1NFS报文分析
NFS协议基于RPC协议,每个NFS报文都对应着一个RPC报文类型。除NFS报文外,PORTMAP,MOUNT等同NFS密切相关的报文也在分析范围内。除特别说明外,本次分析服务器IP为192.168.0.120,客户端IP为192.168.0.186。
1.1 查询远程可挂载的目录
1.1.1NFS服务未开启
如果服务器未开启NFS功能输入
showmount –e 主机名或IP
则在终端显示:
mount clntudp_create: RPC: Program not registered
主要交互流程:
客户端通过TCP与服务器的Portmap程序建立连接,尝试通过TCP 远程调用GETPORT,服务器返回MOUNT功能为开启。然后客户端再次尝试通过UDP达到此目的,服务期同样返回PROGRAM_NOT_AVAILABLE。整个过程是基于RPC的。
1.1.2NFS服务已开启
客户端首先通过PORTMAP远程调用请求MOUNT的端口。后面又重传两次,重传报文的XID相同的,而服务器就是通过XID来判断一个报文是否是另一个的REPLY。服务器得到请求后返回端口号33394。客户端使用33394端口来进行EXPORT类型MOUNT请求。服务器返回请求,内容如下:
Procedure:EXPORT下面的V alue Follows代表List 是否还有内容。在获取到这个List后会在终端显示:
1.2 挂载远程目录
挂载远程目录的过程最本质的是如何获得此目录在服务器上的文件句柄,我们在分析下面的交互时始终以此为中心。
1.2.1挂载不存在的目录
首先通过客户端通过一个基于TCP的RPC获得MOUNT的端口32771,之后,客户端试图通过MOUNT请求来获得/home/work_ro 的句柄,从而实现远程挂载。但由于目录不存在,服务器会当作权限不够来处理,所以返回ERR_ACCESS。
1.2.2成功挂载
前面的交互和目录不存在的情况基本相同,只是服务器在MOUNT请求后返回了要挂在目录句柄。此后通过PORTMAP得到NFS的端口,
挂载成功后,客户端还要通过PORTMAP得到NFS端口,NFS端口这一部分请参看RFC1094。
完成上面的交互后,请求的文件目录已经成功挂载到了本地。
通过TYPE为GETATTR类型的NFS报文得到挂载目录的属性,其中包括:文件类型,访问权限,文件大小,文件的归属者以及上次的访问时间等,如下图:
然后,客户端发出了FSSTAT请求,这个请求的内容为此目录的动态信息。如下图:
目录的动态信息包括,总大小,可用的小等。
客户端发送FSINFO请求,服务器返回目录的静态的信息。
1.2.3挂载多个目录到本地
现在,向服务器
可以看到,在请求第一个目录时,我们可以看到在一个基于TCP的PORTMAP请求后,服务器返回了一个PORTMAP报文。但在后面的两个目录的请求过程中却只有请求,没有回复。
1.3 管理远程目录
1.3.1管理远程目录包括:获取列表,新建目录,新建文件,
删除目录,删除文件,修改文件,修改属性等。
1.3.2获取远程目录
通过ll命令来查看目录下面的文件列表,目录root_ro(0x75ec0804)
下有以下文件或目录:
aaa hello bbb ccc test test2
我们可以看到客户端会首先进行一次GETATTR的请求,来确认挂载的是目录或者是文件。在Type字段说明了类型。
请求GETATTR后,客户端发出对root_ro的ACCESS的请求,得到的报文主要内容如下:
说明客户端可以读root_ro但不可进行创建等操作。作为挂载的顶级目录,root_ro同样是不可LOOKUP的。除非挂载了root_ro的上一级目录。
在客户端得到allow READ的消息后,通过发送NFS的READDIR请求,得到目录内容列表。
通过这个报文的内容,我们可以看到,root_ro目录下的内容。
然后,客户端开始又一次请求对root_ro的ACCESS报文,这个动作贯穿于NFS的所有交互中。当前请求的目的是看是否有权限进行下面的对子目录的LOOK UP操作。
得到allow READ之后,开始逐个发送子目录或文件的LOOKUP报文。在服务器发回的Reply报文中包含了这个目录或文件的句柄File Handle。
“NFS中一个基本概念是文件句柄(file handle)。它是一个不透明(opaque)的对象,用来引用服务器上的一个文件或目录。不透明
是指服务器创建文件句柄,把它传递给客户,然后客户访问文件时,使用对应的文件句柄。客户不会查看文件句柄的内容——它的内容,只对服务器有意义。
“每次一个客户进程打开一个世纪位于一个NFS服务器上的文件时,NFS客户就会NFS服务器那里获得该文件的一个文件句柄。每次NFS 客户为用户进程读或写时,文件句柄就会传给服务器以指定被访问的文件。
一般情况下,用户进程不会和文件句柄打交道——之有NFS客户和NFS服务器将文件句柄传来传去。在第2版的NFS中,一个文件句柄占据32个字节,第3版中增加为64个字节。”
——TCP/IP详解:卷1
1.3.3新建目录
在挂载根目录下,新建目录test1
新建目录时,首先进行两次ACCESS请求,获得对挂载根目录的操作权限。
经过上面两次请求,客户端向服务器查询要建立的目录是否存在。服务器回复不存在。
客户端再经过一次ACCESS请求后,发送NFS的MKDIR报文。服务器在返回Reply时,同时返回新建目录的file handle。如下图:
图1-1
1.3.4改变文件属性
主要操作为:首先客户端请求对挂载根目录的权限,和根目录的属性来判断是否可以改变test1的属性。再进行一次权限的请求,然后获得test1的属性。最后通过SETA TTR请求来改变test1的属性。
1.3.5删除目录
主要交互过程和新建目录大致相同,不做冗述。
1.3.6卸载远程目录
先获得MOUNT的端口32771,在通过此端口卸载远程目录。
实验一数据报文分析 物联10 查天翼41050051 一、实验目的 1.掌握网络分析原理 2.学习Wireshark协议分析软件的使用 3.加深对基本协议的理解 二、实验环境 机器代号:K053 IP地址:222.28.78.53 MAC地址:00-88-98-80-95-C2 三、实验结果 数据链路层(以太网)数据帧分析 3c e5 a6 b3 af c1 00 88 98 80 95 c2 08 00 3c e5 a6 b3 af c1:表示目的MAC(Hangzhou_b3:af:c1)地址 00 88 98 80 95 c2:表示本机MAC地址
08 00:表示数据类型,里面封装的是IP数据包 IP数据包分析 45 00 00 28 63 cd 40 00 80 06 19 1f de 1c 4e 35 77 4b da 46 45:高四位是4,表示此数据报是IPv4版本;低四位是5,表示首部长度,由于首部长度以4字节为单位,所以IP数据包的首部长度为20字节。 00:表示服务类型 00 28:表示数据包的总长度是40 63 cd:表示表示字段0x63cd(25549) 40 00:“40”高4位表示标志字段,低4位和第8个字节“00”组成片偏移字段。 80:表示生存时间 06:表示数据包的数据部分属于哪个协议,此值代表的协议是TCP协议。 19 1f:表示首部校验和 de 1c 4e 35:表示源IP地址222.28.78.53 77 4b da 46:表示目的IP地址119.75.218.70
07 a1 00 50 d7 c3 fb a4 5d 84 9a 2e 50 10 ff ff 5e e4 00 00 07 a1:表示源端口号1953 00 50:表示目的端口号80 d7 c3 fb a4:表示序号字段值430 5d 84 9a 2e:表示确认序号值3196 50:“50”的高4为位表示数据偏移字段值,该TCP报文数据偏移字段值是5,该字段表示报文首部的长度,以4字节为单位,所以该TCP报文的首部长度是20字节。 10:表示ACK=1,SYN=0 ff ff:表示窗口字段值是65535,即告诉发送端在没有收到确认之前所能发送最多的报文段的个数。 5e e4:表示校验和字段0x5ee4 00 00:表示紧急指针字段值
NFS CIFS协议 1、CIFS Microsoft推出SMB(server message block)后,进一步发展,使其扩展到Internet上,成为common internet file system。 CIFS采用C/S模式,基本网络协议:TCP/IP和IPX/SPX; 两种资源访问模式: (1)share level security:所有用户的共享资源访问口令是相同的,主要在win9x中使用; (2)user level securyt:Win NT以后的OS只提供ULS,用于必须提供正确的U/P,并且每个用户权限可以是不同的。 C/S的交互模式:类似与三次握手;三个交互: (1)协议选择:双方选择合适的协议进行交互; (2)身份验证:按选定的协议登录server,由server对client进行身份验证; (3)资源获取:认证通过后,server和client进行交互,进行文件读写等操作。 注意:相同win OS中,所有机器都是对等的,扮演双重角色,可以作server,也可以是client。 CIFS是一种协议,和具体的OS关系不大,Unix在安装samba后可以使用CIFS; 2、CIFS和NFS对比 (1)CIFS面向网络连接的共享协议,对网络传输的可靠性要求高,常使用TCP/IP;NFS 是独立于传输的,可使用TCP或UDP; (2)NFS缺点之一,是要求client必须安装专用软件;而CIFS集成在OS内部,无需额 外添加软件; (3)NFS属无状态协议,而CIFS属有状态协议;NFS受故障影响小,可以自恢复交互 过程,CIFS不行;从传输效率上看,CIFS优于NFS,没有太多冗余信息传送; (4)两种协议都需要文件格式转换,NFS保留了unix的文件格式特性,如所有人、组 等等;CIFS则完全安装win的风格来作。 NAS之文件系统之NFS NFS:sun公司1984年推出,基于RPC构建,依靠Unix OS。 目的:通过网络连接来共享servers上的Files和Data。 基本原理:server借助NFS导出一个或多个可供远程客户端共享的目的,客户端mount server 上的目录,实现对文件资源的共享。客户端借助RPC对服务器提出服务请求。 NFS是带Cache的,提高访问效率。 NFS的服务器提供三个关键守护进程:portmap,mounted,nfsd (1)portmap ――监听固定端口,提供RPC服务,将TCP/IP的协议端口映射为RPC
200810314021_陈道争 一、实验名称:以太网报文分析 二、实验内容: 1.Ethereal的基本操作。 2.截获以太网报文,并将报文保存到硬盘上。 3.打开截获的报文,并分析其中的某一条报文。 三、实验过程与步骤: 1.在Windows操作系统下安装软件Ethereal。 2选择“Capture”中的“Options”进行设置。 3.打开“IE浏览器”,输入任意一个网址,打开其中的一个网页。 4.Ethereal软件的界面中会出现很多条的报文。 5.选择“Stop the running live capture”。 四、报文分析: 1.选取No.180的一条HTTP报文,具体报文见“200810314021_陈道争.cap”,以下分析都是根据此报文,就不再附图了。 2.从应用的角度网络可以划分为物理层、链路层、网络层、传输层、应用层几个部分。以太网上的数据以报文的形式进行传递,每个报文由数据内容部分和各个层次的报文头部组成。 3.链路层: (1)以太网的链路层由14个字节的内容组成。 (2)前六个字节的内容表示报文的目标硬件地址(Destination MAC),本报文描述的是网关的MAC 地址,值是:00-0f-e2-77-8f-5e。 (3)接下来六个字节的内容表示报文的源硬件地址(Source MAC),本报文描述的是本机的MAC 地址,值是:00-23-7d-4d-16-55。 (4)接下来两个字节的内容表示网络层所使用协议的类型,本报文使用的是IP协议,IP协议的类型值是:0X0800。 4.网络层: (1)目前使用最广泛的网络层协议是IPv4协议。IPv4协议的头部由20个字节的内容组成。 (2)其中第一个字节的前四个位的内容表示IP协议使用的版本号,值是:4,表示本报文使用的是IPv4协议。 (3)后四位的内容表示报文头部的长度,值是:20bytes。 (4)接下来两个字节的内容表示总长度,是首部和数据之和的长度,值是:657,表示总长度是657字节。 (5)接下来两个字节的内容表示标识。本报文为0x261f。 (6)接下来两个字节的前三位的内容表示标志。本报文位010. (7)接下来一个字节的内容表示生存时间。本报文Time to live:128. (8)接下来一个字节的内容表示所使用的传输层的协议类型,值是:0x06,表示使用的是TCP协议,因为HTTP协议是基于TCP协议实现的。
NFS and CIFS协议 NFS简介 NFS由SUN公司开发,目前已经成为文件服务的一种标准(RFC1904,RFC1813)。其最大功能是可以通过网络让不同操作系统的计算机可以共享数据,所以也可以将其看做是一台文件服务器。NFS提供了除Samba之外,Windows与Linux及UNIX与Linux 之间通信的方法。 客户端PC可以挂载NFS服务器所提供的目录并且挂载之后这个目录看起来如同本地的磁盘分区一样,可以使用cp、cd、mv、rm 及df等与磁盘相关的命令。NFS有属于自己的协议与使用的端口号,但是在传送资料或者其他相关信息时候,NFS服务器使用一个称为"远程过程调用"(Remote Procedure Call,RPC)的协议来协助NFS服务器本身的运行。 1.1.2 为何使用NFS NFS的目标是使计算机共享资源,在其发展过程中(即20世纪80年代),计算机工业飞速发展,廉价CPU及客户端/服务器技术促进了分布式计算环境的发展。然而当处理器价格下降时,大容量的存储系统相对而言价格仍居高不下。因此必须采用某种机制在充分发挥单个处理器性能的同时使计算机可共享存储资源和数据,于是NFS应运而生。 1.1.3 NFS协议 使用NFS,客户端可以透明地访问服务器中的文件系统,这不同于提供文件传输的FTP协议。FTP会产生文件一个完整的副本;NFS只访问一个进程引用文件部分,并且一个目的就是使得这种访问透明。这就意味着任何能够访问一个本地文件的客户端程序不需要做任何修改,就应该能够访问一个NFS文件。 NFS是一个使用SunRPC构造的客户端/服务器应用程序,其客户端通过向一台NFS服务器发送RPC请求来访问其中的文件。尽管这一工作可以使用一般的用户进程来实现,即NFS客户端可以是一个用户进程,对服务器进行显式调用,而服务器也可以是一个用户进程。因为两个理由,NFS一般不这样实现。首先访问一个NFS文件必须对客户端透明,因此NFS的客户端调用是由客户端操作系统代表用户进程来完成的;其次,出于效率的考虑,NFS服务器在服务器操作系统中实现。如果NFS服务器是一个用户进程,每个客户端请求和服务器应答(包括读和写的数据)将不得不在内核和用户进程之间进行切换,这个代价太大。第3版的NFS协议在1993年发布,图1-2所示为一个NFS客户端和一台NFS服务器的典型结构。
IEC104规约调试小结 一、四遥信息体基地址范围 “可设置104调度规约”有1997年和2002年两个版本,在流程上没有什么变化,02 此配置要根据主站来定,有的主站可能设为1,1,2,我们要改与主站一致。 三、以公共地址字节数=2,传输原因字节数=2,信息体地址字节数=3为例对一些基本的报 文分析 第一步:首次握手(U帧) 发送→激活传输启动:68(启动符)04(长度)07(控制域)00 00 00 接收→确认激活传输启动:68(启动符)04(长度)0B(控制域)00 00 00 第二步:总召唤(I帧) 召唤YC、YX(可变长I帧)初始化后定时发送总召唤,每次总召唤的间隔时间一般设为15分钟召唤一次,不同的主站系统设置不同。 发送→总召唤: 68(启动符)0E(长度)00 00(发送序号)00 00(接收序号)64(类型标示)01(可变结构限定词)06 00(传输原因)01 00(公共地址即RTU地址)00 00 00(信息体地址)14(区分是总召唤还是分组召唤,02年修改后的规约中没有分组召唤) 接收→S帧: 注意:记录接收到的长帧,双方可以按频率发送,比如接收8帧I帧回答一帧S帧,也可以要求接收1帧I帧就应答1帧S帧。 6804 01 00 02 00 接收→总召唤确认(发送帧的镜像,除传送原因不同): 68(启动符)0E(长度)00 00(发送序号)00 00(接收序号)64(类型标示)01(可变结构限定词)07 00(传输原因)01 00(公共地址即RTU地址)00 00 00(信息体地址)14(同上) 发送→S帧: 注意:记录接收到的长帧,双方可以按频率发送,比如接收8帧I帧回答一帧S帧,也可以要求接收1帧I帧就应答1帧S帧。 68 04 01 00 02 00
Arp报文分析: Arp 报文格式:三层:Frame、Ethernet、Address Resolution Protocol 协议类型:IP 先在DOC命令窗口下:ping 10.16.134.66 网关的ARP: Arp请求: Arp应答: 目的主机: Arp请求: Arp响应:
分析: 当主机10.16.134.62向主机10.16.134.66发送时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到目标IP地址,主机A就会在网络上发送一个广播,此时,主机A发送的帧包含:sender MAC address( 本机的MAC地址),sender IP address(本机IP地址),目标主机B的target MAC address(全部为空)target IP address(目标主机的IP地址)。这表示向同一网段内的所有主机发出这样的询问:“我是10.16.134.62,我的MAC是"c8:3a:35:d3:cf:41".请问IP地址为10.16.134.66的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“10.16.134.66的MAC地址是c8:3a:35:d3:77:1d”。这样,主机A就知道了主机B的MAC 地址,它就可以向主机B发送信息了。同时A和B还同时都更新了自己的ARP缓存表(因为A在询问的时候把自己的IP和MAC地址一起告诉了B),下次A再向主机B或者B向A发送信息时,直接从各自的ARP缓存表里查找就可以了。 ARP缓存表采用了老化机制(即设置了生存时间TTL),在一段时间内(一般15到20分钟)如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。 (注:此时arp缓存表中已经删除了10.16.134.66 的MAC 地址) TCP报文分析:
MQTT协议14种报文分析 实习报告 课程名称: _____ 实习题目: ___________________ 专业班级: _____________学生姓名: __________ 学号: ___________实习成绩: 指导教师签名:年月日
[-c config file] 指定的配置文件中的端口 -v 代码调试模式(verbose)可以输出更多的信息 2.MQTT客户端Eclipse Paho MQTT (1)下载解压缩后,双击paho.exe,打开后的对界面如下 (2)点击上图中的十字图标,就能新建一个MQTT的客户端的连接,输入正确的MQTT服务端的连接地址, (3)这个时候我们就能订阅消息了。选择“Subscription”下方的绿色十字图标,就可以输入订阅的主题(topic)的名字,比如我们设置主题名称为“test”,并点击“Subscribe”按钮 (4)往MQTT服务发送一条某一主题的MQTT消息。然后点击“Publish”按钮,这个时候,我们就能看到消息已经发送成功,且在步骤(3)订阅的同一主题也收到了消息。 3.安装和使用协议分析软件wireshark (1)安装WiresharkPortable_2.2.1.paf.exe (2)捕获MQTT协议报文 (3)在Wireshark中,分为capture filter和Display Filer,我们只需要在WireShark 软件中的capture filter 输入下面的过滤条件,则与MQTT服务交互的相关TCP 的数据包就能抓取到。如下图所示意.
这个时候,我们先启动WireShark,然后点击Eclipse Paho MQTT工具的“Connect”,这个时候WireShark就能抓取下面的TCP数据包。 2.2 主要实验步骤 操作:按照“MQTT-3.1.1-CN”文档各种报文的实现方法依次实现,抓包结果截图,结合参考文档分析实验结果。 结果:如下各图所示 14种报文分析说明具体如下: 1.CONNECT –连接服务端
6 1 8 5 0 模型及M M S 报文分析基础 2012-02 参考文档: 1 .《数字化变电站调试总结 -马玉龙》 2.《 IEC61850 标准》《 IEC61850 实施规范》
1文件类型............................... 1.1ICD/CID文件结构 .......................................................... 2模型验证............................... 3、IED配置.............................. 3.1IED和LD(Logical Device相关信息 .......................................... 3.2逻辑节点LN (Logical Node) ............................................... 3.3数据DO( Data Object)及数据属性DA( Data attribute) ........................ 3.4数据集:DOI /DAI的集合.................................................... 3.5 报告控制块ReportControl: .................................................. 4如何抓包............................... 4.1抓包工具............................................................... 4.2抓包方法............................................................... 4.3分析举例............................................................... 5、MMS艮文简析............................. 5.1初始化相关............................................................... 5.2报告相关................................................................. 5.3录波相关................................................................. 5.4控制相关................................................................. 5.5定值相关.................................................................
OSPF的报文格式 OSPF报文直接封装为IP报文协议报文,协议号为89。一个比较完整的OSPF报文(以LSU报文为例)结构如图8所示。 1. OSPF报文头 OSPF有五种报文类型,它们有相同的报文头。如图9所示。 主要字段的解释如下: ●????????????? Version:OSPF的版本号。对于OSPFv2来说,其值为2。 ●????????????? Type:OSPF报文的类型。数值从1到5,分别对应Hello报文、DD报文、LSR报文、L SU报文和LSAck报文。 ●????????????? Packet length:OSPF报文的总长度,包括报文头在内,单位为字节。 ●????????????? Router ID:始发该LSA的路由器的ID。 ●????????????? Area ID:始发LSA的路由器所在的区域ID。 ●????????????? Checksum:对整个报文的校验和。 ●????????????? AuType:验证类型。可分为不验证、简单(明文)口令验证和MD5验证,其值分别为0、 1、2。 ●????????????? Authentication:其数值根据验证类型而定。当验证类型为0时未作定义,为1时此字段为密码信息,类型为2时此字段包括Key ID、MD5验证数据长度和序列号的信息。 说明: MD5验证数据添加在OSPF报文后面,不包含在Authenticaiton字段中。 2. Hello报文(Hello Packet) 最常用的一种报文,周期性的发送给邻居路由器用来维持邻居关系以及DR/BDR的选举,内容包括一些定时器的数值、DR、BDR以及自己已知的邻居。Hello报文格式如图10所示。
CIFS与NFS协议以及NAS设备分析 1、概述 2、CIFS协议分析 CIFS(Common Internet File System,公共互联网文件系统)是当前主流异构平台共享文件系统之一。主要应用在NT/Windows环境下,是由Microsoft公司开发。其工作原理是让CIFS协议运行与TCP/IP通信协议之上,让Unix计算机可以在网络邻居上被Windows计算机看到。 Microsoft推出SMB(server message block)后实现CIFS协议。 3、NFS协议分析 NFS(Network File System,网络文件系统)是当前主流异构平台共享文件系统之一。 主要应用在UNIX环境下。最早是由SUN microsystem开发,现在能够支持在不同类型的系统之间通过网络进行文件共享,广泛应用在FreeBSD、SCO、Solaris等等异构操作系统平台,允许一个系统在网络上与他人共享目录和文件。 通过使用NFS,用户和程序可以象访问本地文件一样访问远端系统上的文件,使得每个计算机的节点能够像使用本地资源一样方便的使用网上资源。 NFS的工作原理是使用客户端/服务器架构,由一个客户端程序和服务器程序组成。 服务器程序向其它计算机提供对文件系统的访问,其过程就叫做“输出”。NFS客户端程序对共享文件系统进行访问时,把它们从NFS服务器“输送”出来。文件通常以“块” 为单位进行传输,其尺寸是8K(虽然它可能会将操作分成更小尺寸的分片)。 4、CIFS和NFS对比 (1)CIFS面向网络连接的共享协议,对网络传输的可靠性要求高,常使用TCP/IP;NFS 是独立于传输的,可使用TCP或UDP; (2)NFS缺点之一,是要求client必须安装专用软件;而CIFS集成在OS内部,无需额 外添加软件; (3)NFS属无状态协议,而CIFS属有状态协议;NFS受故障影响小,可以自恢复交互 过程,CIFS不行;从传输效率上看,CIFS优于NFS,没有太多冗余信息传送; (4)两种协议都需要文件格式转换,NFS保留了unix的文件格式特性,如所有人、组 等等;CIFS则完全安装win的风格来作。 5、NAS与CIFS、NFS联系 NAS(Network Attached Storage,网络附加存储)拥有自己的文件系统,具有较大的存
包工具以及报文解析抓常用的包工具有抓Windows下的mms-etherealWireShark和Solaris下的snoop命令。 mms-ethereal可以自动解释mms报文适合进行应用层报文的分析WireShark是ethereal的替代版本介面更加友好但标准版本中没有对mms报文分析的支持snoop主要是用来包没有图形化的分析介面抓snoop取的档可以用抓WireShark打开辅助分析对於广播和组播报文如装置的UDP心跳报文、GOOSE报文61850-9-2的smv采样报文可以用笔记本连接到交换机上任意埠取。对於后台与装置之间的抓TCP通讯有两种方法。一是直接在后台机上安装软体来包二是利用抓HUB 连接后台与装置将笔记本接到HUB上包。抓注意是HUB不能交换机。调试61850的站最好要家里带上一个HUB库房一般是8口10M的TP-LINK---不是交换机。主要用於资料包便於档问题抓。没有HUB根本没有办法档看远动与装置的mms报文只能取到抓goose资料包。如果现场有管理型交换机也可以通过设置埠镜像功能来监视mms报文。WireShark和mms-ethereal均是图形化的介面使用起来比较简单注意选择正确的网可。卡即snoop的使用方法可以用man snoop取得最基本的命令为snoop -d bge0 -o xx.snoop 下面均以WireShark例为mms-ethereal与之类似。1 设置包过滤条件抓在后台上包时资料量比较大档一大之后解析起来速度慢如果单纯了分析抓很为应用层报文可在包的时候
设置过滤条件。如果了分析网路通断问题一般不设置过抓为滤条件便於全面了解网路状况。包过滤条件在抓 Capture-Options-Capture Filter里设置点Capture Filter会有多现很成的例子下面列几个最常用的。举tcp 只取抓tcp报文udp 只取抓udp报文host 198.120.0.100 只取抓198.120.0.100的报文ether host 00:08:15:00:08:15 只取指定抓MAC地址的报文2 设置显示过滤条件打开一个包档后可以在工具列上的抓filter栏设置显示过滤条件这里的语法与Capture Filter 有点差别例如下。举tcp 只取抓tcp报文udp 只取抓udp报文ip.addr198.120.0.100 只取抓198.120.0.100的报文 eth.addr00:08:15:00:08:15 只取指定抓MAC地址的报文还可以在报文上点击右键选择apply as filter等创建一个过滤条件比较方便。3 判别网路状况输入显示过滤条件 tcp.analysis.flags可以显示失、重发等异常情况相关的丢TCP 报文此类报文的出现频率可以作评网路状况的一个尺规。常见的异常类型有以下几个为估TCP Retransmission由於没有及时收到ACK报文而档生的重传报文TCP Dup ACK xxx 重复的ACK报文TCP Previous segment lost前一帧报文失丢TCP Out-Of-OrderTCP的帧顺序错误偶尔出现属於正常现象完全不出现说明网路状态上佳。监视TCP连接建立与中断输入显示过滤条件tcp.flags.syn1tcp.flags.fin1 tcp.flags.reset1SYN是TCP建立的第一步FIN是TCP连接正
端口协议大全.docx 1 tcpmux TCP 端口服务多路复用5 rje 远程作业入口7 echo Echo 服务9 discard 用于连接测试的空服务11 systat 用于列举连接了的端口的系统状态13 daytime 给请求主机发送日期和时间17 qotd 给连接了的主机发送每日格言18 msp 消息发送协议19 chargen 字符生成服务;发送无止境的字符流20 ftp-data FTP 数据端口21 ftp 文件传输协议(FTP)端口;有时被文件服务协议(FSP)使用2 2 ssh 安全Shell(SSH)服务2 3 telnet Telnet 服务25 smtp 简单邮件传输协议(SMTP)37 time 时间协议39 rlp 资源定位协议42 nameserver 互联网名称服务43 nicname WHOIS 目录服务49 tacacs 用于基于TCP/IP 验证和访问的终端访问控制器访问控制系统50 re-mail-ck 远程邮件检查协议53 domain 域名服务(如BIND )63 whois WHOIS ,被扩展了的WHOIS 服务67 bootps 引导协议(BOOTP)服务;还被动态主机配置协议(DHCP)服务使用68 bootpc Bootstrap (BOOTP )客户;还被动态主机配置协议(DHCP)客户使用69 tftp 小文件传输协议(TFTP )70 gopher Gopher 互联网文档搜寻和检索71 netrjs-1 远程作业服务72 netrjs-2 远程作业服务73 netrjs-3 远程作业服务73 netrjs- 4 远程作业服务79 finger 用于用户联系信息的Finger 服务80 http 用于万维网(WWW)服务的超文本传输协议(HTTP )88 kerberos Kerberos 网络验证系统9 5 supdup Telnet 协议扩展101 hostname SRI-NIC 机器上的主机名服务102 iso-tsap ISO 开发环境(ISODE)网络应用105 csnet-ns 邮箱名
IEC104规约报文分析(104报文解释的比较好的文本)
IEC104规约调试小结 一、四遥信息体基地址范围 “可设置104调度规约”有1997年和2002年两个版本,在流程上没有什么变化,02版只是在97版上扩展了遥测、遥信等信 息体基体址,区别如下: 二、一些报文字节数的设置
此配置要根据主站来定,有的主站可能设为1,1,2,我们要改与主站一致。 三、以公共地址字节数=2,传输原因字节数=2, 信息体地址字节数=3为例对一些基本的报 文分析 第一步:首次握手(U帧) 发送→激活传输启动:68(启动符)04(长度) 07(控制域)00 00 00 接收→确认激活传输启动:68(启动符)04(长度) 0B(控制域)00 00 00 第二步:总召唤(I帧) 召唤YC、YX(可变长I帧)初始化后定时发送总召唤,每次总召唤的间隔时间一般设为15分钟召唤一次,不同的主站系统设置不同。 发送→总召唤: 68(启动符)0E(长度)00 00(发送序号)00 00(接收序号)64(类型标示)01(可变结构限定词)06 00(传输原因)01 00(公共
地址即RTU地址)00 00 00(信息体地址)14(区分是总召唤还是分组召唤,02年 修改后的规约中没有分组召唤) 接收→S帧: 注意:记录接收到的长帧,双方可以按频率发送,比如接收8帧I帧回答一帧S帧,也可以要求接收1帧I帧就应答1帧S帧。 6804 01 00 02 00 接收→总召唤确认(发送帧的镜像,除传送原因不同): 68(启动符)0E(长度)00 00(发送序号)00 00(接收序号)64(类型标示)01(可变结构限定词)07 00(传输原因)01 00(公共 地址即RTU地址)00 00 00(信息体地址)14(同上) 发送→S帧: 注意:记录接收到的长帧,双方可以按频率发送,比如接收8帧I帧回答一帧S帧,也可以要求接收1帧I帧就应答1帧S帧。 68 04 01 00 02 00 接收→YX帧(以类型标识1为例):68(启动符)1A(长度)02 00(发送序号)02 00(接收序号)01(类型标示,单点遥信)04(可变结构限定词,有4个遥信上送)14 00(传 输原因,响应总召唤)01 00(公共地址即RTU地址)03 00 00(信息体地址,第3号遥信)00(遥信分) 发送→S帧: 68 04 01 00 04 00
常用网络通信协议 物理层: DTE(Data Terminal Equipment):数据终端设备 DCE(Data Communications Equipment):数据电路端接设备 #窄宽接入: PSTN ( Public Switched Telephone Network )公共交换电话网络 ISDN(Integrated Services Digital Network)ISDN综合业务数字网 ISDN有6种信道: A信道 4khz模拟信道 B信道 64kbps用于语音数据、调整数据、数字传真 C信道 8kbps/16kbps的数字信道,用于传输低速数据 D信道 16kbps数字信道,用于传输用户接入信令 E信道 64kbps数字信道,用于传输内部信令 H信道 384kbps高速数据传输数字信道,用于图像、视频会议、快速传真等. B代表承载, D代表Delta. ISDN有3种标准化接入速率: 基本速率接口(BRI)由2个B信道,每个带宽64kbps和一个带宽16kbps的D信道组成。三个信道设计成2B+D。 主速率接口(PRI) - 由很多的B信道和一个带宽64Kbps的D信道组成,B信道的数量取决于不同的国家: 北美和日本: 23B+1D, 总位速率1.544 Mbit/s (T1) 欧洲,澳大利亚:30B+2D,总位速率2.048 Mbit/s (E1) FR(Frame Relay)帧中继 X.25 X.25网络是第一个面向连接的网络,也是第一个公共数据网络. #宽带接入: ADSL:(Asymmetric Digital Subscriber Line)非对称数字用户环路 HFC(Hybrid Fiber-Coaxial)光纤和同轴电缆相结合的混合网络 PLC:电力线通信技术 #传输网: SDH:(Synchronous Digital Hierarchy)同步数字体系 DWDM:密集型光波复用(DWDM:Dense Wavelength Division Multiplexing)是能组合一组光波长用一根光纤进行传送。这是一项用来在现有的光纤骨干网上提高带宽的激光技术。更确切地说,该技术是在一根指定的光纤中,多路复用单个光纤载波的紧密光谱间距,以便利用可以达到的传输性能(例如,达到最小程度的色散或者衰减)。 #无线/卫星: LMDS:(Local Multipoint Distribution Services)作区域多点传输服务。这是一种微波的宽带业务,工作在28GHz附近频段,在较近的距离双向传输话音、数据和图像等信息。GPRS:(General Packet Radio Service)通用分组无线服务技术。 3G:(3rd-generation,3G)第三代移动通信技术 DBS:(Direct Broadcasting Satellite Service)直播卫星业务
实验报告 课程名称计算机网络 实验名称实验二基本报文分析(IP) 系别__计算机学院_ 专业___软件工程 ___ 班级/学号软工1301班/2013_ 学生姓名___ _ _ ___ _ ____ 实验日期___2015年11月18日 ___ 成绩________________________指导教师_ ___ _ ___
基本报文分析(IP)【实验目的】 1、理解IP层的作用以及IP地址的分类方法; 2、理解子网的划分和子网掩码的作用; 3、掌握IP数据包的组成和网络层的基本功能; 【实验学时】 4学时 【实验环境】 图3-2 实验拓扑图 【实验内容】 1、学会根据IP地址的分类方式区分各类IP地址; 2、掌握IP数据报的格式、长度以及各字段的功能; 3、学会利用子网掩码确定IP地址的网络号、子网号和主机号;
4、学会分析给定数据包的IP首部信息; 5、学会手工计算IP校验和的方法; 【实验流程】 图3-3 实验流程图【实验原理】 详见理论教材 【实验步骤】 步骤一:设定实验环境 1、参照实验拓扑连接网络拓扑;
步骤二:利用网络协议分析软件捕获并分析IP数据包 1、在某台主机中打开网络协议分析软件,在工具栏中点击“开始”,待一段时间后,点击“结束”, 2、在捕获到数据包中,选择IP数据包进行分析,如下图所示。 图3-5 IP数据包分析 分析捕获到的IP数据包,因此在本实验中,只分析数据的的IP包头部分。 ●版本信息:4,标识此报文为IPv4报文。 ●头部长度:5,标识IP报头长度为5个32比特。在上图中,IP报头最末端为01 FF,整个IP包头长度为20字节,共160位,即32比特的5倍。 ●区分服务类型:0,在此报文中不涉及服务质量的区分。 ●总长度:64,表示总长度为64字节。 ●标识:0X827,此数据包没有进行分片。 ●标志:2,二进制为010,表示此数据包不可分片。 ●分段偏移量:0X0000,此数据包没有进行分片。 ●生存时间:128,每经过一个路由器,生存时间减1,当生存时间减小为0时,数 据包被丢弃而不被转发。
实验一数据报文分析 一、分组及实验任务 学号:xxxxxxxx 姓名:xxxxxxxx 试验台:5组 同组同学:xxxxxxxx 二、实验环境 本实验中不需要动手连线,机房中所有主机均通过交换机相连,组成局域网。相邻的2名同学组成一个小组,完成本次实验。 三、实验过程 1、网络命令学习 (1)点击“开始”→“运行”,输入cmd回车,打开的是dos的命令窗口,在命令行中输入ipconfig 命令,查看计算机当前的IP地址、子网掩码和默认网关。添加上参数,输入ipconfig /all 记录本地连接中IP地址,MAC地址(Physical Address),网关(Default Gateway)等信息。如: MAC:00-98-99-00-EA-32 IP:222.28.78.X 网关:222.28.78.1 (2)在命令行下输入route print命令,查看本机上路由表信息。 (3)输入arp –a 命令,查看本地高速缓存中IP地址和MAC地址的信息,并记录下来。(4)相邻的两位同学组成一组,输入命令ping 222.28.78.X(对方IP地址),如ping 222.28.78.100 ,测试当前主机到目的主机的网络连接状态。读懂ping包下面的统计信息,判断是否连通。
(5)再次输入arp –a命令,查看本地高速缓存中IP地址和MAC地址的信息,并记录下来。 2、软件学习 (1)点击桌面图标“wireshark”,打开网络分析软件。 (2)点击菜单栏中的“capture” →“Interfaces”,查看网络接口的当前状态。在相应的接口后面点击“start”,即可开始抓包。点击菜单栏的“capture” →“stop”即可停止抓包。 (3)点击菜单栏的“capture” →“option”,在过滤器Capture Filter栏输入ether proto 0x0806 or ip proto 1,表明只抓取ARP和ICMP数据。点击“start”,开始抓包,在dos命令行下输入命令(ping+对方IP),观察抓到的包,点击菜单栏的“capture” →“stop”停止抓包。 分析抓到的一组ARP数据包,即请求(request)和应答(reply)包,记录数据链路层的源地址和目的地址。 分析一组ICMP数据包,请求(request)和应答(reply),记录数据链路层的源地址和目的地址;IP协议的源地址和目的地址。 (4)抓取TCP协议的三次握手过程,并分析TCP数据包, 记录连接的序列号、确认号和标识符(即:seq、SYN、ACK、ack等)。 3、路由器基本配置练习 四、问题解答 一: 1. 使用“route add”添加缺省路由的命令是什么?和在IP 地址配置界面配置的默认网关有什么联系? 添加缺省路由的命令是route add –p (IP address) mask (Sub Network mask) (Gateway) 。该缺省路由与在IP 地址配置界面配置的默认网关是一致的。 2. “netstat –r”和哪个命令是等价的? 答:“netstat –r”和“route print”命令是等价
61850模型及报文分析 61850模型及MMS报文分析基础 2012-02 参考文档: 1.《数字化变电站调试总结-马玉龙》 2. 《IEC61850标准》《IEC61850实施规范》 目录 1、文件类型 (3) 1.1 ICD/CID文件结构 (3) 2模型验证 (3) 3、IED配置 (4) 3.1 IED和LD(Logical Device)相关信息 (4) 3.2 逻辑节点LN (Logical Node) (5) 3.3数据DO(Data Object)及数据属性DA(Data attribute) (7) 3.4 数据集:DOI /DAI的集合 (10) 3.5 报告控制块ReportControl: (11) 4 如何抓包 (12) 4.1 抓包工具 (12) 4.2 抓包方法 (12) 4.3 分析举例 (12)
5、MMS报文简析 (16) 5.1初始化相关 (16) 5.2报告相关 (21) 5.3录波相关 (29) 5.4控制相关 (32) 5.5定值相关 (35)
第一部分:模型文件基础 1、文件类型 IED(智能电子设备,指保护、测控等设备)应提供ICD文件,描述IED的能力及通信内容,如是否具有定值、压板、动作信号等。 系统集成工具把各IED的ICD文件集成并进行实例化如IED名、信息点描述等形成站级模型文件-SCD文件,供站级(包括监控、远动、故障信息主子站)应用。 IED从SCD文件中导出本IED相关部分形成CID文件,即实例化后的IED 模型文件,供IED运行时用。 1.1 ICD/CID文件结构 -Header:历史版本信息等 -Communication:GOOSE配置等-IED:定值、压板、动作信号等-DataTypeTemplates :对象类型定义 2模型验证 xmlSpy可做一些语法方面的验证。 四方61850客户端工具软件可作进一步验证。 3、IED配置 IEC61850模型总体-模型的分析 注:本部分示例大部分取自培训资料包中的CSC326DES1.cid。 3.1 IED和LD(Logical Device)相关信息 1、 icd文件中的IED名一般为Template
实验三基本报文分析 1实验拓扑图 两人一组实验,使用ping命令在两台实验主机之间发送数据报文。分析IP数据报文格式。注意将与网络切换器相连的实验主机的网络切换器拨到B的位置(A为与网络测试接口TAP的连接),以保证其直接接入实验室网络交换机。同时,请将TAP中TAP/IN和TAP/OUT 接口上的网线拔出。以避免与TAP中host接口相连的计算机不能正常上网。 交换机 实验主机A实验主机B 2实验步骤 步骤1:请同学们分好组,两人一组,然后各自启动实验主机,进入到Windows 2000操作系统.步骤2:系统启动完成之后,请查看各自实验主机的IP地址信息,并且请记住所同组组员实验主机的IP地址信息.例如在本实验中以实验组一为例,实验主机A的IP地址为172.16.32.61,实验主机B的IP地址为172.16.32.62.(查看本机IP地址等信息,可以在命令提示符中输入ipconfig/all命令进行查看) 步骤3:在各自运行实验主机上,双击运行桌面上的“Ethereal”图标来启动网络分析器,如图: 步骤4:启动完成之后,先进行配置.点击“Capture->Options”选项或图标,在弹出来的对话框中进行设置. 步骤5:设置捕捉接口,在Interface栏中选择IP地址为172.16.32.61的接口,如图: 反过来,在实验主机B中也是如此,选择IP地址为172.16.32.62的接口. 步骤6:由于该实验中我们只需要捕获相对应的ICMP数据包,因此在“Capture Filter”栏中直接输入过滤条件“host 172.16.32.62”,172.16.32.62是实验主机B的IP地址,如图: