goose报文分析

GOOSE报文详解

Goose报文在网络上传输时采用的是OSI模型，但只用到OSI网络模型七层中的四层，

应用层、表示层、数据链路层和物理层，传输层和网络层为空。应用层定义协议数据单元PDU，经过表示层编码后，不采用TCP/IP协议，而是直接映射到数据链路层和物理层。这

种映射方式的目的是避免通信堆栈造成传输延时，从而保证报文传输、处理的快速性。

GOOSE报文在MAC层的帧结构包括：源MAC地址、目的地址即组播地址、报文类型、四字节Tag、APPID、报文长度、四字节的保留和GOOSEPDU。Goose具体报文格式如图0 所示［0］。

图0 Goose报文格式

Goose举例报文（十六进制）：

01 0C CD 01 00 51 00 1E 4F D3 AE 41 81 00 80 42 88 B8 00 33 00 90 00 00 00 00 61 81 85 80

08 67 6F 63 62 52 65 66 31 81 05 00 00 00 27 10 82 07 64 61 74 53 65 74 31 83 05 67 6F 49 44 31 84 08 4E F2 85 E1 F7 CE D9 00 85 05 00 00 00 00 01 86 05 00 00 00 00 01 87 01 00 88 05 00 00 00 00 01 89 01 00 8A 05 00 00 00 00 09 AB 36 83 01 00 84 03 03 00 00 91 08 00 00 00 00 00 00 00 00 83 01 00 84 03 03 00 00 91 08 00 00 00 00 00 00 00 00 83 01 00 84 03 03 00 00 91 08

00 00 00 00 00 00 00 00

分析如下（可结合Ethereal解析）:

1、01 0C CD 01 00 51

目的MAC地址

2、00 1E 4F D3 AE 41

源MAC地址

3、81 00 80 42

GOOSE报文支持IEEE 802.1Q/P优先级技术，IEEE 802.1Q为VLAN 技术的标准，IEEE 802.1P为报文优先级标准。

这4个字节共同组成goose报文的tag位。Tag是有两个字节的TPID（标签协议标识）和2个字节的TCI（标签控制信息）组成。TPID配置为0x8100表示goose报文加入了优先级标识。TPID 和TCI组成如图1所示：

图1 : PID和TCI组成

TCI中12位VID , 1位CFI和3位Priority(优先级)。12位VID可以配置4096个VLAN，CFI 一般配置为0, 3位Priority可以分为8个优先级：其中只配置了0-4级，5、6、7及保留未来使用。

4、88 B8

以太网类型值

0x88 B8为goose, 0x88 B9为GSE，0x88 BA为采样值。如图3所示

5、00 33

APPID

两字节的最高两位对照图3解释。所以此处APPID=51(D)

6、00 90

长度=144(D)

长度字节数包含从APPID开始以太网PDU头和APDU(应用协议数据单元)的长度。长

度是8+m，m是APDU的长度，m<1492。

为什么是8+m ?这个8个字节分别是APPID 2个字节，长度2个字节，以及后面的保留1、保留2各两个字节。对应到本帧报文的8个字节为：00 33 00 90 00 00 00 00。

7、00 00 00 00

保留1、保留2。为将来的应用扩展使用，缺省值为0。

8、61 81 85

61850报文解析-深瑞版

61850报文解析说明 编写：陈林兴日期：2013年10月10日 本文档只涉及mms报文。 1.相关术语简介 IED：智能电子设备； icd：智能电子设备配置描述； SCD：变电站配置描述； cid：从SCD文件中导出与各自IED相关的内容形成文件，即实例化后的icd模型文件； SCL：变电站配置描述语言； AccessPoint：访问点； PHD：物理设备 LD：逻辑设备； LN：逻辑节点； FC：功能约束； FCD：功能约束数据； FCDA：功能约束数据属性； GOCB：GOOSE控制块； LLN0：逻辑节点0； SGCB：定值控制块； DO：数据对象； DA：数据属性。 2.icd/cid模型文件简介 2.1.模型文件结构 61850模型文件为树状层次：PHD（物理设备）→LD（逻辑设备）→LN（逻辑节点）→DO（数据对象）→DA（数据属性）。 图2-1-1 61850模型文件树状结构 SCL Header Communication IED

… 图2-1-2 icd 配置文件结构 图2-1-3 icd 配置文件结构示例 其中AccessPoint 下面包含S1（mms 服务）、G1（GOOSE 服务）、M1（SV 服务）访问点。以前的程序导入icd 时，需删除G1和M1访问点，目前PRS7000后台130801以后的程序，可过滤G1和M1访问点，无需删除。 2.2. i cd 模型文件内容与数据库信号的对应 2.2.1. 遥测信号 图2-2-1-1 7741导入icd 后遥测信号 遥测UC ，其mms 引用路径为：PRS7741/MEAS/MMXU1$MX$U$phsC$cVal$mag$f PRS7741：IEDName ； MEAS ：LDName ，MEAS 表示测量LD ； MMXU1：逻辑节点类LNClass+序号Inst ，MMXU 表示测量量数据； MX ：功能约束MX ； U$phsC ： DOName ，表示C 相电压； cVal$mag$f ：DAName 表示C 相电压幅值。 icd 中LD 下面数据集定义dataSet 的内容如图2-2-1-2： 图2-2-1-2 icd 遥测数据集定义 icd 中LN 下面实例化后的遥测数据内容如图2-2-1-3： 图2-2-1-3 遥测数据实例 LDevice2 LN1 LDevice1 LNn AccessPoint LN0 Authentication Server Services DataTypeTemplate LNodeType DOType DAType EnumType

实验一 数据报文分析 实验报告

实验一数据报文分析 物联10 查天翼41050051 一、实验目的 1.掌握网络分析原理 2.学习Wireshark协议分析软件的使用 3.加深对基本协议的理解 二、实验环境 机器代号：K053 IP地址：222.28.78.53 MAC地址：00-88-98-80-95-C2 三、实验结果 数据链路层（以太网）数据帧分析 3c e5 a6 b3 af c1 00 88 98 80 95 c2 08 00 3c e5 a6 b3 af c1：表示目的MAC(Hangzhou_b3:af:c1)地址 00 88 98 80 95 c2：表示本机MAC地址

08 00：表示数据类型，里面封装的是IP数据包 IP数据包分析 45 00 00 28 63 cd 40 00 80 06 19 1f de 1c 4e 35 77 4b da 46 45：高四位是4，表示此数据报是IPv4版本；低四位是5，表示首部长度，由于首部长度以4字节为单位，所以IP数据包的首部长度为20字节。 00：表示服务类型 00 28：表示数据包的总长度是40 63 cd：表示表示字段0x63cd(25549) 40 00：“40”高4位表示标志字段，低4位和第8个字节“00”组成片偏移字段。 80：表示生存时间 06：表示数据包的数据部分属于哪个协议，此值代表的协议是TCP协议。 19 1f：表示首部校验和 de 1c 4e 35：表示源IP地址222.28.78.53 77 4b da 46：表示目的IP地址119.75.218.70

07 a1 00 50 d7 c3 fb a4 5d 84 9a 2e 50 10 ff ff 5e e4 00 00 07 a1：表示源端口号1953 00 50：表示目的端口号80 d7 c3 fb a4：表示序号字段值430 5d 84 9a 2e：表示确认序号值3196 50：“50”的高4为位表示数据偏移字段值，该TCP报文数据偏移字段值是5，该字段表示报文首部的长度，以4字节为单位，所以该TCP报文的首部长度是20字节。 10：表示ACK=1，SYN=0 ff ff：表示窗口字段值是65535，即告诉发送端在没有收到确认之前所能发送最多的报文段的个数。 5e e4：表示校验和字段0x5ee4 00 00：表示紧急指针字段值

61850通讯过程：MMS制造报文系统和GOOSE报文

ZG电力自动化's Archiver cqtzj发表于 2007-11-28 12:32 61850通讯过程：MMS制造报文系统和GOOSE报文 欢迎大家来讨论ＭＭＳ的实现过程 MMS是一种实时通信机制，61850 MMS制造报文系统和GOOSE报文通讯是基于61850数字化变电站的通讯基础。 MMS标准即ISO/IEC9506标准,由ISOTC184和IEC共同负责管理。MMS的目的是为了规范工业领域具有通信能力的智能传感器、智能电子设备(IED)、智能控制设备的通信行为,使出自不同制造商的设备之间具有互操作性(interoperation),使系统集成变得简单、方便。MMS规范分为五部分即服务规范、通信协议、工业机器人通信规范、过程控制通信规范、数字控制通信规范。MMS的特点是通过使用MMS使工业系统具有互操作性和独立性。其中互操作性是制定MMS的初衷即为设备和应用定义一套标准通信机制,使其在此通信体制下具有高度互操作性。独立性是指MMS不同于很多只适用于特定产品的专用通信系统，它是一个通用的、独立于专用设备的国际标准体系即它为用户提供了一个独立于所完成功能的通用通信环境。MMS提供了通过网络进行对等(peer-to-peer)实时通信的一套服务集。MMS作为通用通信协议可以用于多种通用工业控制设备,如可编程控制器和工业机器人等。MMS可以支持多种通信方式,包括以太网、令牌总线、RS—232C、OSI、TCP/IP、MiniMAP等, MMS也可通过网桥、路由器或网关连接到其他系统上。在国外,MMS技术广泛用于工业过程控制、工业机器人等领域。目前，MMS在电力系统远动通信协议中的应用越来越广泛。国际电工委员会第57技术委员会(IECTC57)新近推出的IEC60870—6TASE.2系列标准定义了EMS和SCADA等电力控制中心之间的通信协议,该协议采用面向对象建模技术,其底层直接映射到MMS上。IEC61850作为IECTC57制订的关于变电站自动化系统计算机通信网络和系统的标准,采用分层、面向对象建模等多种新技术,其底层也直接映射到MMS上。MMS技术作为许多国际标准的基石。 1.对象建模：对一个实际设备进行抽象，利用面向对象思想理解设备的逻辑构成。参考7－2中进行抽象建模，提炼出设备所含有的逻辑节点，每个逻辑节点所含的参数、属性，找出逻辑节点之间数据流向。整个过程需要对设备有大概的了解，知道设备可以被抽象为哪几个逻辑节点组成，特别是数据流向问题，还有该设备可能和哪些其他设备发生数据关系。参考7－1找出该设备与其他设备发生交换的时候需要哪些ACSI服务。最终形成一张该设备的按IEC 61850思想获得的逻辑抽象参数表与逻辑数据流程图。参考设备的逻辑抽象参数表与逻辑数据流程图，根据MMS协议与8－1实现映射，将逻辑节点映射成MMS中的域，特别是设备涉及的ACSI服务，很大一部分其实转映射成MMS中的读写服务。根据映射关系得出MMS映射逻辑抽象参数表与MMS服务与ACSI服务对照表。根据MMS服务与ACSI服务对照表，准备一个XML文件作为MMS的配置文件，记录该设备的MMS服务以及参数. 2.将MMS开发分为三部分 MMS的环境管理服务 ASN.1编解码 面向连接的传递机制（考虑Socket）（RPC）850

61850模型分析

61850模型及MMS报文分析基础 2012-02 参考文档： 1．《数字化变电站调试总结-马玉龙》 2. 《IEC61850标准》《IEC61850实施规》

目录 1、文件类型 (4) 1.1 ICD/CID文件结构 (4) 2模型验证 (4) 3、IED配置 (5) 3.1 IED和LD(Logical Device)相关信息 (5) 3.2 逻辑节点LN （Logical Node） (6) 3.3数据DO（Data Object）及数据属性DA（Data attribute） (8) 3.4 数据集：DOI /DAI的集合 (11) 3.5 报告控制块ReportControl： (12) 4 如何抓包 (13) 4.1 抓包工具 (13) 4.2 抓包方法 (13) 4.3 分析举例 (13) 5、MMS报文简析 (17) 5.1初始化相关 (17) 5.2报告相关 (22) 5.3录波相关 (30) 5.4控制相关 (33) 5.5定值相关 (36)

第一部分：模型文件基础 1、文件类型 IED（智能电子设备，指保护、测控等设备）应提供ICD文件，描述IED的能力及通信容，如是否具有定值、压板、动作信号等。 系统集成工具把各IED的ICD文件集成并进行实例化如IED名、信息点描述等形成站级模型文件-SCD文件，供站级（包括监控、远动、故障信息主子站）应用。 IED从SCD文件中导出本IED相关部分形成CID文件，即实例化后的IED模型文件，供IED运行时用。1.1 ICD/CID文件结构 -Header：历史版本信息等 -Communication：GOOSE配置等 -IED：定值、压板、动作信号等 -DataTypeTemplates ：对象类型定义 2模型验证 xmlSpy可做一些语法方面的验证。 四方61850客户端工具软件可作进一步验证。

以太网报文分析

200810314021_陈道争 一、实验名称：以太网报文分析 二、实验内容： 1.Ethereal的基本操作。 2.截获以太网报文，并将报文保存到硬盘上。 3.打开截获的报文，并分析其中的某一条报文。 三、实验过程与步骤： 1.在Windows操作系统下安装软件Ethereal。 2选择“Capture”中的“Options”进行设置。 3.打开“IE浏览器”，输入任意一个网址，打开其中的一个网页。 4.Ethereal软件的界面中会出现很多条的报文。 5.选择“Stop the running live capture”。 四、报文分析： 1.选取No.180的一条HTTP报文，具体报文见“200810314021_陈道争.cap”，以下分析都是根据此报文，就不再附图了。 2.从应用的角度网络可以划分为物理层、链路层、网络层、传输层、应用层几个部分。以太网上的数据以报文的形式进行传递，每个报文由数据内容部分和各个层次的报文头部组成。 3.链路层： （1）以太网的链路层由14个字节的内容组成。 （2）前六个字节的内容表示报文的目标硬件地址（Destination MAC），本报文描述的是网关的MAC 地址，值是：00-0f-e2-77-8f-5e。 （3）接下来六个字节的内容表示报文的源硬件地址（Source MAC），本报文描述的是本机的MAC 地址，值是：00-23-7d-4d-16-55。 （4）接下来两个字节的内容表示网络层所使用协议的类型，本报文使用的是IP协议，IP协议的类型值是：0X0800。 4.网络层： （1）目前使用最广泛的网络层协议是IPv4协议。IPv4协议的头部由20个字节的内容组成。 （2）其中第一个字节的前四个位的内容表示IP协议使用的版本号，值是：4，表示本报文使用的是IPv4协议。 （3）后四位的内容表示报文头部的长度，值是：20bytes。 （4）接下来两个字节的内容表示总长度，是首部和数据之和的长度，值是：657，表示总长度是657字节。 （5）接下来两个字节的内容表示标识。本报文为0x261f。 （6）接下来两个字节的前三位的内容表示标志。本报文位010. （7）接下来一个字节的内容表示生存时间。本报文Time to live:128. （8）接下来一个字节的内容表示所使用的传输层的协议类型，值是：0x06，表示使用的是TCP协议，因为HTTP协议是基于TCP协议实现的。

MMS入门篇(一)------IEC61850简单理解

1.测试工具：采用IecClient进行逐项覆盖IEC61850库中的功能，尤其是我们使用到 的功能，如点击获取数据的值，或者设置数据的值使用mms_ethereal截包分析 2.针对性测试：针对IEC61850库的某些特殊功能，可以为其编写单独下位机程序和专 门的xml文件。这种测试需要wince的应用开发环境，以及对库功能和使用比较熟悉 3.IEC61850-MMS整体结构： (1) 和其他通信协议一样，IEC61850也可分为服务器和客户端两部分，服务器提供 对应的服务，客户端则请求服务 (2) 服务器和客户端的划分都只是逻辑上的，并不规定他们的物理位置，同一台设 备，可能既具务服务器的功能，又具务客户端的功能 (3) 服务器和客户端的通信也高度抽象，不规定服务具体怎样被调用的，只规定了 服务接口，接口的实现由系统决定(可以为USB、Ethernet、当服务器和客户端位于同一台机器上也可直接进行内存拷贝)当前大部分以Ehternet为主 4.IEC61850-MMS协议分层： (1) MMS位于ISO七层模型的应用层，其高度抽象，为了便于理解，我们可以将其 分为两层：ASCI层(Abstract Service Communication Interface)、MMS层(Manufacturing Message Specification) (2) ASCI(Abstract Service Communication Interface)层定义了系统的逻辑功能,如：一 个设备中有多少个逻辑设备、多少个逻辑节点，每个逻辑节点的属性以及其支持的服务。 (3) ASCI(Abstract Service Communication Interface)层不关心客户和服务器怎么通信， 只关心服务器有哪些功能可以调用，哪些数据属性可以获取，哪些节点可以控制 (4) MMS层(Manufacturing Message Specification)定义了从ASCI到具体网络通信的 映射 (5) MMS层(Manufacturing Message Specification)不规定通信网络类型，也不规定通 信帧的具体格式，只规定通信帧的功能，通信模式 (6) 如: MMS规定了一个通信帧需包含哪些内容，这些内容代表什么意义，而不规 定这些内容以什么数据形式在网络上体现，因此可以采用不同的数据格式在各种网络上实现，但是服务和客户端要使用同样的数据格式和网络类型 5.IEC61850通信模型 (1) IEC61850通信报文由以下6类报文组成：类型1(快速报文)、类型1A(跳闸报文)、 类型2(中等速度报文)、类型3(低速报文)、类型4(原始数据报文)、类型5(文件传输功能)、类型6(时间同步报文) (2) 不同类型的报文由于其属性(如：数据量、重要性、实时性)不同而使用不同的传 输模式 (3) 1和1A类报文由于其实时性要求高所以被映射为专门的以太网类型 (4) 2、3、5类型报文则使用一般的TCP/IP协议 (5) 类型6报文由于其数据量大、实时性要求不高，可以和2、3、5报文区分开来 (6) 此外IEC61850中还采用了其他非标准协议，如用于时间同步的SNTP协议 (7) IEC61850采用的协议分类如下: 采样值(组播) --- SMV(IEC61850-9-2)、通用变电 站事件--- GOOSE、时间同步--- SNTP、核心ACSI服务--- MMS Protocol Sutie、通用变站状态事件--- GSSE

sv goose报文解析

一，SV报文解析 SV报文在网络上传输时采用的是OSI模型，但只用到OSI网络模型七层中的四层，应用层、表示层、数据链路层和物理层，传输层和网络层为空。应用层定义协议数据单元PDU，经过表示层编码后，不采用TCP/IP协议，而是直接映射到数据链路层和物理层。 这种映射方式的目的是避免通信堆栈造成传输延时，从而保证报文传输、处理的快速性。 SV报文在MAC层的帧结构包括：源MAC地址、目的地址即组播地址、报文类型、四字节Tag、APPID、报文长度、四字节的保留和APDU。 SV的帧格式见下表： SV的APDU报文格式见下表

一帧SV报文： 01 0C CD 04 00 0200 C0 00 00 40 0288 BA40 0200 F2 00 00 00 0060 81 E7 80 01 01 A2 81 E1 30 81 DE 80 14 4D 4C 31 31 30 32 4D 55 2F 4C 4C 4E 30 2E 73 6D 76 63 62 30 82 02 07 F283 04 00 00 00 0185 01 0087 81 B8 00 00 05 DC 00 00 00 00 FF FF E1 A1 00 00 00 00 FF FF E1 A1 00 00 00 00 FF FF EB C1 00 00 00 00 00 00 0A 1F 00 00 00 00 FF FF F5 E1 00 00 00 00 00 00 00 00 00 00 00 00 FF FF EB C1 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 FF FF FF 99 00 00 00 00 FF FF FE CA 00 00 00 00 FF FF E9 BF 00 00 00 00 FF FF F1 2A 00 00 00 00 FF FF D7 34 00 00 00 00 FF FF F1 2A 00 00 00 00 00 00 00 00 00 00 00 00 FF FF E2 54 00 00 00 00 FF FF E9 BF 00 00 00 00 FF FF FC 4B 00 00 00 00 FF FF DA E9 00 00 00 00 解析： 01 0C CD 04 00 02 00 C0 00 00 40 02 目的MAC和源MAC 88 BA网路数据类型，9-2报文

IEC104规约报文分析(104报文解释的比较好的文本)

IEC104规约调试小结 一、四遥信息体基地址范围 “可设置104调度规约”有1997年和2002年两个版本，在流程上没有什么变化，02 此配置要根据主站来定，有的主站可能设为1，1，2，我们要改与主站一致。 三、以公共地址字节数=2，传输原因字节数=2，信息体地址字节数=3为例对一些基本的报 文分析 第一步：首次握手（U帧） 发送→激活传输启动：68（启动符）04（长度）07（控制域）00 00 00 接收→确认激活传输启动：68（启动符）04（长度）0B（控制域）00 00 00 第二步：总召唤（I帧） 召唤YC、YX（可变长I帧）初始化后定时发送总召唤，每次总召唤的间隔时间一般设为15分钟召唤一次，不同的主站系统设置不同。 发送→总召唤： 68（启动符）0E（长度）00 00（发送序号）00 00（接收序号）64（类型标示）01（可变结构限定词）06 00（传输原因）01 00（公共地址即RTU地址）00 00 00（信息体地址）14（区分是总召唤还是分组召唤，02年修改后的规约中没有分组召唤） 接收→S帧： 注意：记录接收到的长帧，双方可以按频率发送，比如接收8帧I帧回答一帧S帧，也可以要求接收1帧I帧就应答1帧S帧。 6804 01 00 02 00 接收→总召唤确认（发送帧的镜像，除传送原因不同）： 68（启动符）0E（长度）00 00（发送序号）00 00（接收序号）64（类型标示）01（可变结构限定词）07 00（传输原因）01 00（公共地址即RTU地址）00 00 00（信息体地址）14（同上） 发送→S帧： 注意：记录接收到的长帧，双方可以按频率发送，比如接收8帧I帧回答一帧S帧，也可以要求接收1帧I帧就应答1帧S帧。 68 04 01 00 02 00

61850典型报文解析说明

61850典型报文解析说明 编写：欧灶军 1 平台 现利用ethereal报文抓捕工具抓取部分典型报文解析说明。 1.1报告类 COS 61850报告服务，是一项非常重要的ACSI服务，它通过SCSM映射为MMS协议中的InformationReport服务，我们在调试过程中通过捕包工具得到的61850报告报文，都是经过ASN.1编码后的InformationReport数据。 建好数据库，连接好装置后，启动SCADA服务器，并用ethereal抓报文，根据报告格式进行解析。例如抓到的SOE报告ID号为BR03_brcbSOE01，其中03与模板中定义的各种报告类型有关，例如在我使用的装置模板中这么定义的：brcbREC、brcbCHK、brcbSOE分别为BR01、BR02、BR03，01表示该报告已经实例化。由于InformationReport各成员的数据类型是确定的，根据ASN.1编码规则，各数据编码后的数据也是确定的： RptID编码后数据为：8a XX XX … XX； OptFlds编码后数据为：84 03 07 XX X0； SqNum编码后数据为：86 XX XX … XX； TimeOfEntry编码后数据为：8C 06 XX XX XX XX XX XX； DataSet编码后数据为：8a XX XX … XX； BufOvfl编码后数据为：83 01 XX； EntryID编码后数据为：89 XX XX … XX； ConfRev编码后数据为：86 XX XX … XX； SubSeqNum编码后数据为：86 XX XX … XX； MoreSegmentFollow编码后数据为：83 01 XX； Inclusion-bitstring编码后数据为：84 XX … XX； Data-Reference编码后数据为：8a XX … XX； Value取决于具体数据类型； ReasonCode编码后数据为：84 XX … XX； 下面以SOE报文为例，说明整个报告的含义，报文如下： 8a 0e 42 52 30 33 5f 62 72 63 62 53 4f 45 30 31 (RptID) 84 03 07 11 80(OptFlds) 89 08 00 00 00 00 00 00 00 20 (EntryID) 86 01 01 (ConfRev) 84 06 05 80 00 00 10 00 (Inclusion-bitstring) a2 12 83 01 01 84 03 03 00 00 91 08 49 f9 70 02 02 d0 e5 8a a2 13 84 02 06 40 84 03 03 00 00 91 08 49 f9 70 02 05 1e b8 8a （Values,共2个）

报文分析

Arp报文分析： Arp 报文格式:三层：Frame、Ethernet、Address Resolution Protocol 协议类型：IP 先在ＤＯＣ命令窗口下：ping 10.16.134.66 网关的ARP： Arp请求： Arp应答： 目的主机： Arp请求： Arp响应：

分析： 当主机10.16.134.62向主机10.16.134.66发送时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到目标IP地址，主机A就会在网络上发送一个广播，此时，主机A发送的帧包含:sender MAC address( 本机的ＭＡＣ地址)，sender IP address(本机IP地址)，目标主机B的target MAC address(全部为空)target IP address(目标主机的IP地址)。这表示向同一网段内的所有主机发出这样的询问：“我是10.16.134.62，我的MAC是"c8:3a:35:d3:cf:41".请问IP地址为10.16.134.66的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“10.16.134.66的MAC地址是c8:3a:35:d3:77:1d”。这样，主机A就知道了主机B的MAC 地址，它就可以向主机B发送信息了。同时A和B还同时都更新了自己的ARP缓存表（因为A在询问的时候把自己的IP和MAC地址一起告诉了B），下次A再向主机B或者B向A发送信息时，直接从各自的ARP缓存表里查找就可以了。 ARP缓存表采用了老化机制（即设置了生存时间TTL），在一段时间内（一般15到20分钟）如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 (注：此时arp缓存表中已经删除了10.16.134.66 的MAC 地址) TCP报文分析：

学会看报文二GOOSE

所谓的GOOSE就是通用面向对象的变电站事件（Generic Object Oriented Substation Event）。当发生任何状态变化时，智能电子设备将借助变化报告，高速多播一个二进制对象通用面向变电站事件对象（GOOSE）报告，该报告一般包含有：状态输入、起动和输出元件、继电器等实际和虚拟的每一个双点命令状态。 在第一次报告后，该报告一般以间隔2，4，8……60,000ms顺序重发。（第一重发延时不固定，可长可短）。 面向变电站通用事件对象报告允许高速传输跳闸信号，具有高传输成功概率 DL/T860.5所定义的报文类型和性能分类按照图1所示进行映射。 -类型1（快速报文） -类型1A（跳闸报文） -类型2（中速报文） -类型3（低速报文） -类型4（原始数据报文） -类型5（文件传输功能） -类型6（时间同步报文） 而为了变电站得变为信息能够快速的传递，及跳闸报文嫩够及时快速的传送给ICU（智能控制单元）所以GOOSE报文选用了类型1和类型1A的报文。 GOOSE报文的数据目的地址（对应下图的Destination）应包括一个多播MAC地址。GOOSE 报文的数据源地址（Source）应包括一个单播MAC地址。

因为电脑网卡的问题，V-lan优先级（PRIORITY）和V-lan的VID无法显示。所以报文一般只能看到目的MAC和APPID. GOOSE GOOSE标识 该可视串最大长度为65字节。该值与被GOOSE控制引用指定的GOOSE控制块的数值相同。 GOOSE控制引用control block reference 表示GOOSE数据的控制块路径

IEC61850模型建模及MMS报文分析

IEC61850模型建模及MMS报文分析

2012-02 参考文档： 1．《数字化变电站调试总结-马玉龙》 2. 《IEC61850标准》《IEC61850实施规范》

目录 1、文件类型4 1.1 ICD/CID文件结构4 2模型验证4 3、IED配置4 3.1 IED和LD(Logical Device)有关信息 4 3.2 逻辑节点LN （Logical Node）5 3.3数据DO（Data Object）及数据属性DA（Data attribute）6 3.4 数据集：DOI /DAI的集合7 3.5 报告操纵块ReportControl：7 4 如何抓包8 4.1 抓包工具8 4.2 抓包方法8 4.3 分析举例9 5、MMS报文简析11 5.1初始化有关11 5.2报告有关13 5.3录波有关16 5.4操纵有关17 5.5定值有关18

第一部分：模型文件基础 1、文件类型 IED （智能电子设备，指爱护、测控等设备）应提供ICD 文件，描述I ED 的能力及通信内容，如是否具有定值、压板、动作信号等。 系统集成工具把各IED 的ICD 文件集成并进行实例化如IED 名、信息点描述等形成站级模型文件-SCD 文件，供站级（包括监控、远动、故障信息主子站）应用。 IED 从SCD 文件中导出本IED 有关部分形成CID 文件，即实例化后的IED 模型文件，供IED 运行时用。 1.1 ICD/CID 文件结构 -Header ：历史版本信息等 -Communication ：GOOSE 配置等 -IED ：定值、压板、动作信号等 -DataTypeTemplates ：对象类型定义 2模型验证 xmlSpy 可做一些语法方面的验证。 四方61850客户端工具软件可作进一步验证。 3、IED 配置 IEC61850模型总体-模型的分析Physical Device (network address)Logical Device MMXU1 MMXU3 DO DA Logical Nodes DA DO DA DO DA MMXU2 DO DA DA 注：本部分示例大部分取自培训资料包中的CSC326DES1.cid 。 3.1 IED 和LD(Logical Device)有关信息 icd 文件中的IED 名一样为Template cid 文件中的IED 名必须和子系统的csscfg.ini 配置一致 每个IED 包含1-n 个LDevice ，每个LD 包含1个LN0和几个LN 关于四方IED 的模型文件中有两个私有配置，当模型较大（cid 超过1M ）装置可能无法正确启动，需要把这两个参数改大，CSC 高压爱护MST 61850库版本v3.40以后在串口输出中有提示信息。

MQTT协议14种报文分析.docx

MQTT协议14种报文分析 实习报告 课程名称: _____ 实习题目: ___________________ 专业班级: _____________学生姓名: __________ 学号: ___________实习成绩: 指导教师签名：年月日

[-c config file] 指定的配置文件中的端口 -v 代码调试模式（verbose）可以输出更多的信息 2.MQTT客户端Eclipse Paho MQTT （1）下载解压缩后，双击paho.exe，打开后的对界面如下 （2）点击上图中的十字图标，就能新建一个MQTT的客户端的连接，输入正确的MQTT服务端的连接地址， （3）这个时候我们就能订阅消息了。选择“Subscription”下方的绿色十字图标，就可以输入订阅的主题（topic）的名字，比如我们设置主题名称为“test”，并点击“Subscribe”按钮 （4）往MQTT服务发送一条某一主题的MQTT消息。然后点击“Publish”按钮，这个时候，我们就能看到消息已经发送成功，且在步骤（3）订阅的同一主题也收到了消息。 3.安装和使用协议分析软件wireshark （1）安装WiresharkPortable_2.2.1.paf.exe （2）捕获MQTT协议报文 （3）在Wireshark中，分为capture filter和Display Filer，我们只需要在WireShark 软件中的capture filter 输入下面的过滤条件，则与MQTT服务交互的相关TCP 的数据包就能抓取到。如下图所示意.

这个时候，我们先启动WireShark，然后点击Eclipse Paho MQTT工具的“Connect”，这个时候WireShark就能抓取下面的TCP数据包。 2.2 主要实验步骤 操作：按照“MQTT-3.1.1-CN”文档各种报文的实现方法依次实现，抓包结果截图，结合参考文档分析实验结果。 结果：如下各图所示 14种报文分析说明具体如下： 1.CONNECT –连接服务端

61850GOOSE报文分析

01 0C CD 01 00 04 44 4D 35 30 30 30 88 B8 10 04 01 18 00 00 00 00 61 82 01 0C 80 1A 50 52 53 2D 37 33 39 35 52 50 49 54 2F 4C 4C 4E 30 24 47 4F 24 67 6F 63 62 31 81 04 00 00 27 10 82 1A 50 52 53 2D 37 33 39 35 52 50 49 54 2F 4C 4C 4E 30 24 64 73 47 4F 4F 53 45 31 83 1A 54 45 4D 50 4C 41 54 45 52 50 49 54 2F 4C 4C 4E 30 24 47 4F 24 67 6F 63 62 31 84 08 00 00 0A 2B AF 4B 15 00 85 04 00 00 00 02 86 04 00 00 00 00 87 01 00 88 04 00 00 00 00 89 01 2C 8A 04 00 00 00 2D AB 81 87 83 01 01 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 80 1A 50 52 53 2D 37 33 39 35 52 50 49 54 2F 4C 4C 4E 30 24 47 4F 24 67 6F 63 62 31 GOOSE Control ReFerence字符串=PRS-7395RPIT/LLN0$GO$gocb1。代表这个包的控制块的名字。 281 04 00 00 27 10 Time Allowed to Live(报文存活时间，单位ms) =10000ms。 00 00 27 10转成10进制为10000，即10s。 GOOSE接收方的中断时间一般定为大于2* timeAllowedtoLive即报GOOSE中断告警。由于GOOSE报文的重要性，即使外部状态不再变换，也应重发。此参数提示订阅者等待下一报文到来的最长时间。当等待时间大于timeAllowedtoLive 值仍未收到有效报文时，订阅者认为通信联系失去，采用预先定义的默认值取代。我们就可以理解为持机等待时间。 82 1A 50 52 53 2D 37 33 39 35 52 50 49 54 2F 4C 4C 4E 30 24 64 73 47 4F 4F 53 45 31 DataSet字符串=PRS-7395RPIT/LLN0$dsGOOSE1。是指这个包所在的数据集。 83 1A 54 45 4D 50 4C 41 54 45 52 50 49 54 2F 4C 4C 4E 30 24 47 4F 24 67 6F 63 62 31 GOID字符串=TEMPLATERPIT/LLN0$GO$gocb1。 584 08 00 00 0A 2B AF 4B 15 00 t，StNum加1时的时间=1970-01-01 08:43:23.684739 Tq: 00，GOOSE报文产生时的时标。通常作为驱动事件的发生时标(若有特殊要求，驱动事件的发生时标可另外包含在数据集中)。 85 04 00 00 00 02 86 04 00 00 00 00 StNum值 85 04 00 00 00 02=2。SqNum 值 86 04 00 00 00 00=0。装置发送方：数据集成员值发生变化发送GOOSE报文时该序号StNum+1，SqNum=0。数据集成员值未变化时StNum不变，SqNum+1。上电第1帧时StNum=1，SqNum=1。StNum、SqNum加到最大值时都从1开始。 87 01 00 test位=0，即使检修位为0，本装置没有投入检修硬压板。当装置检

IEC61850数据包分析

I E C61850 数 据 包 分 析

前言 (3) 1. 工具简介 (4) 1.1 抓包工具 (4) 1.2 抓包方法 (4) 1.3 分析举例 (4) 1.4 启动步骤 (6) 2. GOOSE报文分析 (9) 3. 9-2采样报文分析 (10) 4. MMS报文分析 (12) 4.1. 初始化 (12) 4.2. 后台读装置模型、以及装置的回答 (13) 4.3. 报告控制块使能 (14) 4.4. 监控后台或主站向装置写参数 (15) 4.5. 测试心跳连接的报文 (15) 4.6. 总召唤 (16) 4.7. 装置上送总召的遥测数据 (17) 4.8. 装置上送总召的遥信数据 (18) 4.9. 变位遥信上送： (19) 4.10. 遥测报文 (20) 4.11. 遥脉报文 (21) 4.12. 保护动作信号 (22) 4.13. 读波形文件列表 (24) 4.14. 调定值 (26) 4.15. 修改定值 (28) 4.16. 遥控压板 (35) 4.17. 遥控开关 (38) 附录1：IEC61850的GOOSE报文的帧格式： (41) 附录2：IEDsout使用注意事项 (44) 附录3：触发选项的规定 (44)

前言 随着IEC 61850变电站的增多，现场调试人员会越来越感到调试工具的匮乏，往往出现问题不能从根源上找原因，分析定位也无从下手。本文旨在采用mms ethereal抓包工具，从报文层面分析各种IEC 61850数据包，帮助大家解决一些实际问题。 有什么好的建议和想法请发邮件到duanyunxin@https://www.wendangku.net/doc/b22155073.html,。 段运鑫 2011年6月

模型及MMS报文分析

6 1 8 5 0 模型及M M S 报文分析基础 2012-02 参考文档： 1 ．《数字化变电站调试总结 -马玉龙》 2.《 IEC61850 标准》《 IEC61850 实施规范》

1文件类型............................... 1.1ICD/CID文件结构 .......................................................... 2模型验证............................... 3、IED配置.............................. 3.1IED和LD(Logical Device相关信息 .......................................... 3.2逻辑节点LN (Logical Node) ............................................... 3.3数据DO( Data Object)及数据属性DA( Data attribute) ........................ 3.4数据集：DOI /DAI的集合.................................................... 3.5 报告控制块ReportControl: .................................................. 4如何抓包............................... 4.1抓包工具............................................................... 4.2抓包方法............................................................... 4.3分析举例............................................................... 5、MMS艮文简析............................. 5.1初始化相关............................................................... 5.2报告相关................................................................. 5.3录波相关................................................................. 5.4控制相关................................................................. 5.5定值相关.................................................................

OSPF报文格式分析

OSPF的报文格式 OSPF报文直接封装为IP报文协议报文，协议号为89。一个比较完整的OSPF报文（以LSU报文为例）结构如图8所示。 1. OSPF报文头 OSPF有五种报文类型，它们有相同的报文头。如图9所示。 主要字段的解释如下： ●????????????? Version：OSPF的版本号。对于OSPFv2来说，其值为2。 ●????????????? Type：OSPF报文的类型。数值从1到5，分别对应Hello报文、DD报文、LSR报文、L SU报文和LSAck报文。 ●????????????? Packet length：OSPF报文的总长度，包括报文头在内，单位为字节。 ●????????????? Router ID：始发该LSA的路由器的ID。 ●????????????? Area ID：始发LSA的路由器所在的区域ID。 ●????????????? Checksum：对整个报文的校验和。 ●????????????? AuType：验证类型。可分为不验证、简单（明文）口令验证和MD5验证，其值分别为0、 1、2。 ●????????????? Authentication：其数值根据验证类型而定。当验证类型为0时未作定义，为1时此字段为密码信息，类型为2时此字段包括Key ID、MD5验证数据长度和序列号的信息。 说明： MD5验证数据添加在OSPF报文后面，不包含在Authenticaiton字段中。 2. Hello报文（Hello Packet） 最常用的一种报文，周期性的发送给邻居路由器用来维持邻居关系以及DR/BDR的选举，内容包括一些定时器的数值、DR、BDR以及自己已知的邻居。Hello报文格式如图10所示。