S7comm协议学习笔记

最新推荐文章于 2024-04-27 21:09:02 发布
最新推荐文章于 2024-04-27 21:09:02 发布
阅读量2.1k 收藏 8
点赞数
分类专栏: CTF 文章标签: udp tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53008479/article/details/120251262
版权

一、S7comm,西门子为了它生产的PLCSCADAPLC之间的通信而设计的专属私有协议。
在应用层组织的数据经过COTP协议、TPKT协议的进一步处理后,最终通过TCP进行传输。
数据包逻辑上是由高层进行封装再一步步的转递给较低层,但我们接收到包后是低层一层层拆卸交给上层,基于逆向思维,我们之后的分析应该是由低向高展开的。
TPKT协议是一个传输服务协议,它为上层的COPT和下层TCP进行了过渡。
CRCC其实分别是connect requestconnet confirm
连接建立成功后,发送DT包,也就是data ,是在发送数据。
COPT连接包:
length1byte,数据的长度,但并不包含length这个字段。
PDU type1 byte,标识类型,图中的0x0d即为连接确认的类型。
0xe,连接请求
0x0d,连接确认
0x08,断开请求
0x0c,断开确认
0x05,拒绝
DST reference2byte,目标的引用,可以认为是用来唯一标识目标。
SRC reference2byte,源的引用,同上。
option1byte,可以看到wireshark将8位拆为了前四位和后两位:
前四位标识class,也就是标识类别;
倒数第二位对应Extended formats,是否使用拓展样式;
倒数第一位对应No explicit flow control,是否有明确的指定流控制。
parameter,附加的参数字段,参数可以有多个,每个参数又由以下几个字段构成:
code1byte,标识类型,主要有:
0xc0tpdusizetpdu即传送协议数据单元,也就是传输的数据的大小(是否和前面的length有重复之处?)
0xc1src-tsap,翻译过来应该叫源的端到端传输;
0xc2dst-tsap,同上,之后我们再探索;
length,长度,对应的数据。
COPT功能包,其实个人感觉这两种包可以归为一种,
length1byte,长度
PDU type1 byte,图中为0x0f,即为数据传输,此外的type都不太常用。
option1byte,以位为单位划分:
第一位,标识是否为最后一个数据包(从这可以看出,COPT协议当数据较多时,会分为几个单元传输;
后七位,标识TPDUnumber
数据包里SNOPCCxxxx,叫做S7优化连接,它规定了src-tsapSNOPCC000x000xxx,第一个x笔者没有搞明白代表了什么,第二个是连接数,图中即为有一个连接,而在dst-tsap必须为SIMATIC-ROOT-OTH 。刚好也和我们的数据包对应。所以我们分析的数据包应该是一个单向连接,连接的数目是一个。
二、S7comm协议
Header,主要是数据的描述性信息,最重要的是要表明PDU的类型;
Parameter,参数,随着不同类型的PDU会有不同的参数;
Data,具体的数据;
Header
Protocol id1 byte,即协议的id,为0x32
ROSCTR,1byte,pdu的类型,一般由以下几种:
0x01job,就是开工干活的意思,主设备通过job向从设备发出“干活”的命令,具体是读取数据还是写数据由parameter决定;
parameter
0x02ack0x02,确认;
0x03ack data,从设备回应主设备的job
Reserved2byte,保留;
PDU referencepdu的参考;
parameter length,参数的长度;
error class,错误类型,像是图中的0x00就是没有错误的意思,而常见的请求错误则是0x85
error code,错误码,结合错误类型来确定错误,图中的0x00同样是没有错误的意思;
parameter
function0x04read
item count意思是后续跟了几个item,该pdu就一个,所以为1。
item的结构:
variable specification1byte,一般就是0x12
长度,Length of following address specification,数据的长度;
Syntax Id,符号id,一个标志,决定了一些格式性问题,这里是0x10,是
Address data S7-Any pointer-like DBx.DBXx.x的意思,主要就是对于后续的寻址起到了一定的限定;
传输大小,也可以认为是传输类型,在这是4,也就是WORD
DB number,就是数据块编号的意思,0就代表要找的东西不在数据块里;
area,要操作的“东西”,比如0x82,就是读设备的输出,通过这一位也可以看到,我们要读的数据不在DB里,所以DB number为0,如果为DB的话,这1byte应该为0x84
address,具体的地址,如下图所示,前五位没用到,第六位到第二十一位是Byte地址,最后三位是Bit的地址;
Data部分就是传回来的具体数据了;
return code是返回码,用来标识job让干活的结果,这里是0xff,代表的是成功的意思;
data的长度(是真的data的长度,不包含前面)。

Sender MAC address: Siemens-_83:a8:37 (28:63:36:83:a8:37)

Sender IP address: 192.168.0.111

Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00)

Target IP address: 192.168.0.1

如何看设备间的通信是否建立:
经过TCP握手、COPT建立连接、S7comm建立通信,这样设备间的通信才正式建立完毕了。
总结:还是做不出来,等工作的时候,有条件,在打工业杯。

山兔1
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
西门子以太网S7comm协议
03-26
西门子以太网S7comm协议,与西门子S7-300 ,西门子828D数控通信的协议
工业协议数据模拟包S7Comm-Plus
08-05
该工业协议数据包涵盖目前主流的数据包,可以用于开发自验或者测试进行工业协议的测试。西门子PLC使用私有协议进行通信,其利用TPKT与ISO8073的二进制协议。西门子的PLC通信端口均为102端口。西门子PLC协议有3个版本,分别为S7Comm协议、早期S7CommPlus协议和最新的S7CommPlus协议S7-200、S7-300、S7-400系列的PLC采用早期的西门子私有协议S7comm通信。该协议不具备S7Comm-Plus的加密功能,不涉及任何反重放攻击机制,可以被攻击者轻易利用。所以引用有S7 comm plus的数据包。最新的S7Comm-Plus协议引入会话ID防止重放攻击。
S7Comm报文详解
杜衡老师的自留地
03-28 569
S7协议是西门子公司为其S7系列PLC(可编程逻辑控制器)通信而设计的一种专用协议。本文主要介绍S7Comm的报文结构。
西门子S7协议及报文格式详解
热门推荐
qq_43254236的博客
09-20 1万+
S7Comm(S7 Communication)是西门子专有的协议,是西门子S7通讯协议簇里的一种。S7通信协议是西门子S7系列PLC内部集成的一种通信协议,是S7系列PLC的精髓所在。它是一种运行在传输层之上的(会话层/表示层/应用层)、经过特殊优化的通信协议,其信息传输可以基于MPI网络、PROFIBUS网络或者以太网S7TCP连接上后还需要进行两次握手S7协议TCP/IP实现依赖于面向块的ISO传输服务。
S7协议抓包分析(附pcap数据包)
悦分享
12-06 6184
S7comm(S7 通信)是西门子专有协议,可在西门子 S7-300/400 系列的可编程逻辑控制器 (PLC) 之间运行。它用于 PLC 编程、PLC 之间的数据交换、从 SCADA(监控和数据采集)系统访问 PLC 数据以及诊断目的。S7comm 数据作为 COTP 数据包的有效载荷出现,第一个字节总是 0x32 作为协议标识符。要建立与 S7 PLC 的连接,有 3 个步骤:步骤 1:使用 PLC/CP 的 IP 地址。步骤 2:用作两个字节长度的目标 TSAP。目标 TSAP 的第一个字节编码通信类
S7COMM协议分析
东隅的博客
09-11 1722
S7COMM协议分析
工控CTF之协议分析6——s7comm
一个普普通通的博客
12-20 4000
工控CTF之协议分析6——s7comm
上位机工业协议-S7COMM
xdpcxq的专栏
11-19 850
协议主要针对西门子相关设备通信。先了解基本通信对象、通信环境、通信报文,再处理。协议 访问非优化块,偏移地址)访问地址:最小存储是字节(通信库的封装与测试。号字节开始的两个字节。当前字节以后的字节数。当前字节以后的字节数。此字节往后的字节长度。
(二)S7Comm协议分析
weixin_43047908的博客
07-18 2276
目录前言S7Comm是什么? 前言 上篇我们讲述了Modbus协议的基本原理和结构,这一篇我们把目光转移到转向私有协议,来看看另一家巨头西门子的S7Comm。 S7Comm是什么? 西门子是德国的一家超大型企业,在能源、工业、医疗、基建等等方面都有它的身影,同时它也位列全球500强第66名。作为一个以电报起家的大型企业,它对于通信更是重视,S7comm就是西门子为了它生产的PLC之间、SCADA与PLC之间的通信而设计的专属协议。 和Modbus的应用层协议不同,S7comm的协议栈修改程度更高,在应用层组
wireshark解析s7comm-plus插件
07-25
wireshark解析s7comm-plus插件
S7comm协议模拟器与协议解析文档以及示例pcap包
09-25
S7协议西门子私有协议但网上分析人数较多基本算半公开。 压缩包内附带协议解析文档与博客内较为一致,和协议的Server与Client模拟器以及示例的pcap报文
C++实现的西门子S7-200 PPI通讯
12-08
阐述一个方案来解决上面提到的PPI协议不足——使用c++(Qt)实现PPI协议。宏观情况就是:s7-200提供了一个RS485标准的通讯口,pc拥有RS232接口。两者的物理连接是通过PPI线缆来实现的。你在电脑上可以使用自己的软件来监控PLC的运行。
snap7_snap7qt_snap7C++_Snap7QT_qts7协议_snap7_
09-29
VS2015+QT方可运行,以及S7协议模拟器 西门子PLC网络通讯协议
S7协议数据集
11-12
S7comm是一种常见的工控协议,这里上传了一些常见的S7协议数据集,PCAP格式的。有需要可以下载。
TCP/IP协议族中的TCP(二):解析其关键特性与机制
最新发布
希望自己从编程小白变成大佬
04-27 554
接收端(相当于超市老板)在收到数据包后,并不立即发送ACK确认报文(相当于告诉供货员需要多少箱冰红茶),而是等待一段时间,看看是否还有更多的数据包到达,或者根据自身的处理能力来决定是否可以接收更多的数据。这样做的好处是,通过一个报文同时完成了数据的确认和响应的发送,减少了网络中的传输次数,从而提高了网络的整体效率。例如,当接收方处理数据的速度远远跟不上发送方的发送速度时,为了防止数据溢出,接收方可能会将窗口大小调整为0,即告诉发送方暂停发送数据,直到接收方处理完当前数据并准备好接收新数据为止。
Java 网络编程之TCP(五):分析服务端注册OP_WRITE写数据的各种场景(二)
u013771019的专栏
04-24 182
2.注册OP_WRITE时:是使用key.interestOps(key.interestOps() + SelectionKey.OP_WRITE);在OP_WRITE事件来的时候,要把先把OP_WRITE事件去掉,key.interestOps(key.interestOps() & ~SelectionKey.OP_WRITE);3.注册OP_WRITE时,要写的数据,直接给到了原来channel对应的attachment里了;1.在注册OP_WRITE时,需要给所有其他客户端注册;
TCP/IP协议(二)
借风拥你
04-22 1138
TCP滑动窗口是TCP协议中的一种流量控制机制,用于调节发送方和接收方之间的数据传输速率,以避免网络拥塞和提高传输效率。滑动窗口机制允许发送方在不等待确认应答的情况下连续发送多个数据段。
SpringCloud系列(13)--Eureka服务名称修改和服务IP显示
m0_64284147的博客
04-24 750
在上一章节中我们把服务提供者做成了集群,而本章节则是一些关于服务信息的配置,这部分知识对集群整体影响不大,不过最好还是掌握,毕竟万一有用到的地方呢。
Conpot可以通过模拟S7comm私有协议的具体步骤
02-11
Conpot可以通过以下几个步骤来模拟S7comm私有协议:1. 启动Conpot,并配置S7comm模块;2. 启动S7comm模块,并配置相关参数;3. 启动S7comm客户端,连接到Conpot;4. 使用S7comm客户端与Conpot进行通信,实现模拟S7...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值