IEC61850数据包分析

IEC61850数据包分析第1页共44页IEC61850数据包分析IEC61850数据包分析第2页共44页前言..............................................................................................31.工具简介.......................................................................................41.1抓包工具............................................................................................................................41.2抓包方法............................................................................................................................41.3分析举例............................................................................................................................41.4启动步骤............................................................................................................................62.GOOSE报文分析.........................................................................93.9-2采样报文分析........................................................................104.MMS报文分析...........................................................................124.1.初始化.........................................................................................................................124.2.后台读装置模型、以及装置的回答.........................................................................134.3.报告控制块使能.........................................................................................................144.4.监控后台或主站向装置写参数.................................................................................154.5.测试心跳连接的报文.................................................................................................154.6.总召唤.........................................................................................................................164.7.装置上送总召的遥测数据.........................................................................................174.8.装置上送总召的遥信数据.........................................................................................184.9.变位遥信上送：.........................................................................................................194.10.遥测报文.................................................................................................................204.11.遥脉报文.....................................................................................................................214.12.保护动作信号.........................................................................................................224.13.读波形文件列表.....................................................................................................244.14.调定值.....................................................................................................................264.15.修改定值.................................................................................................................284.16.遥控压板.................................................................................................................354.17.遥控开关.................................................................................................................38附录1：IEC61850的GOOSE报文的帧格式：.......................41附录2：IEDsout使用注意事项...................................................44附录3：触发选项的规定...............................................................44IEC61850数据包分析第3页共44页前言随着IEC61850变电站的增多，现场调试人员会越来越感到调试工具的匮乏，往往出现问题不能从根源上找原因，分析定位也无从下手。本文旨在采用mmsethereal抓包工具，从报文层面分析各种IEC61850数据包，帮助大家解决一些实际问题。有什么好的建议和想法请发邮件到duanyunxin@163.com。段运鑫2011年6月IEC61850数据包分析第4页共44页1.工具简介1.1抓包工具常用的抓包工具有Windows下的mms-ethereal，WireShark和Solaris下的snoop命令。mms-ethereal可以自动解释mms报文，适合进行应用层报文的分析。WireShark是ethereal的替代版本，界面更加友好，但标准版本中没有对mms报文分析的支持，不过可以把抓到的数据包用mms-ethereal打开；snoop主要是用来抓包，没有图形化的分析界面，snoop抓取的文件可以用WireShark打开辅助分析；1.2抓包方法对于广播和组播报文如装置的UDP心跳报文，可以用笔记本连接到交换机上任意端口抓取。对于后台与装置之间的TCP通讯，有两种方法。一是直接在后台机上安装软件来抓包，二是利用HUB连接后台与装置，将笔记本直接接到HUB上抓包。（注意一定要使用HUB，HUB是透明转发，交换机会按MAC过滤，如果现场只有交换机，则需要进交换机配置界面的端口镜像PortMirror）WireShark和mms-ethereal均是图形化的界面，使用起来比较简单，注意在interface选择正确的网卡（MSlookback或wireless字样的都不是）即可。snoop的使用方法可以用mansnoop取得，最基本的命令为snoop-dbge0-oxx.snoop1.3分析举例均以mms-ethereal为例，WireShark与之类似。1.3.1设置抓包过滤条件在后台上抓包时，数据量比较大，文件一大之后，解析起来速度很慢，如果单纯为了分析应用层报文，可在抓包的时候设置过滤条件。如果为了分析网络通断问题，一般不设置过滤条件，便于全面了解网络状况。抓包过滤条件在Capture-Options-CaptureFilter里设置，点CaptureFilter会有很多现成的例子，下面列举几个最常用的。tcp只抓取tcp报文udp只抓取udp报文host198.120.0.100只抓取198.120.0.100的报文etherhost00:08:15:00:08:15只抓取指定MAC地址的报文1.3.2设置显示过滤条件打开一个抓包文件后，可以在工具栏上的filter栏设置显示过滤条件，这里的语法与CaptureFilter有点差别，举例如下。tcp只抓取tcp报文udp只抓取udp报文IEC61850数据包分析第5页共44页ip.addr==198.120.0.100只抓取198.120.0.100的报文eth.addr==00:08:15:00:08:15只抓取指定MAC地址的报文还可以在报文上点击右键选择applyasfilter等创建一个过滤条件，比较方便。1.3.3判别网络状况输入显示过滤条件tcp.analysis.flags，可以显示丢失、重发等异常情况相关的TCP报文，此类报文的出现频率可以作为评估网络状况的一个标尺。常见的异常类型有以下几个[TCPRetransmission]由于没有及时收到ACK报文而产生的重传报文[TCPDupACKxxx]重复的ACK报文[TCPPrevioussegmentlost]前一帧报文丢失[TCPOut-Of-Order]TCP的帧顺序错误偶尔出现属于正常现象，完全不出现说明网络状态上佳。（1）监视TCP连接建立与中断输入显示过滤条件，tcp.flags.syn==1||tcp.flags.fin==1||tcp.flags.reset==1SYN是TCP建立的第一步，FIN是TCP连接正常关断的标志，RST是TCP连接强制关断的标志（2）统计心跳报文有无丢失在statistics-conversations里选择UDP，可以看到所有装置的UDP报文统计。一般情况下，相同型号装置的UDP报文的数