【TCP协议中104解析】wireshark抓取流量包工具,群殴协议解析基础
Tcp ,104 ,wireshark工具进行解析
IEC104 是用于监控和诊断工业控制网络的一种标准,而
Wireshark则是一款常用的网络协议分析工具,可以用干解析TEC104
报文。本文将介绍如何使用 Wireshark解析 IEC104报文,以及解析过
程中的注意事项。
一、安装Wireshark
首先,需要在计算机上安装Wireshark。可以从官方网站下载安
装程序,并根据提示进行安装。安装过程中需要选择网卡,以便能够
捕获网络数据包。
二、设置网络接口
在安装完成后,需要设置网络接口,以便能够捕获 IEC104 数据
包。可以通过在命令行中使用ifconfig或ip addr 命令查看计算机上
可用的网络接口,然后选择相应的接口进行设置。在设置过程中,需
要将该接口设置为混杂模式,以便能够捕获所有数据包。
三、捕获数据包
设置好网络接口后,就可以开始捕获IEC104数据包了。在
Wireshark中,可以通过菜单栏中的“Capture”选项,选择相应的网
络接口进行数据包的捕获。在捕获到数据包后,Wireshark会自动将其
分类,以便于识别和解析。
四、解析IEC104报文
在捕获到数据包后,就可以开始解析 IEC104报文了。在
Wireshark中,可以通过菜单栏中的“Statistics”选项,选择
“Packets by Protocol”进行报文的筛选,以便于找到IEC104 报
IEC104报文通常以TCP协议传输,因此可以通过菜单栏中的
“Filter”选项,设置过滤条件为“tcp.port ==端口号”,其中端
口号需要根据实际情况进行设置。设置好过滤条件后,就可以选出
相应的 TCP 数据包,并从中提取出IEC104 报文。
五、分析报文内容
提取出 IEC104 报文后,就可以对其进行详细的分析了。
Wireshark提供了丰富的工具和功能,可以帮助用户分析和解读报文内
容。例如,可以通过菜单栏中的“Edit”选项,选择“Decode as…
菜单项,来查看相应的协议解码信息。此外,还可以使用菜单栏中的
Summary”选项,查看报文统计信息,以便于了解报文的传输情况。
在分析报文内容时,需要注意报文的格式和结构,以便于正确地
解析和解读。同时,还需要注意报文中的关键字段和标识符,以便于
确定报文的类型和含义。
总之,使用Wireshark解析IEC104 报文需要先安装和设置好
Wireshark,并正确地捕获和筛选出相应的数据包。在解析过程中,需
要注意报文的格式和结构,以及关键字段和标识符的含义。通过使用
Wireshark的丰富功能和分析工具,可以更好地理解和掌握IEC104报
文的内容和传输情况。
六、wireshark过滤使用
七.104协议格式介绍
APDU=APCI+ASDU
APCI:应用规约控制信息(由起始字符_数据长度+控制域)
起始字符:68H
ASDU:应用服务数据单元(数据格式)
APDU:应用规约数据单元
APCI:四个控制域八位位组合
启动字符68H定义了数据流中的起点。
APDU的长度定义了APDU体的长度,它包括APCI的四个控制域八位位组合ASDU。第一个被计数的八位位组是控制域的第一个八位位组,最后一个被计数的八位位组是ASDU的最后一个八位位组。ASDU的最大长度限制在249以内,因为APDU域的最大长度是253(APDU最大值=255-启动字符-长度八位位组),控制域的长度是4个八位位组。
APCI中的控制域--定义了保护报文不丢失和重复传递的控制信息,报文传输启动/停止,以及传输连接的监视
控制域定义了三种不同类型的帧格式:用于标号的信息传输(I格式),标号的监视功能(S格式)和未编号的控制功能(U格式)。
- 报文分析案列
