解释MAC 地址分配
ANNOUNCE Peer to Peer 模式下对时结构
SYNC ANNOUNCE
“1588”报文
00:0000传输特性(判断是否属于802.1) 0000报文类型(sync 00)
02:PTP版本为2
00 2C:报文长度 44
00:时间域编号
02 3C:标志域
00 00 00 00 00 00 00 00:时间修正域(PTP报文中携带的时间信息经过透明时钟时,对驻留时间的一个ns级别的修正值)
00 da 01 ff fe 00 00 53:时钟标识
00 04:源端口ID(发送PTP报文的源端口地址信息)
84 87: 不同PTP报文的序列号
00:控制域(描述报文类型的字段)
00:日志消息间隔(定义及显示协商后的报文发送间隔)
00 00 51 af d7 b4 :时间开始时间(s)(数据包发送的预计时间)
00 f0 dc 76 00 00 :时间开始时间(ns)
Origintimestamp:预计时间
00 23 :currentUtcoffset(UTC世界统一时间与TAI世界原子时时间标尺间的闰秒时间差)
80:用户定义的grandmaster优先级
06:分类等级
21:精度在100ns内
00 64:变化100ns
00 00:localstepremoved(grandmaste与slave设备见的时钟路径条数)
20:Timesource(GPS、PTP、NTP、Hand_set)
5、SNTP报文
SNTP对时原理分析
c l i e n t
s e r v e
r
T1
T2T3T4
T3-t
T1+t
d/2 d/2
因为T2=T1+t+d/2,T4=T3-t+d/2,可求出对时报文传输延时d=(T4-T1)-(T3-T2)及服务器与客户端时间偏差 t=((T2-T1)+(T3-T4))/2
Src Port:123
Dst Port:123
Reference Timestamp:参考时间
T1 Origin Timestamp:原始时间
T2 Receive Timestamp:接收时间
T3 Transmit Timestamp:发送时间
详细见“SNTP单播对上时报文”50-51帧报文
http协议请求响应报文格式及状态码详解
HTTP协议报文格式 HTTP协议(Hypertext Transfer Protocol――超文本传输协议)浏览器端(客户端)向WEB 服务器端访问页面的过程和HTTP协议报文的格式。 基于HTTP协议的客户机访问包括4个过程,分别是建立TCP套接字连接、发送HTTP请求报文、接收HTTP应答报文和关闭TCP套接字连接: 1. 创建TCP套接字连接 客户端与WEB服务器创建TCP套接字连接,其中WEB端服务器的地址可以通过域名解析确定,WEB端的套接字侦听端口一般是80。 2. 发送HTTP请求报文 客户端向WEB服务端发送请求报文,HTTP协议的请求报文格式为: 请求消息= 请求行(实体头信息)CRLF[实体内容] 请求行= 方法URL HTTP版本号CRLF 方法= GET|HEAD|POST|扩展方法 URL = 协议名称+宿主名+目录与文件名 其中"CRLF"表示回车换行。 "请求行"中的"方法"描述了对指定资源执行的动作,常用的方法"GET"、"HEAD"和"POST"等3种,它们的含义如表15-8所示: 请求报文 一个HTTP请求报文由请求行(request line)、请求头部(header)、空行和请求数据4个部分组成,下图给出了请求报文的一般格式。 (1)请求行 请求行由请求方法字段、URL字段和HTTP协议版本字段3个字段组成,它们用空格分隔。例如,GET /index.html HTTP/1.1。 HTTP协议的请求方法有GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT。这里介绍最常用的GET方法和POST方法。 GET:当客户端要从服务器中读取文档时,使用GET方法。GET方法要求服务器将URL定位的资源放在响应报文的数据部分,回送给客户端。使用GET方法时,请求参数和对应的值附加在URL后面,利用一个问号(“?”)代表URL的结尾 与请求参数的开始,传递参数长度受限制。例如,/index.jsp?id=100&op=bind。POST:当客户端给服务器提供信息较多时可以使用POST方法。POST方法将请求参数封装在HTTP请求数据中,以名称/值的形式出现,可以传输大量数据。 表15-8 HTTP请求方法
实验一 数据报文分析 实验报告
实验一数据报文分析 物联10 查天翼41050051 一、实验目的 1.掌握网络分析原理 2.学习Wireshark协议分析软件的使用 3.加深对基本协议的理解 二、实验环境 机器代号:K053 IP地址:222.28.78.53 MAC地址:00-88-98-80-95-C2 三、实验结果 数据链路层(以太网)数据帧分析 3c e5 a6 b3 af c1 00 88 98 80 95 c2 08 00 3c e5 a6 b3 af c1:表示目的MAC(Hangzhou_b3:af:c1)地址 00 88 98 80 95 c2:表示本机MAC地址
08 00:表示数据类型,里面封装的是IP数据包 IP数据包分析 45 00 00 28 63 cd 40 00 80 06 19 1f de 1c 4e 35 77 4b da 46 45:高四位是4,表示此数据报是IPv4版本;低四位是5,表示首部长度,由于首部长度以4字节为单位,所以IP数据包的首部长度为20字节。 00:表示服务类型 00 28:表示数据包的总长度是40 63 cd:表示表示字段0x63cd(25549) 40 00:“40”高4位表示标志字段,低4位和第8个字节“00”组成片偏移字段。 80:表示生存时间 06:表示数据包的数据部分属于哪个协议,此值代表的协议是TCP协议。 19 1f:表示首部校验和 de 1c 4e 35:表示源IP地址222.28.78.53 77 4b da 46:表示目的IP地址119.75.218.70
07 a1 00 50 d7 c3 fb a4 5d 84 9a 2e 50 10 ff ff 5e e4 00 00 07 a1:表示源端口号1953 00 50:表示目的端口号80 d7 c3 fb a4:表示序号字段值430 5d 84 9a 2e:表示确认序号值3196 50:“50”的高4为位表示数据偏移字段值,该TCP报文数据偏移字段值是5,该字段表示报文首部的长度,以4字节为单位,所以该TCP报文的首部长度是20字节。 10:表示ACK=1,SYN=0 ff ff:表示窗口字段值是65535,即告诉发送端在没有收到确认之前所能发送最多的报文段的个数。 5e e4:表示校验和字段0x5ee4 00 00:表示紧急指针字段值
以太网报文分析
200810314021_陈道争 一、实验名称:以太网报文分析 二、实验内容: 1.Ethereal的基本操作。 2.截获以太网报文,并将报文保存到硬盘上。 3.打开截获的报文,并分析其中的某一条报文。 三、实验过程与步骤: 1.在Windows操作系统下安装软件Ethereal。 2选择“Capture”中的“Options”进行设置。 3.打开“IE浏览器”,输入任意一个网址,打开其中的一个网页。 4.Ethereal软件的界面中会出现很多条的报文。 5.选择“Stop the running live capture”。 四、报文分析: 1.选取No.180的一条HTTP报文,具体报文见“200810314021_陈道争.cap”,以下分析都是根据此报文,就不再附图了。 2.从应用的角度网络可以划分为物理层、链路层、网络层、传输层、应用层几个部分。以太网上的数据以报文的形式进行传递,每个报文由数据内容部分和各个层次的报文头部组成。 3.链路层: (1)以太网的链路层由14个字节的内容组成。 (2)前六个字节的内容表示报文的目标硬件地址(Destination MAC),本报文描述的是网关的MAC 地址,值是:00-0f-e2-77-8f-5e。 (3)接下来六个字节的内容表示报文的源硬件地址(Source MAC),本报文描述的是本机的MAC 地址,值是:00-23-7d-4d-16-55。 (4)接下来两个字节的内容表示网络层所使用协议的类型,本报文使用的是IP协议,IP协议的类型值是:0X0800。 4.网络层: (1)目前使用最广泛的网络层协议是IPv4协议。IPv4协议的头部由20个字节的内容组成。 (2)其中第一个字节的前四个位的内容表示IP协议使用的版本号,值是:4,表示本报文使用的是IPv4协议。 (3)后四位的内容表示报文头部的长度,值是:20bytes。 (4)接下来两个字节的内容表示总长度,是首部和数据之和的长度,值是:657,表示总长度是657字节。 (5)接下来两个字节的内容表示标识。本报文为0x261f。 (6)接下来两个字节的前三位的内容表示标志。本报文位010. (7)接下来一个字节的内容表示生存时间。本报文Time to live:128. (8)接下来一个字节的内容表示所使用的传输层的协议类型,值是:0x06,表示使用的是TCP协议,因为HTTP协议是基于TCP协议实现的。
常用http响应报文分析
一、HTTP响应码由三位十进制数字组成,它们出现在由HTTP服务器发送的响应的第一行。 响应码分五种类型,由它们的第一位数字表示: 1xx: 信息,请求收到,继续处理 2xx: 成功,行为被成功地接受、理解和采纳 3xx: 重定向,为了完成请求,必须进一步执行的动作 4xx: 客户端错误,请求包含语法错误或者请求无法实现 5xx: 服务器错误,服务器不能实现一种明显无效的请求 下表显示每个响应码及其含义: 100继续 101分组交换协 200 OK 201被创建 202被采纳 203非授权信息 204无内容
205重置内容206部分内容300多选项 301永久地传送302找到 303参见其他304未改动 305使用代理307暂时重定向400错误请求401未授权 402要求付费403禁止 404未找到 405不允许的方法406不被采纳407要求代理授权408请求超时409冲突 410过期的 411要求的xx
412前提不成立 413请求实例太大 414请求URIxx 415不支持的媒体类型 416无法满足的请求范围 417失败的预期 500内部服务器错误 501未被使用 502网关错误 503不可用的服务 504网关超时 505 HTTP版本未被支持 二、HTTP头标由主键/值对组成。它们描述客户端或者服务器的属性、被传输的资源以及应该实现连接。 四种不同类型的头标: 1.通用头标: 即可用于请求,也可用于响应,是作为一个整体而不是特定资源与事务相关联。 2.请求头标: 允许客户端传递关于自身的信息和希望的响应形式。 3.响应头标:
服务器和于传递自身信息的响应。 4.实体头标: 定义被传送资源的信息。即可用于请求,也可用于响应。 头标格式:
实验12 HTTP报文分析
实验12 HTTP 协议分析实验 一、实验目的 在PC 机上登录Web 页面,截获报文,分析HTTP 协议的报文格式和HTTP协议的工作过程。 二、实验说明 独立完成各自实验 三、实验内容 在一台计算机上截获不同类型HTTP报文进行分析。 四、实验步骤 1.在PC 机上运行Sniffer,设置过滤器,开始截获报文; 2.从浏览器上访问Web 界面,如http://202.202.4 3.125。打开网页,待浏览器的状 态栏出现“完毕”信息后关闭网页。 3.停止截获报文,将截获的报文命名为http1-座号-姓名保存。 4.分析截获的报文,回答以下几个问题: ?在截获的HTTP 报文中,任选一个HTTP 请求报文和对应的 HTTP 应答报文, 仔细分析它们的格式,填写下面两个表格。 ? ?
表2 HTTP 应答报文格式 分析在截获的报文中,客户机与服务器建立了几个连接?服务器和客户机分别使用了哪几个端口号? 建立了10个连接,服务器使用率1281,1282,1283,1284,1285,1286,1287,1288,1289端口,客户端使用80端口 1.获取长文件 (1)启动浏览器,将浏览器的缓存清空。
(2)启动Sniffer,设定过滤器HTTP,在浏览器地址栏中输入以下网址:https://www.360docs.net/doc/b54495216.html,/wireshark-labs/HTTP-wireshark-file3.html 浏览器将显示一个相当大的美国权利法案。
(3)停止Sniffer,保存为:http2-座号-姓名,回答以下问题。 ?一共发出了多少个HTTP GET请求? 4个GET请求 ?承载这个HTTTP响应报文需要多少个data-containing TCP报文段? 一共需要4个TCP报文段 ?与GET请求相对应的响应报文状态码和状态短语是什么?。 状态码:302 状态短语:Found ?在被传送的数据中共有多少个HTTP状态行与TCP-induced continuation有 关? 有,对于一个大的HTML文件会被TCP分为若干个独立的小包传输,他们是连 续的,如下图 2.嵌有对象的HTML文档 (1)启动浏览器,将浏览器的缓存清空。 (2)启动Sniffer,设定过滤器HTTP,在浏览器地址栏中输入以下网址: https://www.360docs.net/doc/b54495216.html,/wireshark-labs/HTTP-wireshark-file5.html 浏览器将显示一个具有两个图片的短HTTP文件。
IEC104规约报文分析(104报文解释的比较好的文本)
IEC104规约调试小结 一、四遥信息体基地址范围 “可设置104调度规约”有1997年和2002年两个版本,在流程上没有什么变化,02 此配置要根据主站来定,有的主站可能设为1,1,2,我们要改与主站一致。 三、以公共地址字节数=2,传输原因字节数=2,信息体地址字节数=3为例对一些基本的报 文分析 第一步:首次握手(U帧) 发送→激活传输启动:68(启动符)04(长度)07(控制域)00 00 00 接收→确认激活传输启动:68(启动符)04(长度)0B(控制域)00 00 00 第二步:总召唤(I帧) 召唤YC、YX(可变长I帧)初始化后定时发送总召唤,每次总召唤的间隔时间一般设为15分钟召唤一次,不同的主站系统设置不同。 发送→总召唤: 68(启动符)0E(长度)00 00(发送序号)00 00(接收序号)64(类型标示)01(可变结构限定词)06 00(传输原因)01 00(公共地址即RTU地址)00 00 00(信息体地址)14(区分是总召唤还是分组召唤,02年修改后的规约中没有分组召唤) 接收→S帧: 注意:记录接收到的长帧,双方可以按频率发送,比如接收8帧I帧回答一帧S帧,也可以要求接收1帧I帧就应答1帧S帧。 6804 01 00 02 00 接收→总召唤确认(发送帧的镜像,除传送原因不同): 68(启动符)0E(长度)00 00(发送序号)00 00(接收序号)64(类型标示)01(可变结构限定词)07 00(传输原因)01 00(公共地址即RTU地址)00 00 00(信息体地址)14(同上) 发送→S帧: 注意:记录接收到的长帧,双方可以按频率发送,比如接收8帧I帧回答一帧S帧,也可以要求接收1帧I帧就应答1帧S帧。 68 04 01 00 02 00
报文分析
Arp报文分析: Arp 报文格式:三层:Frame、Ethernet、Address Resolution Protocol 协议类型:IP 先在DOC命令窗口下:ping 10.16.134.66 网关的ARP: Arp请求: Arp应答: 目的主机: Arp请求: Arp响应:
分析: 当主机10.16.134.62向主机10.16.134.66发送时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到目标IP地址,主机A就会在网络上发送一个广播,此时,主机A发送的帧包含:sender MAC address( 本机的MAC地址),sender IP address(本机IP地址),目标主机B的target MAC address(全部为空)target IP address(目标主机的IP地址)。这表示向同一网段内的所有主机发出这样的询问:“我是10.16.134.62,我的MAC是"c8:3a:35:d3:cf:41".请问IP地址为10.16.134.66的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“10.16.134.66的MAC地址是c8:3a:35:d3:77:1d”。这样,主机A就知道了主机B的MAC 地址,它就可以向主机B发送信息了。同时A和B还同时都更新了自己的ARP缓存表(因为A在询问的时候把自己的IP和MAC地址一起告诉了B),下次A再向主机B或者B向A发送信息时,直接从各自的ARP缓存表里查找就可以了。 ARP缓存表采用了老化机制(即设置了生存时间TTL),在一段时间内(一般15到20分钟)如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。 (注:此时arp缓存表中已经删除了10.16.134.66 的MAC 地址) TCP报文分析:
MQTT协议14种报文分析.docx
MQTT协议14种报文分析 实习报告 课程名称: _____ 实习题目: ___________________ 专业班级: _____________学生姓名: __________ 学号: ___________实习成绩: 指导教师签名:年月日
[-c config file] 指定的配置文件中的端口 -v 代码调试模式(verbose)可以输出更多的信息 2.MQTT客户端Eclipse Paho MQTT (1)下载解压缩后,双击paho.exe,打开后的对界面如下 (2)点击上图中的十字图标,就能新建一个MQTT的客户端的连接,输入正确的MQTT服务端的连接地址, (3)这个时候我们就能订阅消息了。选择“Subscription”下方的绿色十字图标,就可以输入订阅的主题(topic)的名字,比如我们设置主题名称为“test”,并点击“Subscribe”按钮 (4)往MQTT服务发送一条某一主题的MQTT消息。然后点击“Publish”按钮,这个时候,我们就能看到消息已经发送成功,且在步骤(3)订阅的同一主题也收到了消息。 3.安装和使用协议分析软件wireshark (1)安装WiresharkPortable_2.2.1.paf.exe (2)捕获MQTT协议报文 (3)在Wireshark中,分为capture filter和Display Filer,我们只需要在WireShark 软件中的capture filter 输入下面的过滤条件,则与MQTT服务交互的相关TCP 的数据包就能抓取到。如下图所示意.
这个时候,我们先启动WireShark,然后点击Eclipse Paho MQTT工具的“Connect”,这个时候WireShark就能抓取下面的TCP数据包。 2.2 主要实验步骤 操作:按照“MQTT-3.1.1-CN”文档各种报文的实现方法依次实现,抓包结果截图,结合参考文档分析实验结果。 结果:如下各图所示 14种报文分析说明具体如下: 1.CONNECT –连接服务端
模型及MMS报文分析
6 1 8 5 0 模型及M M S 报文分析基础 2012-02 参考文档: 1 .《数字化变电站调试总结 -马玉龙》 2.《 IEC61850 标准》《 IEC61850 实施规范》
1文件类型............................... 1.1ICD/CID文件结构 .......................................................... 2模型验证............................... 3、IED配置.............................. 3.1IED和LD(Logical Device相关信息 .......................................... 3.2逻辑节点LN (Logical Node) ............................................... 3.3数据DO( Data Object)及数据属性DA( Data attribute) ........................ 3.4数据集:DOI /DAI的集合.................................................... 3.5 报告控制块ReportControl: .................................................. 4如何抓包............................... 4.1抓包工具............................................................... 4.2抓包方法............................................................... 4.3分析举例............................................................... 5、MMS艮文简析............................. 5.1初始化相关............................................................... 5.2报告相关................................................................. 5.3录波相关................................................................. 5.4控制相关................................................................. 5.5定值相关.................................................................
HTTP请求报文格式
HTTP报文是面向文本的,报文中的每一个字段都是一些ASCII码串,各个字段的长度是不确定的。HTTP有两类报文:请求报文和响应报文。 请求报文 一个HTTP请求报文由请求行(request line)、请求头部(header)、空行和请求数据4个部分组成,下图给出了请求报文的一般格式。 (1)请求行 请求行由请求方法字段、URL字段和HTTP协议版本字段3个字段组成,它们用空格分隔。例如,GET /index.html HTTP/1.1。 HTTP协议的请求方法有GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT。这里介绍最常用的GET方法和POST方法。 GET:当客户端要从服务器中读取文档时,使用GET方法。GET方法要求服务器将URL定位的资源放在响应报文的数据部分,回送给客户端。使用GET方法时,请求参数和对应的值附加在URL后面,利用一个问号(“?”)代表URL 的结尾与请求参数的开始,传递参数长度受限制。例如, /index.jsp?id=100&op=bind。 POST:当客户端给服务器提供信息较多时可以使用POST方法。POST方法将请求参数封装在HTTP请求数据中,以名称/值的形式出现,可以传输大量数据。 (2)请求头部 请求头部由关键字/值对组成,每行一对,关键字和值用英文冒号“:”分隔。请求头部通知服务器有关于客户端请求的信息,典型的请求头有:User-Agent:产生请求的浏览器类型。 Accept:客户端可识别的内容类型列表。 Host:请求的主机名,允许多个域名同处一个IP地址,即虚拟主机。 (3)空行 最后一个请求头之后是一个空行,发送回车符和换行符,通知服务器以下不再有请求头。 (4)请求数据
OSPF报文格式分析
OSPF的报文格式 OSPF报文直接封装为IP报文协议报文,协议号为89。一个比较完整的OSPF报文(以LSU报文为例)结构如图8所示。 1. OSPF报文头 OSPF有五种报文类型,它们有相同的报文头。如图9所示。 主要字段的解释如下: ●????????????? Version:OSPF的版本号。对于OSPFv2来说,其值为2。 ●????????????? Type:OSPF报文的类型。数值从1到5,分别对应Hello报文、DD报文、LSR报文、L SU报文和LSAck报文。 ●????????????? Packet length:OSPF报文的总长度,包括报文头在内,单位为字节。 ●????????????? Router ID:始发该LSA的路由器的ID。 ●????????????? Area ID:始发LSA的路由器所在的区域ID。 ●????????????? Checksum:对整个报文的校验和。 ●????????????? AuType:验证类型。可分为不验证、简单(明文)口令验证和MD5验证,其值分别为0、 1、2。 ●????????????? Authentication:其数值根据验证类型而定。当验证类型为0时未作定义,为1时此字段为密码信息,类型为2时此字段包括Key ID、MD5验证数据长度和序列号的信息。 说明: MD5验证数据添加在OSPF报文后面,不包含在Authenticaiton字段中。 2. Hello报文(Hello Packet) 最常用的一种报文,周期性的发送给邻居路由器用来维持邻居关系以及DR/BDR的选举,内容包括一些定时器的数值、DR、BDR以及自己已知的邻居。Hello报文格式如图10所示。
抓包工具以及报文解析
包工具以及报文解析抓常用的包工具有抓Windows下的mms-etherealWireShark和Solaris下的snoop命令。 mms-ethereal可以自动解释mms报文适合进行应用层报文的分析WireShark是ethereal的替代版本介面更加友好但标准版本中没有对mms报文分析的支持snoop主要是用来包没有图形化的分析介面抓snoop取的档可以用抓WireShark打开辅助分析对於广播和组播报文如装置的UDP心跳报文、GOOSE报文61850-9-2的smv采样报文可以用笔记本连接到交换机上任意埠取。对於后台与装置之间的抓TCP通讯有两种方法。一是直接在后台机上安装软体来包二是利用抓HUB 连接后台与装置将笔记本接到HUB上包。抓注意是HUB不能交换机。调试61850的站最好要家里带上一个HUB库房一般是8口10M的TP-LINK---不是交换机。主要用於资料包便於档问题抓。没有HUB根本没有办法档看远动与装置的mms报文只能取到抓goose资料包。如果现场有管理型交换机也可以通过设置埠镜像功能来监视mms报文。WireShark和mms-ethereal均是图形化的介面使用起来比较简单注意选择正确的网可。卡即snoop的使用方法可以用man snoop取得最基本的命令为snoop -d bge0 -o xx.snoop 下面均以WireShark例为mms-ethereal与之类似。1 设置包过滤条件抓在后台上包时资料量比较大档一大之后解析起来速度慢如果单纯了分析抓很为应用层报文可在包的时候
设置过滤条件。如果了分析网路通断问题一般不设置过抓为滤条件便於全面了解网路状况。包过滤条件在抓 Capture-Options-Capture Filter里设置点Capture Filter会有多现很成的例子下面列几个最常用的。举tcp 只取抓tcp报文udp 只取抓udp报文host 198.120.0.100 只取抓198.120.0.100的报文ether host 00:08:15:00:08:15 只取指定抓MAC地址的报文2 设置显示过滤条件打开一个包档后可以在工具列上的抓filter栏设置显示过滤条件这里的语法与Capture Filter 有点差别例如下。举tcp 只取抓tcp报文udp 只取抓udp报文ip.addr198.120.0.100 只取抓198.120.0.100的报文 eth.addr00:08:15:00:08:15 只取指定抓MAC地址的报文还可以在报文上点击右键选择apply as filter等创建一个过滤条件比较方便。3 判别网路状况输入显示过滤条件 tcp.analysis.flags可以显示失、重发等异常情况相关的丢TCP 报文此类报文的出现频率可以作评网路状况的一个尺规。常见的异常类型有以下几个为估TCP Retransmission由於没有及时收到ACK报文而档生的重传报文TCP Dup ACK xxx 重复的ACK报文TCP Previous segment lost前一帧报文失丢TCP Out-Of-OrderTCP的帧顺序错误偶尔出现属於正常现象完全不出现说明网路状态上佳。监视TCP连接建立与中断输入显示过滤条件tcp.flags.syn1tcp.flags.fin1 tcp.flags.reset1SYN是TCP建立的第一步FIN是TCP连接正
IEC104规约报文分析(104报文解释的比较好的文本)
IEC104规约报文分析(104报文解释的比较好的文本)
IEC104规约调试小结 一、四遥信息体基地址范围 “可设置104调度规约”有1997年和2002年两个版本,在流程上没有什么变化,02版只是在97版上扩展了遥测、遥信等信 息体基体址,区别如下: 二、一些报文字节数的设置
此配置要根据主站来定,有的主站可能设为1,1,2,我们要改与主站一致。 三、以公共地址字节数=2,传输原因字节数=2, 信息体地址字节数=3为例对一些基本的报 文分析 第一步:首次握手(U帧) 发送→激活传输启动:68(启动符)04(长度) 07(控制域)00 00 00 接收→确认激活传输启动:68(启动符)04(长度) 0B(控制域)00 00 00 第二步:总召唤(I帧) 召唤YC、YX(可变长I帧)初始化后定时发送总召唤,每次总召唤的间隔时间一般设为15分钟召唤一次,不同的主站系统设置不同。 发送→总召唤: 68(启动符)0E(长度)00 00(发送序号)00 00(接收序号)64(类型标示)01(可变结构限定词)06 00(传输原因)01 00(公共
地址即RTU地址)00 00 00(信息体地址)14(区分是总召唤还是分组召唤,02年 修改后的规约中没有分组召唤) 接收→S帧: 注意:记录接收到的长帧,双方可以按频率发送,比如接收8帧I帧回答一帧S帧,也可以要求接收1帧I帧就应答1帧S帧。 6804 01 00 02 00 接收→总召唤确认(发送帧的镜像,除传送原因不同): 68(启动符)0E(长度)00 00(发送序号)00 00(接收序号)64(类型标示)01(可变结构限定词)07 00(传输原因)01 00(公共 地址即RTU地址)00 00 00(信息体地址)14(同上) 发送→S帧: 注意:记录接收到的长帧,双方可以按频率发送,比如接收8帧I帧回答一帧S帧,也可以要求接收1帧I帧就应答1帧S帧。 68 04 01 00 02 00 接收→YX帧(以类型标识1为例):68(启动符)1A(长度)02 00(发送序号)02 00(接收序号)01(类型标示,单点遥信)04(可变结构限定词,有4个遥信上送)14 00(传 输原因,响应总召唤)01 00(公共地址即RTU地址)03 00 00(信息体地址,第3号遥信)00(遥信分) 发送→S帧: 68 04 01 00 04 00
网络协议实验三wireshark分析http
1.你的浏览器运行的是,还是?你所访问的服务器所运行的HTTP版本号是多少? 答:HTTP version 4 2. 你的浏览器向服务器指出它能接收何种语言版本的对象? 答:Accept language: zh-CN\r\n 3. 你的计算机的IP地址是多少?服务器的IP地址是多少? 答:我的IP是:服务器: 从服务器向你的浏览器返回的状态代码是多少? 答:200 OK 5. 你从服务器上所获取的HTML文件的最后修改时间是多少?
答:如图 6.返回到你的浏览器的内容以供多少字节? 答:24370 在浏览器地址栏中如下网址: 分析你的浏览器向服务器发出的第一个HTTP GET请求的内容,在该请求报文中,是否有一行是:IF-MODIFIED-SINCE? 答:没有 9.分析服务器响应报文的内容,服务器是否明确返回了文件的内容?如何获知? 答:有 HTTP/ 200 OK(text/html)
10.分析你的浏览器向服务器发出的第二个“HTTP GET”请求,在该请求报文中是否有一行是:IF-MODIFIED-SINCE?如果有,在该首部行后面跟着的信息是什么? 答:仍然没有。如图。 11.服务器对第二个HTTP GET请求的响应中的HTTP状态代码是多少?服务器是否明确返回了文件的内容?请解释。 答:状态码和相应状态信息的值为304 NOT Modified,他表示缓存器可以使用该对象。第二次没有返回文件的内容,因为他只是作为对该条件GET的响应,WEB服务器只发送一个响应报文,不包含请求的对象。 12. 你的浏览器一共发出了多少个HTTP GET请求? 答:1个 13. 传输这一个HTTP响应需要多少个TCP报文段? 答:4个。
实验二基本报文分析(IP)汇总
实验报告 课程名称计算机网络 实验名称实验二基本报文分析(IP) 系别__计算机学院_ 专业___软件工程 ___ 班级/学号软工1301班/2013_ 学生姓名___ _ _ ___ _ ____ 实验日期___2015年11月18日 ___ 成绩________________________指导教师_ ___ _ ___
基本报文分析(IP)【实验目的】 1、理解IP层的作用以及IP地址的分类方法; 2、理解子网的划分和子网掩码的作用; 3、掌握IP数据包的组成和网络层的基本功能; 【实验学时】 4学时 【实验环境】 图3-2 实验拓扑图 【实验内容】 1、学会根据IP地址的分类方式区分各类IP地址; 2、掌握IP数据报的格式、长度以及各字段的功能; 3、学会利用子网掩码确定IP地址的网络号、子网号和主机号;
4、学会分析给定数据包的IP首部信息; 5、学会手工计算IP校验和的方法; 【实验流程】 图3-3 实验流程图【实验原理】 详见理论教材 【实验步骤】 步骤一:设定实验环境 1、参照实验拓扑连接网络拓扑;
步骤二:利用网络协议分析软件捕获并分析IP数据包 1、在某台主机中打开网络协议分析软件,在工具栏中点击“开始”,待一段时间后,点击“结束”, 2、在捕获到数据包中,选择IP数据包进行分析,如下图所示。 图3-5 IP数据包分析 分析捕获到的IP数据包,因此在本实验中,只分析数据的的IP包头部分。 ●版本信息:4,标识此报文为IPv4报文。 ●头部长度:5,标识IP报头长度为5个32比特。在上图中,IP报头最末端为01 FF,整个IP包头长度为20字节,共160位,即32比特的5倍。 ●区分服务类型:0,在此报文中不涉及服务质量的区分。 ●总长度:64,表示总长度为64字节。 ●标识:0X827,此数据包没有进行分片。 ●标志:2,二进制为010,表示此数据包不可分片。 ●分段偏移量:0X0000,此数据包没有进行分片。 ●生存时间:128,每经过一个路由器,生存时间减1,当生存时间减小为0时,数 据包被丢弃而不被转发。
HTTP响应报文与工作原理详解
超文本传输协议(Hypertext Transfer Protocol,简称HTTP)是应用层协议。HTTP 是一种请求/响应式的协议,即一个客户端与服务器建立连接后,向服务器发送一个请求;服务器接到请求后,给予相应的响应信息。 HTTP 请求报文 HTTP 请求报文由请求行、请求头部、空行和请求包体 4 个部分组成,如下图所示: 下面对请求报文格式进行简单的分析: 请求行:请求行由方法字段、URL 字段和HTTP 协议版本字段 3 个部分组 成,他们之间使用空格隔开。常用的 HTTP 请求方法有 GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT; ● GET:当客户端要从服务器中读取某个资源时,使用GET 方法。GET 方法要求服务器将URL 定位的资源放在响应报文的数据部分,回送给客户端,即向服务器请求某个资源。使用GET 方法时,请求参数和对应的值附加在 URL 后 面,利用一个问号(“?”)代表URL 的结尾与请求参数的开始,传递参数长度 受限制。例如,/index.jsp?id=100&op=bind。 ● POST:当客户端给服务器提供信息较多时可以使用POST 方法,POST 方法 向服务器提交数据,比如完成表单数据的提交,将数据提交给服务器处理。GET 一般用于获取/查询资源信息,POST 会附带用户数据,一般用于更新资源信息。POST 方法将请求参数封装在HTTP 请求数据中,以名称/值的形式出现, 可以传输大量数据; 请求头部:请求头部由关键字/值对组成,每行一对,关键字和值用英文冒号“:”分隔。请求头部通知服务器有关于客户端请求的信息,典型的请求头有: ● User-Agent:产生请求的浏览器类型;
计算机网络实验报告之数据报文分析&基本命令
实验一数据报文分析 一、分组及实验任务 学号:xxxxxxxx 姓名:xxxxxxxx 试验台:5组 同组同学:xxxxxxxx 二、实验环境 本实验中不需要动手连线,机房中所有主机均通过交换机相连,组成局域网。相邻的2名同学组成一个小组,完成本次实验。 三、实验过程 1、网络命令学习 (1)点击“开始”→“运行”,输入cmd回车,打开的是dos的命令窗口,在命令行中输入ipconfig 命令,查看计算机当前的IP地址、子网掩码和默认网关。添加上参数,输入ipconfig /all 记录本地连接中IP地址,MAC地址(Physical Address),网关(Default Gateway)等信息。如: MAC:00-98-99-00-EA-32 IP:222.28.78.X 网关:222.28.78.1 (2)在命令行下输入route print命令,查看本机上路由表信息。 (3)输入arp –a 命令,查看本地高速缓存中IP地址和MAC地址的信息,并记录下来。(4)相邻的两位同学组成一组,输入命令ping 222.28.78.X(对方IP地址),如ping 222.28.78.100 ,测试当前主机到目的主机的网络连接状态。读懂ping包下面的统计信息,判断是否连通。
(5)再次输入arp –a命令,查看本地高速缓存中IP地址和MAC地址的信息,并记录下来。 2、软件学习 (1)点击桌面图标“wireshark”,打开网络分析软件。 (2)点击菜单栏中的“capture” →“Interfaces”,查看网络接口的当前状态。在相应的接口后面点击“start”,即可开始抓包。点击菜单栏的“capture” →“stop”即可停止抓包。 (3)点击菜单栏的“capture” →“option”,在过滤器Capture Filter栏输入ether proto 0x0806 or ip proto 1,表明只抓取ARP和ICMP数据。点击“start”,开始抓包,在dos命令行下输入命令(ping+对方IP),观察抓到的包,点击菜单栏的“capture” →“stop”停止抓包。 分析抓到的一组ARP数据包,即请求(request)和应答(reply)包,记录数据链路层的源地址和目的地址。 分析一组ICMP数据包,请求(request)和应答(reply),记录数据链路层的源地址和目的地址;IP协议的源地址和目的地址。 (4)抓取TCP协议的三次握手过程,并分析TCP数据包, 记录连接的序列号、确认号和标识符(即:seq、SYN、ACK、ack等)。 3、路由器基本配置练习 四、问题解答 一: 1. 使用“route add”添加缺省路由的命令是什么?和在IP 地址配置界面配置的默认网关有什么联系? 添加缺省路由的命令是route add –p (IP address) mask (Sub Network mask) (Gateway) 。该缺省路由与在IP 地址配置界面配置的默认网关是一致的。 2. “netstat –r”和哪个命令是等价的? 答:“netstat –r”和“route print”命令是等价
61850与mms报文分析
61850模型及报文分析 61850模型及MMS报文分析基础 2012-02 参考文档: 1.《数字化变电站调试总结-马玉龙》 2. 《IEC61850标准》《IEC61850实施规范》 目录 1、文件类型 (3) 1.1 ICD/CID文件结构 (3) 2模型验证 (3) 3、IED配置 (4) 3.1 IED和LD(Logical Device)相关信息 (4) 3.2 逻辑节点LN (Logical Node) (5) 3.3数据DO(Data Object)及数据属性DA(Data attribute) (7) 3.4 数据集:DOI /DAI的集合 (10) 3.5 报告控制块ReportControl: (11) 4 如何抓包 (12) 4.1 抓包工具 (12) 4.2 抓包方法 (12) 4.3 分析举例 (12)
5、MMS报文简析 (16) 5.1初始化相关 (16) 5.2报告相关 (21) 5.3录波相关 (29) 5.4控制相关 (32) 5.5定值相关 (35)
第一部分:模型文件基础 1、文件类型 IED(智能电子设备,指保护、测控等设备)应提供ICD文件,描述IED的能力及通信内容,如是否具有定值、压板、动作信号等。 系统集成工具把各IED的ICD文件集成并进行实例化如IED名、信息点描述等形成站级模型文件-SCD文件,供站级(包括监控、远动、故障信息主子站)应用。 IED从SCD文件中导出本IED相关部分形成CID文件,即实例化后的IED 模型文件,供IED运行时用。 1.1 ICD/CID文件结构 -Header:历史版本信息等 -Communication:GOOSE配置等-IED:定值、压板、动作信号等-DataTypeTemplates :对象类型定义 2模型验证 xmlSpy可做一些语法方面的验证。 四方61850客户端工具软件可作进一步验证。 3、IED配置 IEC61850模型总体-模型的分析 注:本部分示例大部分取自培训资料包中的CSC326DES1.cid。 3.1 IED和LD(Logical Device)相关信息 1、 icd文件中的IED名一般为Template
HTTP请求报文格式
HTTP请求报文格式 HTTP报文是面向文本的,报文中的每一个字段都是一些ASCII码串,各个字段的长度是不确定的。HTTP有两类报文:请求报文和响应报文。 请求报文 一个HTTP请求报文由请求行(request line)、请求头部(header)、空行和请求数据4个部分组成,下图给出了请求报文的一般格式。 (1)请求行 请求行由请求方法字段、URL字段和HTTP协议版本字段3个字段组成,它们用空格分隔。例如,GET /index.html HTTP/1.1。 HTTP协议的请求方法有GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT。这里介绍最常用的GET方法和POST方法。 GET:当客户端要从服务器中读取文档时,使用GET方法。GET方法要求服务器将URL 定位的资源放在响应报文的数据部分,回送给客户端。使用GET方法时,请求参数和对应的值附加在URL后面,利用一个问号(“?”)代表URL的结尾与请求参数的开始,传递参数长度受限制。例如,/index.jsp?id=100&op=bind。 POST:当客户端给服务器提供信息较多时可以使用POST方法。POST方法将请求参数封装在HTTP请求数据中,以名称/值的形式出现,可以传输大量数据。 (2)请求头部 请求头部由关键字/值对组成,每行一对,关键字和值用英文冒号“:”分隔。请求头部通知服务器有关于客户端请求的信息,典型的请求头有:
User-Agent:产生请求的浏览器类型。 Accept:客户端可识别的内容类型列表。 Host:请求的主机名,允许多个域名同处一个IP地址,即虚拟主机。 (3)空行 最后一个请求头之后是一个空行,发送回车符和换行符,通知服务器以下不再有请求头。 (4)请求数据 请求数据不在GET方法中使用,而是在POST方法中使用。POST方法适用于需要客户填写表单的场合。与请求数据相关的最常使用的请求头是Content-Type和Content-Length。