2024年6月1日发(作者:)

网络抓包工具的使用和数字化变电站报文分析

GOOSE(Generic Object-Oriented Substation Event)是一种面向通用对象的

变电站事件。主要用于实现在多个智能电子设备(IED)之间的信息传递,包括传

输跳合闸、联闭锁等多种信号(命令),具有高传输成功概率。SV (Sampled Value)

即采样值,它基于发布/订阅机制,交换采样数据集中的采样值的相关模型对象

和服务。MMS(Manufacturing Message Specification)即制造报文规范就是

ISO/IEC9506标准所定义的一套用于工业控制系统的通信协议。国际标准化组织

出台MMS的目的是为了规范工业领域具有通信能力的智能传感器、智能电子设

备(IED)、智能控制设备的通信行为,使出自不同制造商的设备之间具有互操

作性,使系统集成变得简单、方便。在国外,MMS技术广泛用于工业过程控制、

工业机器人等领域。

1 抓包工具的使用

1.1 抓包工具

常用的抓包工具有Windows下的mms-ethereal和

WireShark。mms-ethereal可以自动解释mms报文,适合进行应

用层报文的分析。WireShark是ethereal的替代版本,界面更加友好,但标准版

本中没有对mms报文分析的支持。

1.2 抓包方法

对于SV或GOOSE报文可以直接将装置的发送端(光口)接到光电转换器

光口(或是既有光口又有电口的交换机的光口)上,将笔记本用网线与光电转换

器的电口(或是既有光口又有电口的交换机的电口)相连,打开抓包软件即可抓

包。

对于后台与装置之间的TCP通讯,有两种方法。一是直接在后台机上安装

软件来抓包,二是利用HUB连接后台与装置,将笔记本接到HUB上抓包。注

意一定要使用HUB,不能使用交换机。

WireShark和mms-ethereal均是图形化的界面,使用起来比较简单,注意选

择正确的网卡即可。

1.3 分析举例

均以mms-ethereal为例,WireShark与之类似。

1.3.1

Ethereal安装

使用Ethereal会用到WinPcap函式库,在安装Ethereal前需要首先安装

WinPcap。程序包中已包含WinPcap_4_1_,首次使用时先运行该程序安装

WinPcap。

Ethereal运行界面如图2-1所示。

图2-1 Ethereal运行界面

1.3.2简易抓包教程

简易的抓包操作按照以下步骤操作即可。

点击工具栏中“capture”,选择“Options”进行如下配置(也可以直接点击

左边第二个按钮):