包工具以及报文解析抓常用的包工具有抓Windows下的mms-etherealWireShark和Solaris下的snoop命令。

mms-ethereal可以自动解释mms报文适合进行应用层报文的分析WireShark是ethereal的替代版本介面更加友好但标准版本中没有对mms报文分析的支持snoop主要是用来包没有图形化的分析介面抓snoop取的档可以用抓WireShark打开辅助分析对於广播和组播报文如装置的UDP心跳报文、GOOSE报文61850-9-2的smv采样报文可以用笔记本连接到交换机上任意埠取。

对於后台与装置之间的抓TCP通讯有两种方法。

一是直接在后台机上安装软体来包二是利用抓HUB 连接后台与装置将笔记本接到HUB上包。

抓注意是HUB不能交换机。

调试61850的站最好要家里带上一个HUB库房一般是8口10M的TP-LINK---不是交换机。

主要用於资料包便於档问题抓。

没有HUB根本没有办法档看远动与装置的mms报文只能取到抓goose资料包。

如果现场有管理型交换机也可以通过设置埠镜像功能来监视mms报文。

WireShark和mms-ethereal均是图形化的介面使用起来比较简单注意选择正确的网可。

卡即snoop的使用方法可以用man snoop取得最基本的命令为snoop -d bge0 -o xx.snoop 下面均以WireShark例为mms-ethereal与之类似。

1 设置包过滤条件抓在后台上包时资料量比较大档一大之后解析起来速度慢如果单纯了分析抓很为应用层报文可在包的时候
设置过滤条件。

如果了分析网路通断问题一般不设置过抓为滤条件便於全面了解网路状况。

包过滤条件在抓
Capture-Options-Capture Filter里设置点Capture Filter会有多现很成的例子下面列几个最常用的。

举tcp 只取抓tcp报文udp 只取抓udp报文host 198.120.0.100 只取抓198.120.0.100的报文ether host 00:08:15:00:08:15 只取指定抓MAC地址的报文2 设置显示过滤条件打开一个包档后可以在工具列上的抓filter栏设置显示过滤条件这里的语法与Capture Filter 有点差别例如下。

举tcp 只取抓tcp报文udp 只取抓udp报文ip.addr198.120.0.100 只取抓198.120.0.100的报文
eth.addr00:08:15:00:08:15 只取指定抓MAC地址的报文还可以在报文上点击右键选择apply as filter等创建一个过滤条件比较方便。

3 判别网路状况输入显示过滤条件
tcp.analysis.flags可以显示失、重发等异常情况相关的丢TCP 报文此类报文的出现频率可以作评网路状况的一个尺规。

常见的异常类型有以下几个为估TCP Retransmission由於没有及时收到ACK报文而档生的重传报文TCP Dup ACK xxx 重复的ACK报文TCP Previous segment lost前一帧报文失丢TCP Out-Of-OrderTCP的帧顺序错误偶尔出现属於正常现象完全不出现说明网路状态上佳。

监视TCP连接建立与中断输入显示过滤条件tcp.flags.syn1tcp.flags.fin1
tcp.flags.reset1SYN是TCP建立的第一步FIN是TCP连接正
常关断的标志RST是TCP连接制关断的标志。

强统计心跳报文有无失丢在statistics-conversations里选择UDP可以看到所有装置的UDP报文统计。

一般情况下相同型号装置的UDP 报文的数量应该相等最多相差1到2个如果个别装置数量异常则可能是有心跳报文失可以以该装置的位址过滤条件进行进一步档。

丢为找报工具是归档里面的抓61850的报文监视工具。

如下打开包工具点击左侧第二个按开始设置抓钮选择本电脑网位址就是本地连接里面设置的卡IP位址
设置要监视的装置的IP位址格式为host 198.120.0.72。

点击browse按设置存储档案名及路径钮设置长期包存储选中抓按包大小存贮抓m代表MB可以是KB或者GB按时间存储如下图把这个选项勾上就可以时显示资料便於档问题。

即找点击“start”按开始包。

钮抓destination这两个MAC位址都是IL2215B的MAC位址source是实际网的卡MAC位址就是大家平时所说的MAC地址destination是组播地址在SCD中写体现在填goose.txt文件中。

下面以一组报文进行分析我们实际分析GOOSE报文的时候一般只需要分析IEC 61850 GOOSE下面的报文可。

即StNum如果状态没有变化每一帧报文的档相同如果状态变化了则档加
1.SqNum如果状态没有变化每一帧报文的档加1如果状态变化了则档零。

清在资料集中的每一个档他反应的是最后一次变位的档也就是当前的档下面的SOE时间表示最后一次
状态变位元发生的时间是格林威治时间比当前时间档了即8个小时。

时间品质反应最后一次状态变位元发生时候的时间品质而不是当前状态的时间品质。

报文中资料集与装置的GOOSE档中的资料集一致顺序也一致要想看某个档是否变位以及什即时候变位直接在麼GOOSE的资料集中到这个点然后到报文中数数数到这个点找既可以看他的档。

或者在SCD的资料集中这个点在资料集中的位置也可以。

找时包的时候不能保存只有停止包了才能保存所的包点击“即抓抓抓File”下的“save”或者“save as”可。

将保存的报文拖到程式主介面视可自动打开。

即窗即Unix 后台可以使用snoop命令来包常用的命令如下抓snoop -d bge0 -o xx.snoop-d接受包的设备名网路介面网名称卡---A网-o 全数据包xx.snoop 档案名。

这是和网抓卡beg0通讯的所有的资料包。

snoop –o xx.snoop scada1198.120.0.181 198.120.xx.xx-o 全数据包xx.snoop 档案名scada1198.120.0.181 后台机的机器名或者IP198.120.xx.xx 装置的IP。

此命令是后台机抓scada1和装置198.120.xx..xx之间的所有的资料包。

“Ctrl”“c”可停止包这个包的时性差一点信号上来后在等一分钟在停止资即
抓抓即料包。

因报分分析工具的限制有的时候为snoop的资料包在打开的时候报单个报文过大导抓致整个报无法分析。

所以在包的时候有条件还是使用抓HUB包比较好。

抓。