分析TCP及UDP报文格式

计算机网络原理实验报告

实验名称实验七分析TCP及UDP报文格式

队别姓名学号实验日期 2012.11.8 实验报告要求： 1.实验目的 2.实验要求 3.实验环境 4.实验作业 5.问题及解决

6.思考问题

7.实验体会

【实验目的】

一、掌握TCP协议的作用和格式；

分析数据报各字段的含义及作用；

理解三次握手的过程；

学会计算TCP校验和的方法；

了解TCP的标志字段的作用。

二、观察UDP报文

观察DNS,QQ应用时UDP的格式

【实验要求】

在进行实验的主机上运行Win7操作系统，并将它接入到校园网。

按要求用Wireshark进行以太网数据包的截获，并分析其帧格式。

【实验环境】

在装有Win7的笔记本，接入校园网，使用WireShark 1.8.2版本进行抓包。

【实验作业】

一、练习一分析TCP报文

1.打开“命令提示符”窗口，输入：netstat –n 回车。

2.观察TCP状态，记录Local Address 、Foreign Address 和State。

可以通过上图观察到，现在的TCP状态为空。

3.在浏览器输入：https://www.sodocs.net/doc/174787555.html,，在“命令提示符”窗口输入：netstat –n 回车。

4.观察TCP状态，记录Local Address 、Foreign Address 和State。

通过上图可以观察到，在TCP协议下，本地地址套接字、外部地址套接字、状态，依次列于图中。

5.比较两次记录的不同之处。

第一次由于未建立任何连接，因此没有任何TCP信息，而第二次则成功建立了TCP连接，因此有相应的TCP连接信息得到。

6.打开Wireshark，选择菜单命令“Capture” “Interfaces…”子菜单项。弹出“Wireshark: Capture Interfaces”

对话框。单击“Options”按钮，弹出“Wireshark: Capture Options”对话框。单击“Start”按钮开始网络数据包捕获。

7.单击“Stop”按钮，中断网络协议分析软件的捕获进程，主界面显示捕获到的TCP数据包。下面对94帧的TCP数据包进行分析：

由上图可以知道，TCP协议包括

源端口（2字节）：http80（0050）

目的端口（2字节）49811（c293）

序号（4字节）：1（相对序号）

期望得到的下一分组序号：518

确认号（4字节）：

首部长度：20字节

标志（2字节）：0x18（推送，确认）

数据偏移（4位）

保留（4位）

紧急URG：0

确认ACK：1

推送PSH：1

复位RST：0

同步SYN：0

终止FIN：0

窗口（2字节）：7168

检验和：0x66cb

序号确认分析：正在网络中传输的序号517

TCP数据报数据分组517字节

经过上述分析可知，捕获到的TCP数据包是符合TCP协议格式的，TCP协议格式如下：TCP协议是面向连接的、端到端的可靠传输协议，它支持多种网络应用程序。TCP必须解决可靠性，流量控制的问题，能够为上层应用程序提供多个接口，同时为多个应用程序提供数据，TCP也必须能够解决通信安全性的问题。

1.TCP的封装

2.TCP首部格式

源端口（16比特）目的端口（16比特）

序号（32比特）

确认号（32比特）

HLEN (4比特)

保留

(6比特)

U

R

G

A

C

K

P

S

H

R

S

T

S

Y

N

F

I

N

窗口大小（16比特）

校验和（16位）紧急指针（16比特）

选项与填充（≤40字节）

数据（必须填充成16比特的整数倍）

首部

TCP段格式

0 16 31

源端口和目的端口字段——各占2 字节。端口是运输层与应用层的服务接口。运输层的复用和分用功能都要通过端口才能实现。

序号字段——占4 字节。TCP 连接中传送的数据流中的每一个字节都编上一个序号。序号字段的值则指的是本报文段所发送的数据的第一个字节的序号。

确认号字段——占4 字节，是期望收到对方的下一个报文段的数据的第一个字节的序号。

HLEN字段——占4 bit，它指出首部长度，单位为：32 bit 字（4 字节）。正常的TCP首部长度是20字节。

6个标志字段——占6 bit。紧急比特URG：当URG = 1 时，表明紧急指针字段有效。它告诉系统此报文段中有紧急数据，应尽快传送(相当于高优先级的数据)。确认比特ACK：只有当

ACK = 1 时确认号字段才有效。当ACK = 0 时，确认号无效。推送比特PSH (PuSH)：接收

TCP 收到推送比特置1 的报文段，就尽快地交付给接收应用进程，而不再等到整个缓存都填

满了后再向上交付。复位比特RST (ReSeT)：当RST = 1 时，表明TCP 连接中出现严重差错

（如由于主机崩溃或其他原因），必须释放连接，然后再重新建立运输连接。同步比特SYN ：同步比特SYN 置为1，就表示这是一个连接请求或连接接受报文。终止比特FIN (FINal)：

用来释放一个连接。当FIN = 1 时，表明此报文段的发送端的数据已发送完毕，并要求释放运

输连接。

窗口字段——占2 字节。窗口字段用来控制对方发送的数据量，单位为字节。TCP 连接的一端根据设置的缓存空间大小确定自己的接收窗口大小，然后通知对方以确定对方的发送窗口

的上限。

检验和——占2 字节。检验和字段检验的范围包括首部和数据这两部分。在计算检验和时，要在TCP 报文段的前面加上12 字节的伪首部。

紧急指针字段——占16 bit。紧急指针指出在本报文段中的紧急数据的最后一个字节的序号。

8.观察协议树区中TCP数据包结构，是否符合TCP报文格式。从“会话分析”中找出此连接的三次握

手的数据包，对此数据包进行分析。记录标志字段的值。

从以上观察可知，TCP数据包结构符合TCP报文格式。为了实现数据的可靠传输，TCP要在应用进程间建立传输连接。TCP使用三次握手建立连接。

从上图中可以看出，第一次握手，SYN=1，Seq=0（相对序号）；

建立连接前，服务器端首先被动打开其熟知的端口（上图为80端口），对端口进行监听。当客户端要和服务器建立连接时，发起一个主动打开端口的请求（临时端口）。然后进入三次握手过程：

第一次握手：由要建立连接的客户向服务器发出连接请求段，该段首部的同步标志SYN被置为1，并在首部中填入本次连接的客户端的初始段序号SEQ（上图SEQ=acbdbbee，相对序号为0）。

第二次握手，

SYN=1，ACK=1（相对确认序号），Seq=0（相对序号）；

第二次握手：服务器收到请求后，发回连接确认（SYN+ACK），该段首部中的同步标志SYN被置为1，表示认可连接，首部中的确认标志ACK被置为1，表示对所接收的段的确认，与ACK标志相配合的是准备接收的下一序号（ACK=acbdbbef），该段还给出了自己的初始序号（例如SEQ=1663aa4b）。对请求段的确认完成了一个方向上连接。

第三次握手，

ACK=1（相对确认序号），Seq=0（相对序号），

第三次握手：客户向服务器发出的确认段，段首部中的确认标志ACK被置为1，表示对所接收的段的确认，与ACK标志相配合的准备接收的下一序号被设置为收到的段序号加1(ACK =1663aa4c)。完成了另一个方向上的连接。

二、udp

由此可见UDP报文只有源端口号，目的端口号，长度和检验和

【实验中出现问题及解决方法】

【思考问题】

【实验体会】

这次实验使得我对于以太网帧格式有了深入的了解，更加明白其工作原理，以及对Wireshark截获的数据包的格式有了更加清楚的了解，比如对TCP，UDP这两个传输层的协议。

成绩优良中及格不及格

教师签名：日期：

实验一 数据报文分析 实验报告

实验一数据报文分析 物联10 查天翼41050051 一、实验目的 1.掌握网络分析原理 2.学习Wireshark协议分析软件的使用 3.加深对基本协议的理解 二、实验环境 机器代号：K053 IP地址：222.28.78.53 MAC地址：00-88-98-80-95-C2 三、实验结果 数据链路层（以太网）数据帧分析 3c e5 a6 b3 af c1 00 88 98 80 95 c2 08 00 3c e5 a6 b3 af c1：表示目的MAC(Hangzhou_b3:af:c1)地址 00 88 98 80 95 c2：表示本机MAC地址

08 00：表示数据类型，里面封装的是IP数据包 IP数据包分析 45 00 00 28 63 cd 40 00 80 06 19 1f de 1c 4e 35 77 4b da 46 45：高四位是4，表示此数据报是IPv4版本；低四位是5，表示首部长度，由于首部长度以4字节为单位，所以IP数据包的首部长度为20字节。 00：表示服务类型 00 28：表示数据包的总长度是40 63 cd：表示表示字段0x63cd(25549) 40 00：“40”高4位表示标志字段，低4位和第8个字节“00”组成片偏移字段。 80：表示生存时间 06：表示数据包的数据部分属于哪个协议，此值代表的协议是TCP协议。 19 1f：表示首部校验和 de 1c 4e 35：表示源IP地址222.28.78.53 77 4b da 46：表示目的IP地址119.75.218.70

07 a1 00 50 d7 c3 fb a4 5d 84 9a 2e 50 10 ff ff 5e e4 00 00 07 a1：表示源端口号1953 00 50：表示目的端口号80 d7 c3 fb a4：表示序号字段值430 5d 84 9a 2e：表示确认序号值3196 50：“50”的高4为位表示数据偏移字段值，该TCP报文数据偏移字段值是5，该字段表示报文首部的长度，以4字节为单位，所以该TCP报文的首部长度是20字节。 10：表示ACK=1，SYN=0 ff ff：表示窗口字段值是65535，即告诉发送端在没有收到确认之前所能发送最多的报文段的个数。 5e e4：表示校验和字段0x5ee4 00 00：表示紧急指针字段值

以太网报文分析

200810314021_陈道争 一、实验名称：以太网报文分析 二、实验内容： 1.Ethereal的基本操作。 2.截获以太网报文，并将报文保存到硬盘上。 3.打开截获的报文，并分析其中的某一条报文。 三、实验过程与步骤： 1.在Windows操作系统下安装软件Ethereal。 2选择“Capture”中的“Options”进行设置。 3.打开“IE浏览器”，输入任意一个网址，打开其中的一个网页。 4.Ethereal软件的界面中会出现很多条的报文。 5.选择“Stop the running live capture”。 四、报文分析： 1.选取No.180的一条HTTP报文，具体报文见“200810314021_陈道争.cap”，以下分析都是根据此报文，就不再附图了。 2.从应用的角度网络可以划分为物理层、链路层、网络层、传输层、应用层几个部分。以太网上的数据以报文的形式进行传递，每个报文由数据内容部分和各个层次的报文头部组成。 3.链路层： （1）以太网的链路层由14个字节的内容组成。 （2）前六个字节的内容表示报文的目标硬件地址（Destination MAC），本报文描述的是网关的MAC 地址，值是：00-0f-e2-77-8f-5e。 （3）接下来六个字节的内容表示报文的源硬件地址（Source MAC），本报文描述的是本机的MAC 地址，值是：00-23-7d-4d-16-55。 （4）接下来两个字节的内容表示网络层所使用协议的类型，本报文使用的是IP协议，IP协议的类型值是：0X0800。 4.网络层： （1）目前使用最广泛的网络层协议是IPv4协议。IPv4协议的头部由20个字节的内容组成。 （2）其中第一个字节的前四个位的内容表示IP协议使用的版本号，值是：4，表示本报文使用的是IPv4协议。 （3）后四位的内容表示报文头部的长度，值是：20bytes。 （4）接下来两个字节的内容表示总长度，是首部和数据之和的长度，值是：657，表示总长度是657字节。 （5）接下来两个字节的内容表示标识。本报文为0x261f。 （6）接下来两个字节的前三位的内容表示标志。本报文位010. （7）接下来一个字节的内容表示生存时间。本报文Time to live:128. （8）接下来一个字节的内容表示所使用的传输层的协议类型，值是：0x06，表示使用的是TCP协议，因为HTTP协议是基于TCP协议实现的。

IEC104规约报文分析(104报文解释的比较好的文本)

IEC104规约调试小结 一、四遥信息体基地址范围 “可设置104调度规约”有1997年和2002年两个版本，在流程上没有什么变化，02 此配置要根据主站来定，有的主站可能设为1，1，2，我们要改与主站一致。 三、以公共地址字节数=2，传输原因字节数=2，信息体地址字节数=3为例对一些基本的报 文分析 第一步：首次握手（U帧） 发送→激活传输启动：68（启动符）04（长度）07（控制域）00 00 00 接收→确认激活传输启动：68（启动符）04（长度）0B（控制域）00 00 00 第二步：总召唤（I帧） 召唤YC、YX（可变长I帧）初始化后定时发送总召唤，每次总召唤的间隔时间一般设为15分钟召唤一次，不同的主站系统设置不同。 发送→总召唤： 68（启动符）0E（长度）00 00（发送序号）00 00（接收序号）64（类型标示）01（可变结构限定词）06 00（传输原因）01 00（公共地址即RTU地址）00 00 00（信息体地址）14（区分是总召唤还是分组召唤，02年修改后的规约中没有分组召唤） 接收→S帧： 注意：记录接收到的长帧，双方可以按频率发送，比如接收8帧I帧回答一帧S帧，也可以要求接收1帧I帧就应答1帧S帧。 6804 01 00 02 00 接收→总召唤确认（发送帧的镜像，除传送原因不同）： 68（启动符）0E（长度）00 00（发送序号）00 00（接收序号）64（类型标示）01（可变结构限定词）07 00（传输原因）01 00（公共地址即RTU地址）00 00 00（信息体地址）14（同上） 发送→S帧： 注意：记录接收到的长帧，双方可以按频率发送，比如接收8帧I帧回答一帧S帧，也可以要求接收1帧I帧就应答1帧S帧。 68 04 01 00 02 00

报文分析

Arp报文分析： Arp 报文格式:三层：Frame、Ethernet、Address Resolution Protocol 协议类型：IP 先在ＤＯＣ命令窗口下：ping 10.16.134.66 网关的ARP： Arp请求： Arp应答： 目的主机： Arp请求： Arp响应：

分析： 当主机10.16.134.62向主机10.16.134.66发送时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到目标IP地址，主机A就会在网络上发送一个广播，此时，主机A发送的帧包含:sender MAC address( 本机的ＭＡＣ地址)，sender IP address(本机IP地址)，目标主机B的target MAC address(全部为空)target IP address(目标主机的IP地址)。这表示向同一网段内的所有主机发出这样的询问：“我是10.16.134.62，我的MAC是"c8:3a:35:d3:cf:41".请问IP地址为10.16.134.66的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“10.16.134.66的MAC地址是c8:3a:35:d3:77:1d”。这样，主机A就知道了主机B的MAC 地址，它就可以向主机B发送信息了。同时A和B还同时都更新了自己的ARP缓存表（因为A在询问的时候把自己的IP和MAC地址一起告诉了B），下次A再向主机B或者B向A发送信息时，直接从各自的ARP缓存表里查找就可以了。 ARP缓存表采用了老化机制（即设置了生存时间TTL），在一段时间内（一般15到20分钟）如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 (注：此时arp缓存表中已经删除了10.16.134.66 的MAC 地址) TCP报文分析：

MQTT协议14种报文分析.docx

MQTT协议14种报文分析 实习报告 课程名称: _____ 实习题目: ___________________ 专业班级: _____________学生姓名: __________ 学号: ___________实习成绩: 指导教师签名：年月日

[-c config file] 指定的配置文件中的端口 -v 代码调试模式（verbose）可以输出更多的信息 2.MQTT客户端Eclipse Paho MQTT （1）下载解压缩后，双击paho.exe，打开后的对界面如下 （2）点击上图中的十字图标，就能新建一个MQTT的客户端的连接，输入正确的MQTT服务端的连接地址， （3）这个时候我们就能订阅消息了。选择“Subscription”下方的绿色十字图标，就可以输入订阅的主题（topic）的名字，比如我们设置主题名称为“test”，并点击“Subscribe”按钮 （4）往MQTT服务发送一条某一主题的MQTT消息。然后点击“Publish”按钮，这个时候，我们就能看到消息已经发送成功，且在步骤（3）订阅的同一主题也收到了消息。 3.安装和使用协议分析软件wireshark （1）安装WiresharkPortable_2.2.1.paf.exe （2）捕获MQTT协议报文 （3）在Wireshark中，分为capture filter和Display Filer，我们只需要在WireShark 软件中的capture filter 输入下面的过滤条件，则与MQTT服务交互的相关TCP 的数据包就能抓取到。如下图所示意.

这个时候，我们先启动WireShark，然后点击Eclipse Paho MQTT工具的“Connect”，这个时候WireShark就能抓取下面的TCP数据包。 2.2 主要实验步骤 操作：按照“MQTT-3.1.1-CN”文档各种报文的实现方法依次实现，抓包结果截图，结合参考文档分析实验结果。 结果：如下各图所示 14种报文分析说明具体如下： 1.CONNECT –连接服务端

模型及MMS报文分析

6 1 8 5 0 模型及M M S 报文分析基础 2012-02 参考文档： 1 ．《数字化变电站调试总结 -马玉龙》 2.《 IEC61850 标准》《 IEC61850 实施规范》

1文件类型............................... 1.1ICD/CID文件结构 .......................................................... 2模型验证............................... 3、IED配置.............................. 3.1IED和LD(Logical Device相关信息 .......................................... 3.2逻辑节点LN (Logical Node) ............................................... 3.3数据DO( Data Object)及数据属性DA( Data attribute) ........................ 3.4数据集：DOI /DAI的集合.................................................... 3.5 报告控制块ReportControl: .................................................. 4如何抓包............................... 4.1抓包工具............................................................... 4.2抓包方法............................................................... 4.3分析举例............................................................... 5、MMS艮文简析............................. 5.1初始化相关............................................................... 5.2报告相关................................................................. 5.3录波相关................................................................. 5.4控制相关................................................................. 5.5定值相关.................................................................

OSPF报文格式分析

OSPF的报文格式 OSPF报文直接封装为IP报文协议报文，协议号为89。一个比较完整的OSPF报文（以LSU报文为例）结构如图8所示。 1. OSPF报文头 OSPF有五种报文类型，它们有相同的报文头。如图9所示。 主要字段的解释如下： ●????????????? Version：OSPF的版本号。对于OSPFv2来说，其值为2。 ●????????????? Type：OSPF报文的类型。数值从1到5，分别对应Hello报文、DD报文、LSR报文、L SU报文和LSAck报文。 ●????????????? Packet length：OSPF报文的总长度，包括报文头在内，单位为字节。 ●????????????? Router ID：始发该LSA的路由器的ID。 ●????????????? Area ID：始发LSA的路由器所在的区域ID。 ●????????????? Checksum：对整个报文的校验和。 ●????????????? AuType：验证类型。可分为不验证、简单（明文）口令验证和MD5验证，其值分别为0、 1、2。 ●????????????? Authentication：其数值根据验证类型而定。当验证类型为0时未作定义，为1时此字段为密码信息，类型为2时此字段包括Key ID、MD5验证数据长度和序列号的信息。 说明： MD5验证数据添加在OSPF报文后面，不包含在Authenticaiton字段中。 2. Hello报文（Hello Packet） 最常用的一种报文，周期性的发送给邻居路由器用来维持邻居关系以及DR/BDR的选举，内容包括一些定时器的数值、DR、BDR以及自己已知的邻居。Hello报文格式如图10所示。

抓包工具以及报文解析

包工具以及报文解析抓常用的包工具有抓Windows下的mms-etherealWireShark和Solaris下的snoop命令。 mms-ethereal可以自动解释mms报文适合进行应用层报文的分析WireShark是ethereal的替代版本介面更加友好但标准版本中没有对mms报文分析的支持snoop主要是用来包没有图形化的分析介面抓snoop取的档可以用抓WireShark打开辅助分析对於广播和组播报文如装置的UDP心跳报文、GOOSE报文61850-9-2的smv采样报文可以用笔记本连接到交换机上任意埠取。对於后台与装置之间的抓TCP通讯有两种方法。一是直接在后台机上安装软体来包二是利用抓HUB 连接后台与装置将笔记本接到HUB上包。抓注意是HUB不能交换机。调试61850的站最好要家里带上一个HUB库房一般是8口10M的TP-LINK---不是交换机。主要用於资料包便於档问题抓。没有HUB根本没有办法档看远动与装置的mms报文只能取到抓goose资料包。如果现场有管理型交换机也可以通过设置埠镜像功能来监视mms报文。WireShark和mms-ethereal均是图形化的介面使用起来比较简单注意选择正确的网可。卡即snoop的使用方法可以用man snoop取得最基本的命令为snoop -d bge0 -o xx.snoop 下面均以WireShark例为mms-ethereal与之类似。1 设置包过滤条件抓在后台上包时资料量比较大档一大之后解析起来速度慢如果单纯了分析抓很为应用层报文可在包的时候

设置过滤条件。如果了分析网路通断问题一般不设置过抓为滤条件便於全面了解网路状况。包过滤条件在抓 Capture-Options-Capture Filter里设置点Capture Filter会有多现很成的例子下面列几个最常用的。举tcp 只取抓tcp报文udp 只取抓udp报文host 198.120.0.100 只取抓198.120.0.100的报文ether host 00:08:15:00:08:15 只取指定抓MAC地址的报文2 设置显示过滤条件打开一个包档后可以在工具列上的抓filter栏设置显示过滤条件这里的语法与Capture Filter 有点差别例如下。举tcp 只取抓tcp报文udp 只取抓udp报文ip.addr198.120.0.100 只取抓198.120.0.100的报文 eth.addr00:08:15:00:08:15 只取指定抓MAC地址的报文还可以在报文上点击右键选择apply as filter等创建一个过滤条件比较方便。3 判别网路状况输入显示过滤条件 tcp.analysis.flags可以显示失、重发等异常情况相关的丢TCP 报文此类报文的出现频率可以作评网路状况的一个尺规。常见的异常类型有以下几个为估TCP Retransmission由於没有及时收到ACK报文而档生的重传报文TCP Dup ACK xxx 重复的ACK报文TCP Previous segment lost前一帧报文失丢TCP Out-Of-OrderTCP的帧顺序错误偶尔出现属於正常现象完全不出现说明网路状态上佳。监视TCP连接建立与中断输入显示过滤条件tcp.flags.syn1tcp.flags.fin1 tcp.flags.reset1SYN是TCP建立的第一步FIN是TCP连接正

IEC104规约报文分析(104报文解释的比较好的文本)

IEC104规约报文分析(104报文解释的比较好的文本)

IEC104规约调试小结 一、四遥信息体基地址范围 “可设置104调度规约”有1997年和2002年两个版本，在流程上没有什么变化，02版只是在97版上扩展了遥测、遥信等信 息体基体址，区别如下： 二、一些报文字节数的设置

此配置要根据主站来定，有的主站可能设为1，1，2，我们要改与主站一致。 三、以公共地址字节数=2，传输原因字节数=2， 信息体地址字节数=3为例对一些基本的报 文分析 第一步：首次握手（U帧） 发送→激活传输启动：68（启动符）04（长度） 07（控制域）00 00 00 接收→确认激活传输启动：68（启动符）04（长度） 0B（控制域）00 00 00 第二步：总召唤（I帧） 召唤YC、YX（可变长I帧）初始化后定时发送总召唤，每次总召唤的间隔时间一般设为15分钟召唤一次，不同的主站系统设置不同。 发送→总召唤： 68（启动符）0E（长度）00 00（发送序号）00 00（接收序号）64（类型标示）01（可变结构限定词）06 00（传输原因）01 00（公共

地址即RTU地址）00 00 00（信息体地址）14（区分是总召唤还是分组召唤，02年 修改后的规约中没有分组召唤） 接收→S帧： 注意：记录接收到的长帧，双方可以按频率发送，比如接收8帧I帧回答一帧S帧，也可以要求接收1帧I帧就应答1帧S帧。 6804 01 00 02 00 接收→总召唤确认（发送帧的镜像，除传送原因不同）： 68（启动符）0E（长度）00 00（发送序号）00 00（接收序号）64（类型标示）01（可变结构限定词）07 00（传输原因）01 00（公共 地址即RTU地址）00 00 00（信息体地址）14（同上） 发送→S帧： 注意：记录接收到的长帧，双方可以按频率发送，比如接收8帧I帧回答一帧S帧，也可以要求接收1帧I帧就应答1帧S帧。 68 04 01 00 02 00 接收→YX帧（以类型标识1为例）：68（启动符）1A（长度）02 00（发送序号）02 00（接收序号）01（类型标示，单点遥信）04（可变结构限定词，有4个遥信上送）14 00（传 输原因，响应总召唤）01 00（公共地址即RTU地址）03 00 00（信息体地址，第3号遥信）00（遥信分） 发送→S帧： 68 04 01 00 04 00

实验二基本报文分析(IP)汇总

实验报告 课程名称计算机网络 实验名称实验二基本报文分析（IP） 系别__计算机学院_ 专业___软件工程 ___ 班级/学号软工1301班/2013_ 学生姓名___ _ _ ___ _ ____ 实验日期___2015年11月18日 ___ 成绩________________________指导教师_ ___ _ ___

基本报文分析（IP）【实验目的】 1、理解IP层的作用以及IP地址的分类方法； 2、理解子网的划分和子网掩码的作用； 3、掌握IP数据包的组成和网络层的基本功能； 【实验学时】 4学时 【实验环境】 图3-2 实验拓扑图 【实验内容】 1、学会根据IP地址的分类方式区分各类IP地址； 2、掌握IP数据报的格式、长度以及各字段的功能； 3、学会利用子网掩码确定IP地址的网络号、子网号和主机号；

4、学会分析给定数据包的IP首部信息； 5、学会手工计算IP校验和的方法； 【实验流程】 图3-3 实验流程图【实验原理】 详见理论教材 【实验步骤】 步骤一：设定实验环境 1、参照实验拓扑连接网络拓扑；

步骤二：利用网络协议分析软件捕获并分析IP数据包 1、在某台主机中打开网络协议分析软件，在工具栏中点击“开始”，待一段时间后，点击“结束”， 2、在捕获到数据包中，选择IP数据包进行分析，如下图所示。 图3-5 IP数据包分析 分析捕获到的IP数据包，因此在本实验中，只分析数据的的IP包头部分。 ●版本信息：4，标识此报文为IPv4报文。 ●头部长度：5，标识IP报头长度为5个32比特。在上图中，IP报头最末端为01 FF，整个IP包头长度为20字节，共160位，即32比特的5倍。 ●区分服务类型：0，在此报文中不涉及服务质量的区分。 ●总长度：64，表示总长度为64字节。 ●标识：0X827，此数据包没有进行分片。 ●标志：2，二进制为010，表示此数据包不可分片。 ●分段偏移量：0X0000，此数据包没有进行分片。 ●生存时间：128，每经过一个路由器，生存时间减1，当生存时间减小为0时，数 据包被丢弃而不被转发。

计算机网络实验报告之数据报文分析&基本命令

实验一数据报文分析 一、分组及实验任务 学号：xxxxxxxx 姓名：xxxxxxxx 试验台：5组 同组同学：xxxxxxxx 二、实验环境 本实验中不需要动手连线，机房中所有主机均通过交换机相连，组成局域网。相邻的2名同学组成一个小组，完成本次实验。 三、实验过程 1、网络命令学习 （1）点击“开始”→“运行”，输入cmd回车，打开的是dos的命令窗口，在命令行中输入ipconfig 命令，查看计算机当前的IP地址、子网掩码和默认网关。添加上参数，输入ipconfig /all 记录本地连接中IP地址，MAC地址（Physical Address），网关（Default Gateway）等信息。如： MAC：00-98-99-00-EA-32 IP：222.28.78.X 网关：222.28.78.1 （2）在命令行下输入route print命令，查看本机上路由表信息。 （3）输入arp –a 命令，查看本地高速缓存中IP地址和MAC地址的信息，并记录下来。（4）相邻的两位同学组成一组，输入命令ping 222.28.78.X（对方IP地址），如ping 222.28.78.100 ，测试当前主机到目的主机的网络连接状态。读懂ping包下面的统计信息，判断是否连通。

（5）再次输入arp –a命令，查看本地高速缓存中IP地址和MAC地址的信息，并记录下来。 2、软件学习 （1）点击桌面图标“wireshark”，打开网络分析软件。 （2）点击菜单栏中的“capture” →“Interfaces”，查看网络接口的当前状态。在相应的接口后面点击“start”，即可开始抓包。点击菜单栏的“capture” →“stop”即可停止抓包。 （3）点击菜单栏的“capture” →“option”，在过滤器Capture Filter栏输入ether proto 0x0806 or ip proto 1，表明只抓取ARP和ICMP数据。点击“start”，开始抓包，在dos命令行下输入命令(ping+对方IP)，观察抓到的包，点击菜单栏的“capture” →“stop”停止抓包。 分析抓到的一组ARP数据包，即请求（request）和应答（reply）包，记录数据链路层的源地址和目的地址。 分析一组ICMP数据包，请求（request）和应答（reply），记录数据链路层的源地址和目的地址；IP协议的源地址和目的地址。 （4）抓取TCP协议的三次握手过程，并分析TCP数据包, 记录连接的序列号、确认号和标识符（即：seq、SYN、ACK、ack等）。 3、路由器基本配置练习 四、问题解答 一： 1. 使用“route add”添加缺省路由的命令是什么？和在IP 地址配置界面配置的默认网关有什么联系？ 添加缺省路由的命令是route add –p (IP address) mask (Sub Network mask) (Gateway) 。该缺省路由与在IP 地址配置界面配置的默认网关是一致的。 2. “netstat –r”和哪个命令是等价的？ 答：“netstat –r”和“route print”命令是等价

61850与mms报文分析

61850模型及报文分析 61850模型及MMS报文分析基础 2012-02 参考文档： 1．《数字化变电站调试总结-马玉龙》 2. 《IEC61850标准》《IEC61850实施规范》 目录 1、文件类型 (3) 1.1 ICD/CID文件结构 (3) 2模型验证 (3) 3、IED配置 (4) 3.1 IED和LD(Logical Device)相关信息 (4) 3.2 逻辑节点LN （Logical Node） (5) 3.3数据DO（Data Object）及数据属性DA（Data attribute） (7) 3.4 数据集：DOI /DAI的集合 (10) 3.5 报告控制块ReportControl： (11) 4 如何抓包 (12) 4.1 抓包工具 (12) 4.2 抓包方法 (12) 4.3 分析举例 (12)

5、MMS报文简析 (16) 5.1初始化相关 (16) 5.2报告相关 (21) 5.3录波相关 (29) 5.4控制相关 (32) 5.5定值相关 (35)

第一部分：模型文件基础 1、文件类型 IED（智能电子设备，指保护、测控等设备）应提供ICD文件，描述IED的能力及通信内容，如是否具有定值、压板、动作信号等。 系统集成工具把各IED的ICD文件集成并进行实例化如IED名、信息点描述等形成站级模型文件-SCD文件，供站级（包括监控、远动、故障信息主子站）应用。 IED从SCD文件中导出本IED相关部分形成CID文件，即实例化后的IED 模型文件，供IED运行时用。 1.1 ICD/CID文件结构 -Header：历史版本信息等 -Communication：GOOSE配置等-IED：定值、压板、动作信号等-DataTypeTemplates ：对象类型定义 2模型验证 xmlSpy可做一些语法方面的验证。 四方61850客户端工具软件可作进一步验证。 3、IED配置 IEC61850模型总体-模型的分析 注：本部分示例大部分取自培训资料包中的CSC326DES1.cid。 3.1 IED和LD(Logical Device)相关信息 1、 icd文件中的IED名一般为Template

实验三 基本报文分析

实验三基本报文分析 1实验拓扑图 两人一组实验，使用ping命令在两台实验主机之间发送数据报文。分析IP数据报文格式。注意将与网络切换器相连的实验主机的网络切换器拨到B的位置（A为与网络测试接口TAP的连接），以保证其直接接入实验室网络交换机。同时，请将TAP中TAP/IN和TAP/OUT 接口上的网线拔出。以避免与TAP中host接口相连的计算机不能正常上网。 交换机 实验主机A实验主机B 2实验步骤 步骤1:请同学们分好组,两人一组,然后各自启动实验主机,进入到Windows 2000操作系统.步骤2:系统启动完成之后,请查看各自实验主机的IP地址信息,并且请记住所同组组员实验主机的IP地址信息.例如在本实验中以实验组一为例,实验主机A的IP地址为172.16.32.61,实验主机B的IP地址为172.16.32.62.(查看本机IP地址等信息,可以在命令提示符中输入ipconfig/all命令进行查看) 步骤3:在各自运行实验主机上,双击运行桌面上的“Ethereal”图标来启动网络分析器,如图: 步骤4:启动完成之后,先进行配置.点击“Capture->Options”选项或图标,在弹出来的对话框中进行设置. 步骤5:设置捕捉接口,在Interface栏中选择IP地址为172.16.32.61的接口,如图: 反过来,在实验主机B中也是如此,选择IP地址为172.16.32.62的接口. 步骤6:由于该实验中我们只需要捕获相对应的ICMP数据包,因此在“Capture Filter”栏中直接输入过滤条件“host 172.16.32.62”,172.16.32.62是实验主机B的IP地址,如图:

报文分析

任务三、网络协议报文分析 实验目的： 在任务二配置的网络服务环境下，通过合理设置客户端Wireshark的捕获条件，捕获各类数据报文流，进行相关分析，理解TCP/IP网络中的协议封装形式，掌握DNS、HTTP、FTP、ICMP等因特网应用协议的工作原理。 实验设备： 一台安装了Windows 2003 server和Wireshark软件的个人计算机； 实验内容： （1）使用Wireshark或sniffer软件分别捕获不同类型的数据包，并对数据包进行具体的分析；记录不同类型数据包的捕获条件（如ICMP、TCP、UDP、DNS、HTTP、FTP等）。记录所找到的协议使用了哪些下层协议，被哪些上层协议所使用？它们各处于OSI 模型的第几层？ 我这里列出DNS报文的具体分析，其他报文分析类似。 以下是DNS报文分析 这是第883帧，帧的长度为74字节，整个帧内部各层使用的协议（分别是eth、ip、udp、dns）

以太网帧的首部14字节， 6个字节的目的地址14 14 4b 59 63 43 6个字节的本地主机地址54 42 49 5b a6 c2 2个字节类型字段08 00 表名里面的数据是IP数据报。 这个IP数据报的首部有20字节长，详细的数据分析如下： V ersion：版本4，目前使用的是IPV4。 Header length：首部长度20字节(5个单位，每个单位4字节)。 Differentiated Services Field：区分服务00(简称为DS，默认值是00，路由器根据DS字段不同的值来提供不同等级的服务质量，其中，前6位是区分服务码点DSCP，后面两位目前不使用，记为CU)。 Total Length：1500字节。 Identification：标识2497(9367)。 Flags：标志，占3比特位，分别是000。第一位是保留位，目前不使用，值为0；第二位记为DF，值为1表示不能分片，值为0表示允许分片；第三位记为MF，值为1表示后面还有分片的数据报，值为0表示这已是若干数据报片中最后一个。

61850模型及报文分析

61850模型及MMS报文分析基础 2012-02 参考文档： 1．《数字化变电站调试总结-马玉龙》 2. 《IEC61850标准》《IEC61850实施规范》

目录 1、文件类型 (3) 1.1 ICD/CID文件结构 (3) 2模型验证 (3) 3、IED配置 (4) 3.1 IED和LD(Logical Device)相关信息 (4) 3.2 逻辑节点LN （Logical Node） (5) 3.3数据DO（Data Object）及数据属性DA（Data attribute） (7) 3.4 数据集：DOI /DAI的集合 (10) 3.5 报告控制块ReportControl： (11) 4 如何抓包 (12) 4.1 抓包工具 (12) 4.2 抓包方法 (12) 4.3 分析举例 (12) 5、MMS报文简析 (16) 5.1初始化相关 (16) 5.2报告相关 (21) 5.3录波相关 (29) 5.4控制相关 (32) 5.5定值相关 (35)

第一部分：模型文件基础 1、文件类型 IED（智能电子设备，指保护、测控等设备）应提供ICD文件，描述IED的能力及通信内容，如是否具有定值、压板、动作信号等。 系统集成工具把各IED的ICD文件集成并进行实例化如IED名、信息点描述等形成站级模型文件-SCD文件，供站级（包括监控、远动、故障信息主子站）应用。 IED从SCD文件中导出本IED相关部分形成CID文件，即实例化后的IED模型文件，供IED运行时用。 1.1 ICD/CID文件结构 -Header：历史版本信息等 -Communication：GOOSE配置等 -IED：定值、压板、动作信号等 -DataTypeTemplates ：对象类型定义 2模型验证 xmlSpy可做一些语法方面的验证。 四方61850客户端工具软件可作进一步验证。

报文分析

一、CDT报文分析 遥信EB90EB90EB90 71F4040101E1 F000000000F6 F10000000094 F20000000032 F30000000050 遥脉EB90EB90EB90 718506010113 A0000000000C A1000000006E A200000000C8 A300000000AA A40000000083 A500000000E1 遥测EB90EB90EB90 71610601012F 0000000000FF 040000000070 050000000012 0600000000B4 0700000000D6 0800000000E6 同步字控制字信息字1 …信息字n 同步字… EB90EB90EB90 同步字 71控制字 61帧类别（上行：61重要遥测（A帧）C2次要遥测（B帧）B3一般遥测（C帧）F4遥信状态（D1帧）85电能脉冲数值（D2帧）26事件顺序记录（E帧） 下行：61遥控选择C2遥控执行B3遥控撤消3D 复归命令） 04为后面的报文贞数 01源地址 01目标地址 2F校验码 00遥测点号即功能码（00~7F为遥测 F0~FF为遥信 A0～DF电能脉冲 E0遥控选择 E1遥控返校 E2遥控执行 E3遥控撤消8B复归命令） 00000000信息字即 为遥信时，代表从高到低八个位置（B7—B0） 为遥脉时，四个字节代表一个值 为遥测时，两个字节代表一个值 F6/0C/FF为校验码 遥控：主站：遥控命令》》》子站：遥控返校》》》主站：遥控执行命令》》》子站：执行 遥控选择：EB90EB90EB90 71610301012F E0CC00CC00FF E0CC00CC00FF E0CC00CC00FF 同步字控制字信息字（重复）信息字信息字 此三字内容相同 61遥控选择C2遥控执行B3遥控撤消 E0遥控选择：合/分（CCH/33H） E1遥控返校：合/分/错（CCH/33H/FFH） E2遥控执行：（AAH） E3遥控撤消：（55H） 规则：

常见报文分析

常见报文分析 前言：抓包工具的使用方法 Ethereal 工具的使用方法 1、 抓包设置页面 选择以太网卡 设置为实时刷新报文设置为是否滚动 设置一次抓包长度或抓包时间 设置抓包存储方式 2、 协议显示 MMS 报文 SNTP 建立以太网通讯时会发ARP 报文ping 报文 SV 、GOOSE 抓包时间

3、显示信息 报文序号 抓取该帧报文时刻，PC时间 该帧报文是谁发出的 该帧报文是发给谁的 协议类型--以太网类型码 报文长度 4、过滤机制 4.1 关键字段过滤 1）按目的MAC地址过滤 2）按源MAC地址过滤 3）按优先级过滤

4）按VLAN过滤 语法vlan.id == 210 5）按以太网类型码过滤 vlan.etype == 0x88b8 6）按APPID过滤 7）按GOOSE控制块过滤 语法：frame[30:9] == 80:07:67:6f:63:62:52:65:66 从该帧报文的第30个字节读取9个字节

8）其他字段的过滤类似不在一一举例 4.1 组合过滤 1）找到特征报文的起始点 找到自己关注GOOSE的APPID 根据GOOSE变位时sequencenumber会 变0的特性找到第一帧变位GOOSE 2）标注起始报文

注意报文编号：28、36 3）去掉过滤条件，在所有的原始报文中显示标注报文，能找到事件之间的时间关系 去掉过滤条件并Apply，在“28、 36”附近发生的事情一目了然 4）进一步优化时间显示 显示绝对时间 不含年、月、日绝对时间 以第一帧报文为计时起点 相对时间 以上一帧报文为计时起点 查看相邻两帧报文的间隔设置特征报文为计时参考点 过滤结果

101规约报文分析(对初学者不错)

101规约报文分析 一级数据应答报文解释： ①主站链路请求报文：10 49 01 4A 16 启动字符：10H 控制域： 49H --> 0100 1001 DIR（传输方向位）=0 PRM（启动报文位）=1 主站-->从站 FCB（帧计数位）=0 FCV（帧计数有效位）=0（无效） 功能码=9 召唤链路状态 链路地址域：01H 帧校验和：4AH （前面除启动字符外的所有字节的累加） 结束字符：16H ②从站链路请求响应报文：10 8B 01 8C 16 启动字符：10H

控制域： 8BH --> 1000 1011 DIR（传输方向位）=1 PRM（启动报文位）=0 从站-->主站 ACD（要求访问位）=0（无一级数据） DFC（数据位）=0（表示子站可以继续接收数据） 功能码=11 以链路状态或访问请求回答请求帧链路地址域：01H 帧校验和：8CH （前面除启动字符外的所有字节的累加） 结束字符：16H ③主站链路复位请求报文：10 40 01 41 16 启动字符：10H 控制域： 40H --> 0100 0000 DIR（传输方向位）=0 PRM（启动报文位）=1 主站-->从站 FCB（帧计数位）=0 FCV（帧计数有效位）=0（无效） 功能码=0 复位远方链路 链路地址域：01H 帧校验和：41H （前面除启动字符外的所有字节的累加） 结束字符：16H ④从站链路复位响应报文：10 80 01 81 16 启动字符：10H 控制域： 80H --> 1000 0000 DIR（传输方向位）=1 PRM（启动报文位）=0 从站-->主站 ACD（要求访问位）=0（无一级数据） DFC（数据位）=0（表示子站可以继续接收数据） 功能码=0 确认 链路地址域：01H 帧校验和：81H （前面除启动字符外的所有字节的累加） 结束字符：16H ⑤主站召唤2级数据报文：10 7B 01 7C 16 启动字符：10H 控制域： 7BH --> 0111 1011 DIR（传输方向位）=0 PRM（启动报文位）=1 主站-->从站 FCB（帧计数位）=1 FCV（帧计数有效位）=1（有效） 功能码=11 召唤用户2级数据 链路地址域：01H 帧校验和：7CH 结束字符：16H

CANOE基本操作_报文分析

CANoe基础功能及操作介绍 黎先辉 20200610

目录 1.概要 (3) 2.工程建立 (3) 2.1.CANoe功能概述 (3) 3.工程配置 (4) 3.1.硬件连接 (4) 3.2.通道配置 (5) 3.2.1.通道数量配置 (5) 3.2.2.通道匹配 (6) 3.3.加载DBC文件 (7) 4.报文监测及分析 (8) 4.1.数据来源设置 (8) 4.2.CAN Statistics窗口 (9) 4.3.Trace窗口 (9) 4.4.Graphics窗口 (10) 4.4.1.添加信号 (11) 4.4.2.常用工具 (11) 4.4.3.信号配置 (12) 4.5.Logging窗口 (14) 4.5.1.分包存储配置 (14) 4.5.2.长报文回放 (15)

1.概要 CANoe是Vector公司的针对汽车电子行业开发的专用工具，主要用于总线开发及测试、ECU开发及测试、报文分析及诊断等方面，贯穿从需求分析到系统实现的完整开发过程。CANoe丰富的功能和配置选项被OEM和供应商的网络设计工程师、开发工程师和测试工程师所广泛使用。 2.工程建立 首次打开软件需要建立一个CANoe工程，File→New→Default，弹出图2.1模板选择窗口，工程模版库中有很多模板，可根据自己的需求选择最相近的一个模板，也可以把自己习惯使用的模块保存为自定义模板，下图中的CanOffLine_Li模板就是我新建的，还可以在右下角添加描述，后续新建工程时可以直接选用。 CANoe的工程文件包含两个文件，建议单独建立文件夹，针对需要多次打开使用的工程，建议另存工程，可以避免重复配置或数据回放。 图2.1CANoe工程模板选择窗口 2.1.CANoe功能概述 CANoe功能很比较多，汽车电子常用到的功能基本都有，包括CAN报文分析、虚拟节点、测试、诊断等功能，详见图2.2。