使用 Wireshark 捕获和分析 IEC 60870-5-104 流量基本步骤

已于 2024-12-23 17:08:19 修改
阅读量1.9k 收藏 25
点赞数 17
文章标签: wireshark 测试工具 网络
于 2024-12-05 15:34:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59580677/article/details/144258697
版权

一 .IEC 60870-5-104 是什么?

IEC 60870-5-104 是一种用于电力系统中数据传输的通信协议,它结合了 IEC 60870-5-101 的应用服务和 TCP/IP 网络协议。该标准定义了一种通过网络连接进行远动控制(如遥测、遥控等)的方法。

使用 Wireshark 捕获和分析 IEC 60870-5-104 流量可以提供对这些通信的深入了解。以下是一些基本步骤和提示

IEC104规约流程

IEC104 规约作为网络通信规约,由客户端和服务端组成,服务端口默认为2404 。它的基本流程如下:

1. 由客户端向服务器建立连接,同时,发送链路启动帧。

2.服务端在收到链路启动帧后,向客户端发送启动确认帧。

3.客户端收到启动确认帧后,发送总召数据请求帧。

4.服务端收到总召数据请求后,发送总召数据响应帧,然后继续发送总召数据。总召数据发送完成后,发送总召数据结束帧。

5.客户端在收到总召数据结束帧后,发送对时请求帧。

6.服务器收到对时请求帧后,发送对时响应帧。

7.由服务器主动向客户端发送变化数据帧。同时,收到客户端发送的控制类命令,回复相应的操作结果。

8.客户端等到下一个数据总召周期,重复第4步之后的流程。

二 .基本步骤

准备工作


安装 Wireshark:确保你已经安装了最新版本的 Wireshark。
获取访问权限:你需要有权限捕获网络流量,并且了解哪些设备在你的网络上使用 IEC 60870-5-104 协议。

捕获流量


选择接口:启动 Wireshark 并选择一个合适的网络接口来开始捕获流量。如果你知道 IEC 60870-5-104 数据包通常经过哪个接口,那么就选择那个接口。


设置过滤器

为了只捕获相关的 IEC 60870-5-104 流量,你可以设置一个捕获过滤器。例如,tcp port 2404 可以用来捕获默认端口为 2404 的 IEC 60870-5-104 流量。


分析流量


显示过滤器:一旦你有了捕获的数据,你可以使用显示过滤器进一步细化视图。例如,iec60870 或 iec60870.asdu 可以帮助你只查看 IEC 60870-5-104 相关的帧。
解析协议:Wireshark 应该能够自动解析 IEC 60870-5-104 帧。如果不能,你可能需要更新到最新版本或手动添加解码器。
理解 ASDU:ASDU (Application Service Data Unit) 包含了实际的应用层数据。了解如何读取 ASDU 和其内部结构对于理解通信非常重要。
检查错误:注意任何重传、错误消息或异常序列,这可以帮助诊断问题。

三 .理解ASDDU内部结构

ASDU概述

ASDU是IEC 60870-5-104协议栈中应用层的一部分,它负责封装实际的应用数据。每个ASDU包含一个或多个信息对象,这些信息对象可以代表遥测、遥信、遥控等命令或状态。通过分析ASDU,我们可以了解电力系统的实时运行状况,并进行有效的监控和控制。

ASDU内部结构详解

ASDU由几个关键部分组成:

  1. 类型标识符 (Type Identifier):

    • 定义了ASDU所携带的信息类型。
    • 每个类型的标识符对应特定种类的数据,例如测量值、事件记录等。

  2. 可变结构限定词 (Variable Structure Qualifier):

    • 决定了ASDU中是否包含时间标签以及信息对象的数量。
    • 如果为1,则表示单个信息对象;如果是其他值,则指明有多少个信息对象存在于ASDU中。

  3. 传送原因 (Cause of Transmission):

    • 表示为何发送此ASDU,如周期性传输、响应请求等。
    • 这有助于解释数据传输的目的和上下文。

  4. 公共地址 (Common Address):

    • 标识了发送方或接收方的逻辑节点地址。
    • 在多点网络中尤其重要,用来区分不同的通信伙伴。

  5. 信息对象地址 (Information Object Address):

    • 指向具体的信息对象,比如某个特定的断路器或传感器。
    • 地址空间足够大以适应复杂的电力系统。

  6. 信息对象 (Information Objects):

    • 包含实际的数据值,如电压水平、电流强度等。
    • 可能包括额外的时间戳或其他辅助信息。

  7. 时标 (Time Tags)(如果存在):

    • 当需要精确的时间同步时,会附加到某些类型的数据上。
    • 对于事故后分析至关重要。

SDU结构图应该包含哪些元素 

  • 顶部: 显示整个ASDU的边界框,标注为“ASDU”。
  • 左侧列表: 列出上述各组成部分,从上至下依次为类型标识符、可变结构限定词、传送原因、公共地址、信息对象地址。
  • 右侧内容区: 展示每个组成部分的具体内容示例,例如类型标识符可能显示为M_ME_NA_1,表示归一化测量值。
  • 底部: 如果有时间标签,会在最
最低0.47元/天 解锁文章
宗介波妞
关注
【TCP协议中104解析】wireshark抓取流量包工具,群殴协议解析基础
m0_59580677的博客
05-28 2835
第一个被计数的八位位组是控制域的第一个八位位组,最后一个被计数的八位位组是ASDU的最后一个八位位组。ASDU的最大长度限制在249以内,因为APDU域的最大长度是253(APDU最大值=255-启动字符-长度八位位组),控制域的长度是4个八位位组。控制域定义了三种不同类型的帧格式:用于标号的信息传输(I格式),标号的监视功能(S格式)未编号的控制功能(U格式)。Wireshark中,可以通过菜单栏中的“Capture”选项,选择相应的网。Wireshark,并正确地捕获筛选出相应的数据包。
iec104以太网报文可用wireshark打开
09-21
iec104协议以太网报文,可以用wireshark软件打开,适用于学习iec104报文解析,学习各种工业以太网协议可参考本人其他下载文件
IEC104规约及报文解释比较全面的
07-06
比较全面的104文档、本人一直使用这个文档还是解释的比较好的自己做了修改的优化
智能变电站协议系列-4、IEC 101、IEC 104协议(IEC 60870
逍遥游的博客
12-26 6641
IEC 101IEC 104对于智能变电站来说已经属于旧的协议了,其属于IEC 60870,但目前在电力自动化中仍然流行,对于IEC 61850IEC 60870混用的场景也存在,目前官方赞助商似乎在推一些转换网关来将对应的协议做转换以此解决这种协议兼容问题,国内似乎也有在做这块的网关的企业。IEC 101为串行模式,而IEC 104走TCP/IP。对比一下IEC 60870相较于IEC 61850确实感觉会功能相对少一些,扩展性稍微差一些,但理解上相对简单一些。
IEC104协议规约解析
热门推荐
皓月如我的专栏
05-27 1万+
【转载自】《IEC104协议规约解析》 一、四遥信息体基地址范围 104调度规约有1997年2002年两个版本,在流程上没有什么变化,02版只是在97版上扩展了遥测、遥信等信息体基体址,区别如下: 类别 类型:1997版基地址 2002版基地址 遥信:1H------400H 1H------4000H 遥测:701H------900H 4001H------5000H 遥控:B01H----...
2021CTF工业信息安全技能大赛-异常的IEC104分析
qq_43264813的博客
07-05 2579
2021CTF工业信息安全技能大赛-异常的IEC104分析 小张在对电力企业进行渗透测试时,发现一台开启IEC104通讯协议的设备,并尝试对该设备进行测试。但是在IDS中发现了相关通讯异常。请尝试找出数据包中的flag。flag格式为:flag{}。 使用工具:Wireshark 解题步骤: 1.1、根据题意可知问题存在于104协议,进行过滤查看 2.2、观察数据内容发现每一组都有一个多余字符,依次读取拼接得到一个单词为welcome,尝试作为flag{}进行提交。 3.FLAG Flag{welcome}
IEC60870-5-102规约数据压缩与恢复:技术细节全解析
本文深入探讨了IEC 60870-5-102规约下的数据压缩与恢复技术,旨在提高电力系统自动化通信的效率可靠性。文章首先概述了IEC 60870-5-102规约,并介绍了数据压缩技术的原理及其在该规约下的实现。接着,文章详细分析...
DLT860通信61850替代协议报文Wireshark解析工具
10-23
在提供的压缩包“wireshark-win32-dlt860-2.60”中,可能包含了适用于Wireshark的DLC860解码插件,使得用户可以直观地分析理解报文内容。安装此插件后,Wireshark将能够识别并解析DLT86061850 PER编码的报文,为...
如何通过Wireshark分析104规约报文?
03-11
好的,我现在要回答用户关于如何使用Wireshark解析分析IEC 60870-5-104协议报文的问题。首先,我需要回忆一下用户提供的引用内容,看看是否有相关的步骤或信息可以直接应用。 用户提到了引用[1],里面提到了在...
wireshark抓包104分析
最新发布
03-20
为了抓取分析 IEC 60870-5-104(简称 104 协议)的数据包,需要确保安装了支持解码此协议的最新版本 Wireshark。如果未启用相关插件或功能,则可能无法正确解析 104 协议的内容。 #### 配置网络环境 在实际环境中...
IEC-60870-master.zip_60870源码_IEC_IEC104 C#_c# iec104_iec 60870
07-13
c#版本的iec104协议源码测试程序
104规约最直白的实例说明
05-09
104规约最直白的实例说明,清晰易懂,看这份文档就不需要看其他的杂七杂八的文档了,强烈推荐
104规约解析
05-30
104规约解析
Wireshark使用心得
11-07
网络抓包工具Wireshark经常使用的一些功能配置介绍,欢迎交流。
规约模拟软件(包含101、104、CDT、MODBUS、SPA、103规约)
12-22
通讯协议分析及仿真
电力-IEC 60870-5-101规约说明书1
让你爱上电路设计
04-18 5418
IEC101规约说明书
lib60870 - IEC 60870-5-101/104 C 源代码库用户指南(译)
好习惯成就伟大
12-27 3101
lib60870 是针对客户端(主站)服务器(从站或受控站)的 IEC 60870-5-101/104 协议的功能丰富且经过现场验证的实现。该库实现了 IEC 60870-5-101/104 规范的所有数据类型。lib60870以标准 C 实现,并与 C99 标准兼容。它被设计成尽可能易于使用。客户端/服务器 API 是严格异步的。使用非阻塞函数发送请求,并且必须在回调函数中处理响应其他事件。CS 101 (IEC 60870-5-101) 平衡非平衡串行模式。
IEC104协议
A152419的博客
04-21 6058
IEC104规约是一个广泛应用于电力、城市轨道交通等行业的国际标准。
IEC60870-104报文解析 —— 利用Wireshark对报文逐字节进行解析详细解析IEC60870-104附含模拟器以及pcap包 阅
weixin_38843284的博客
11-17 2478
https://www.cnblogs.com/Db2k/p/12935966.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值