.sv goose报文解析

一，S V报文解析SV报文在网络上传输时采用的是OSI模型，但只用到OSI网络模型七层中的四层，应用层、表示层、数据链路层和物理层，传输层和网络层为空。应用层定义协议数据单元PDU，经过表示层编码后，不采用TCP/IP协议，而是直接映射到数据链路层和物理层。

这种映射方式的目的是避免通信堆栈造成传输延时，从而保证报文传输、处理的快速性。

SV报文在MAC层的帧结构包括：源MAC地址、目的地址即组播地址、报文类型、四字节Tag、APPID、报文长度、四字节的保留和APDU。

SV的帧格式见下表：

SV的APDU报文格式见下表

一帧SV报文：

010CCD04000200C00000400288BA400200F2000000006081 E7800101A281E13081DE80144D4C313130324D552F4C4C4E 302E736D76636230820207F28304000000018501008781B8 000005DC00000000FFFFE1A100000000FFFFE1A100000000 FFFFEBC10000000000000A1F00000000FFFFF5E100000000 0000000000000000FFFFEBC1000000000000000000000000 000000000000000000000000000000000000000000000000 FFFFFF9900000000FFFFFECA00000000FFFFE9BF00000000 FFFFF12A00000000FFFFD73400000000FFFFF12A00000000 0000000000000000FFFFE25400000000FFFFE9BF00000000 FFFFFC4B00000000FFFFDAE900000000

解析：

010CCD04000200C000004002目的MAC和源MAC 88BA网路数据类型，9-2报文

4002appid

00F2Length，从appid开始的报文长度

00000000保留字节

后面是SV报文的APDU

6081E7标记60H，(81，不定长，长度超过127字节)长度E7

800101标记80，长度=01，ASDU数目=01

A281E1标记A2（编码格式），长度E1

3081DE标记30（编码格式），长度DE

80144D4C313130324D552F4C4C4E302E736D76636230标记80SVID字符串820207F2标记82，长度=02，采样计数器07F2=2034 830400000001标记83，配置版本号

850100标记85，长度=01，同步标志，00为没有同步

8781B8标记87，长度B8=184，共23个数据

后面是每个通道值和品质

000005DC00000000

FFFFE1A100000000

FFFFE1A100000000

FFFFEBC100000000

00000A1F00000000

FFFFF5E100000000

0000000000000000

FFFFEBC100000000

0000000000000000

0000000000000000

0000000000000000

0000000000000000

FFFFFF9900000000

FFFFFECA00000000

FFFFE9BF00000000

FFFFF12A00000000

FFFFD73400000000

FFFFF12A00000000

0000000000000000

FFFFE25400000000

FFFFE9BF00000000

FFFFFC4B00000000

FFFFDAE900000000

二，GOOSE报文解析

GOOSE报文在MAC层的帧结构包括：源MAC地址、目的地址即组播地址、报文类型、四字节Tag、APPID、报文长度、四字节的保留和APDU。

GOOSE的帧格式见下表：

GOOSE的APDU报文格式见下表

一帧GOOSE报文：

010ccd0100200010000010208100c000

88b8102000b1000000006181a6801850

4c32323031415049312f4c4c4e302447

4f24676f636230810227108218504c32 323031415049312f4c4c4e3024647347

4f4f5345308315504c32323031415049

312f4c4c4e302e676f6362308408592f

12b63ba5b10a85010386010087010088 010********a0113ab39830101830100 83010083010083010083010083010083 01008301008301008301008301008301 00830100830100830100830100830100

830101

报文解析

010ccd010020001000001020目的Mac和源Mac

8100c000Priority

88b8GOOSE报文

1020appid

00000000保留字节

6181a6标记61

8018504c32323031415049312f4c4c4e3024474f24676f636230标记80H 81022710标记81H，长度02，t=2710

8218504c32323031415049312f4c4c4e30246473474f4f534530标记82H 8315504c32323031415049312f4c4c4e302e676f636230标记83H 8408592f12b63ba5b10a标记84H，字节08，后面是时间

850103标记85，长度01，StNum=03

860100标记86H，长度01，SqNum=00

870100标记87H，长度01，test=00

880101标记88H，长度01，版本号01

890100标记89H，长度01，false

8a0113标记8aH，长度01,数据个数=13

ab39标记abH，长度39（字节数）

后面是数据值830101830100830100830100830100830100830100830100830100 830100830100830100830100830100830100830100830100830100 830101

http协议请求响应报文格式及状态码详解

HTTP协议报文格式 HTTP协议（Hypertext Transfer Protocol――超文本传输协议）浏览器端（客户端）向WEB 服务器端访问页面的过程和HTTP协议报文的格式。 基于HTTP协议的客户机访问包括4个过程，分别是建立TCP套接字连接、发送HTTP请求报文、接收HTTP应答报文和关闭TCP套接字连接： 1. 创建TCP套接字连接 客户端与WEB服务器创建TCP套接字连接，其中WEB端服务器的地址可以通过域名解析确定，WEB端的套接字侦听端口一般是80。 2. 发送HTTP请求报文 客户端向WEB服务端发送请求报文，HTTP协议的请求报文格式为： 请求消息= 请求行（实体头信息）CRLF[实体内容] 请求行= 方法URL HTTP版本号CRLF 方法= GET|HEAD|POST|扩展方法 URL = 协议名称＋宿主名＋目录与文件名 其中"CRLF"表示回车换行。 "请求行"中的"方法"描述了对指定资源执行的动作，常用的方法"GET"、"HEAD"和"POST"等3种，它们的含义如表15-8所示： 请求报文 一个HTTP请求报文由请求行（request line）、请求头部（header）、空行和请求数据4个部分组成，下图给出了请求报文的一般格式。 （1）请求行 请求行由请求方法字段、URL字段和HTTP协议版本字段3个字段组成，它们用空格分隔。例如，GET /index.html HTTP/1.1。 HTTP协议的请求方法有GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT。这里介绍最常用的GET方法和POST方法。 GET：当客户端要从服务器中读取文档时，使用GET方法。GET方法要求服务器将URL定位的资源放在响应报文的数据部分，回送给客户端。使用GET方法时，请求参数和对应的值附加在URL后面，利用一个问号（“?”）代表URL的结尾 与请求参数的开始，传递参数长度受限制。例如，/index.jsp?id=100&op=bind。POST：当客户端给服务器提供信息较多时可以使用POST方法。POST方法将请求参数封装在HTTP请求数据中，以名称/值的形式出现，可以传输大量数据。 表15-8 HTTP请求方法

103报文详细解析

103规约转出软件实验报告(改进版) 1、初始化 ●主站发: 10 40 04 44 16 目的：给地址为04的装置发复位通信单元命令。 10 //固定帧长起始字符 40 //控制域 04 // 44 16 子站回答：10 20 04 24 16 目的： ACD位置1，表明子站向主站请求1级数据上送。 ●主站发: 10 7a 04 7e 16 目的：向地址为04的装置发请求1级数据命令。 子站回答：68 15 15 68 28 04 05 81 04 04 b2 03 03 c4 cf c8 f0 bc cc b1 a3 01 00 01 00 9b 16 (ASDU5,CON=28，COT=4) 68 //启动字符 15 //报文长度 15 //报文长度 68 //启动字符 //控制域, 地址域, 类型标识, 可变结构限定词, 传送原因, 公共地址 28 04 05 81 04 04 //功能类型,信息序号, 兼容级别,8个ASCII b2 03 03 c4 cf c8 f0 bc cc b1 a3 //4个自由赋值 01 00 01 00 /////////////////////////////////////////////////// //连路用户数据 9b //校验和 16 //结束字符 (ASDU5,CON=28，COT=4) 80 00 目的：子站以ASDU5（复位通信单元）响应主站的召唤。并ACD位置1，表明子站继续向主站请求1级数据上送。 ●主站发：10 5a 04 5e 16 目的：向地址为04的装置发请求1级数据命令。 子站回答：68 15 15 68 08 04 05 81 05 04 b2 04 03 c4 cf c8 f0 bc cc b1 a3 01 00 01 00 7d 16 (ASDU5,CON = 08，COT=5)

sv goose报文解析

一，SV报文解析 SV报文在网络上传输时采用的是OSI模型，但只用到OSI网络模型七层中的四层，应用层、表示层、数据链路层和物理层，传输层和网络层为空。应用层定义协议数据单元PDU，经过表示层编码后，不采用TCP/IP协议，而是直接映射到数据链路层和物理层。 这种映射方式的目的是避免通信堆栈造成传输延时，从而保证报文传输、处理的快速性。 SV报文在MAC层的帧结构包括：源MAC地址、目的地址即组播地址、报文类型、四字节Tag、APPID、报文长度、四字节的保留和APDU。 SV的帧格式见下表： SV的APDU报文格式见下表

一帧SV报文： 01 0C CD 04 00 0200 C0 00 00 40 0288 BA40 0200 F2 00 00 00 0060 81 E7 80 01 01 A2 81 E1 30 81 DE 80 14 4D 4C 31 31 30 32 4D 55 2F 4C 4C 4E 30 2E 73 6D 76 63 62 30 82 02 07 F283 04 00 00 00 0185 01 0087 81 B8 00 00 05 DC 00 00 00 00 FF FF E1 A1 00 00 00 00 FF FF E1 A1 00 00 00 00 FF FF EB C1 00 00 00 00 00 00 0A 1F 00 00 00 00 FF FF F5 E1 00 00 00 00 00 00 00 00 00 00 00 00 FF FF EB C1 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 FF FF FF 99 00 00 00 00 FF FF FE CA 00 00 00 00 FF FF E9 BF 00 00 00 00 FF FF F1 2A 00 00 00 00 FF FF D7 34 00 00 00 00 FF FF F1 2A 00 00 00 00 00 00 00 00 00 00 00 00 FF FF E2 54 00 00 00 00 FF FF E9 BF 00 00 00 00 FF FF FC 4B 00 00 00 00 FF FF DA E9 00 00 00 00 解析： 01 0C CD 04 00 02 00 C0 00 00 40 02 目的MAC和源MAC 88 BA网路数据类型，9-2报文

常用http响应报文分析

一、HTTP响应码由三位十进制数字组成，它们出现在由HTTP服务器发送的响应的第一行。 响应码分五种类型，由它们的第一位数字表示： 1xx： 信息，请求收到，继续处理 2xx： 成功，行为被成功地接受、理解和采纳 3xx： 重定向，为了完成请求，必须进一步执行的动作 4xx： 客户端错误，请求包含语法错误或者请求无法实现 5xx： 服务器错误，服务器不能实现一种明显无效的请求 下表显示每个响应码及其含义： 100继续 101分组交换协 200 OK 201被创建 202被采纳 203非授权信息 204无内容

205重置内容206部分内容300多选项 301永久地传送302找到 303参见其他304未改动 305使用代理307暂时重定向400错误请求401未授权 402要求付费403禁止 404未找到 405不允许的方法406不被采纳407要求代理授权408请求超时409冲突 410过期的 411要求的xx

412前提不成立 413请求实例太大 414请求URIxx 415不支持的媒体类型 416无法满足的请求范围 417失败的预期 500内部服务器错误 501未被使用 502网关错误 503不可用的服务 504网关超时 505 HTTP版本未被支持 二、HTTP头标由主键/值对组成。它们描述客户端或者服务器的属性、被传输的资源以及应该实现连接。 四种不同类型的头标： 1.通用头标： 即可用于请求，也可用于响应，是作为一个整体而不是特定资源与事务相关联。 2.请求头标： 允许客户端传递关于自身的信息和希望的响应形式。 3.响应头标：

服务器和于传递自身信息的响应。 4.实体头标： 定义被传送资源的信息。即可用于请求，也可用于响应。 头标格式： : 下表描述在HTTP/ 1."1xx用到的头标 Accept定义客户端可以处理的媒体类型，按优先级排序；在一个以逗号为分隔的列表中，可以定义多种类型和使用通配符。例如： Accept: image/jpeg,image/png,*/*Accept-Charset定义客户端可以处理的字符集，按优先级排序；在一个以逗号为分隔的列表中，可以定义多种类型和使用通配符。例如： Accept-Charset: iso-8859-1,*,utf-8 Accept-Encoding定义客户端可以理解的编码机制。例如： Accept-Encoding: Accept-Language定义客户端乐于接受的自然语言列表。例如： Accept-Language: en,de Accept-Ranges一个响应头标，它允许服务器指明：

IEC103规约报文格式

IEC103规约报文格式

IEC103规约格式 1.基本报文格式 1.1固定帧长报文 启动字符 控制域 地址域 代码和 结束字符 注：代码和=控制域+地址域（不考虑溢出位，即256模和） 1.2可变帧长报文 注：（1）代码和=控制域+地址域+ ASDU 代码和（不考虑溢出位，即256模和） （2）ASDU 为“链路用户数据”包，具体格式将在下文介绍 （3）Length=ASDU 字节数+2 1.3控制域定义 控制域分“主∧ 从”和“从∧ 主”两种情况。 （1） “主∧ 从”报文的控制域 D7 D6 D5 D4 D3 D2 D1 D0 备用 PRM FCB FCV 功能码 1 每位的具体定义请参考详细103规约。 (2) “从∧ 主”报文的控制域 D7 D6 D5 D4 D3 D2 D1 D0 备用 PRM ACD DFC 功能码 0 0 每位的具体定义请参考详细103规约。 ———— 启动字符1（1byte ） ———— 长度（1byte ） ———— 长度（重复）（1byte ） ———— 启动字符2（重复）（1byte ） ———— 控制域（1byte ） ———— 地址域（1byte ） ———— 链路用户数据[（length-2）byte] ———— 代码和（1byte ） ———— 结束字符（1byte ）

1.4地址域 地址域为主站与之通信的从站地址，0-254：设备地址，255：广播地址。 2.链路规约数据单元（LDPU） 控制方向：从控制系统到继电保护设备（或间隔单元）的传输方向。 监视方向：从继电保护设备（或间隔单元）到控制系统的传输方向。 2.1控制方向 ●复位帧计数位 ●复位通信单元 ●召唤1级数据 ●召唤2级用户数据 ●请求链路状态 2.2监视方向 ●确认帧：

HTTP协议分析

HTTP是一个属于应用层的面向对象的协议，由于其简捷、快速的方式，适用于分布式超媒体信息系统。它于1990年提出，经过几年的使用与发展，得到不断地完善和扩展。目前在WWW中使用的是HTTP/1.0的第六版，HTTP/1.1的规范化工作正在进行之中，而且HTTP-NG(Next Generation of HTTP)的建议已经提出。 HTTP协议的主要特点可概括如下： 1.支持客户/服务器模式。 2.简单快速： 客户向服务器请求服务时，只需传送请求方法和路径。请求方法常用的有GET、H EAD、POST。每种方法规定了客户与服务器联系的类型不同。由于HTTP协议简单，使得HTTP服务器的程序规模小，因而通信速度很快。 3.灵活： HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。 4.无连接： 无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开连接。采用这种方式可以节省传输时间。 5.无状态： HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。另一方面，在服务器不需要先前信息时它的应答就较快。 一、HTTP协议（URL）

http（超文本传输协议）是一个基于请求与响应模式的、无状态的、应用层的协议，常基于TCP的连接方式，HTTP1.1版本中给出一种持续连接的机制，绝大多数的Web开发，都是构建在HTTP协议之上的Web应用。 HTTP URL (URL是一种特殊类型的URI，包含了用于查找某个资源的足够的信息)的格式如下： http: //host[": "port][abs_path] 二、HTTP协议的请求 http请求由三部分组成，分别是： 请求行、消息报头、请求正文 1、请求行以一个方法符号开头，以空格分开，后面跟着请求的URI和协议的版本，格式如下： Method Request-URI HTTP-Version CRLF 其中Method表示请求方法；Request-URI是一个统一资源标识符；HTTP-Version表示请求的HTTP协议版本；CRLF表示回车和换行（除了作为结尾的CRLF外，不允许出现单独的CR或LF字符）。 请求方法（所有方法全为大写）有多种，各个方法的解释如下： GET 请求获取Request-URI所标识的资源 POST 在Request-URI所标识的资源后附加新的数据 HEAD 请求获取由Request-URI所标识的资源的响应消息报头 PUT 请求服务器存储一个资源，并用Request-URI作为其标识

学会看报文二GOOSE

所谓的GOOSE就是通用面向对象的变电站事件（Generic Object Oriented Substation Event）。当发生任何状态变化时，智能电子设备将借助变化报告，高速多播一个二进制对象通用面向变电站事件对象（GOOSE）报告，该报告一般包含有：状态输入、起动和输出元件、继电器等实际和虚拟的每一个双点命令状态。 在第一次报告后，该报告一般以间隔2，4，8……60,000ms顺序重发。（第一重发延时不固定，可长可短）。 面向变电站通用事件对象报告允许高速传输跳闸信号，具有高传输成功概率 DL/T860.5所定义的报文类型和性能分类按照图1所示进行映射。 -类型1（快速报文） -类型1A（跳闸报文） -类型2（中速报文） -类型3（低速报文） -类型4（原始数据报文） -类型5（文件传输功能） -类型6（时间同步报文） 而为了变电站得变为信息能够快速的传递，及跳闸报文嫩够及时快速的传送给ICU（智能控制单元）所以GOOSE报文选用了类型1和类型1A的报文。 GOOSE报文的数据目的地址（对应下图的Destination）应包括一个多播MAC地址。GOOSE 报文的数据源地址（Source）应包括一个单播MAC地址。

因为电脑网卡的问题，V-lan优先级（PRIORITY）和V-lan的VID无法显示。所以报文一般只能看到目的MAC和APPID. GOOSE GOOSE标识 该可视串最大长度为65字节。该值与被GOOSE控制引用指定的GOOSE控制块的数值相同。 GOOSE控制引用control block reference 表示GOOSE数据的控制块路径

实验12 HTTP报文分析

实验12 HTTP 协议分析实验 一、实验目的 在PC 机上登录Web 页面，截获报文，分析HTTP 协议的报文格式和HTTP协议的工作过程。 二、实验说明 独立完成各自实验 三、实验内容 在一台计算机上截获不同类型HTTP报文进行分析。 四、实验步骤 1.在PC 机上运行Sniffer，设置过滤器，开始截获报文； 2.从浏览器上访问Web 界面，如http://202.202.4 3.125。打开网页，待浏览器的状 态栏出现“完毕”信息后关闭网页。 3.停止截获报文，将截获的报文命名为http1-座号-姓名保存。 4.分析截获的报文，回答以下几个问题： ?在截获的HTTP 报文中，任选一个HTTP 请求报文和对应的 HTTP 应答报文， 仔细分析它们的格式，填写下面两个表格。 ? ?

表2 HTTP 应答报文格式 分析在截获的报文中，客户机与服务器建立了几个连接？服务器和客户机分别使用了哪几个端口号？ 建立了10个连接，服务器使用率1281，1282，1283，1284，1285，1286，1287，1288，1289端口，客户端使用80端口 1.获取长文件 (1)启动浏览器，将浏览器的缓存清空。

(2)启动Sniffer，设定过滤器HTTP，在浏览器地址栏中输入以下网址：https://www.wendangku.net/doc/d34746226.html,/wireshark-labs/HTTP-wireshark-file3.html 浏览器将显示一个相当大的美国权利法案。

(3)停止Sniffer，保存为：http2-座号-姓名，回答以下问题。 ?一共发出了多少个HTTP GET请求？ 4个GET请求 ?承载这个HTTTP响应报文需要多少个data-containing TCP报文段？ 一共需要4个TCP报文段 ?与GET请求相对应的响应报文状态码和状态短语是什么？。 状态码：302 状态短语：Found ?在被传送的数据中共有多少个HTTP状态行与TCP-induced continuation有 关？ 有，对于一个大的HTML文件会被TCP分为若干个独立的小包传输，他们是连 续的，如下图 2.嵌有对象的HTML文档 (1)启动浏览器，将浏览器的缓存清空。 (2)启动Sniffer，设定过滤器HTTP，在浏览器地址栏中输入以下网址： https://www.wendangku.net/doc/d34746226.html,/wireshark-labs/HTTP-wireshark-file5.html 浏览器将显示一个具有两个图片的短HTTP文件。

完整word版104报文分析

1. 104规约框架分析 1.1 原始报文的组成 报文组成（1字节启动字符0x68，1字节报文长度，4字节控制域，不定长用户数据） 第1个字节是启动字符0x68; 第2个字节是报文长度； 第3~6共4个字节是控制域； 第7个字节是报文类型； 第8个字节是可变结构限定词； 第9~10共2个字节是传送原因； 第11~12共2个字节是应用服务数据单元公共地址； 第13~15共3个字节是信息对象地址； 。。。。。。 1.2 三种报文格式的控制域定义 （1）I帧 编号的信息传输格式（InFormation Transmit Format），简称I－格式I格式控制域标志，控制域：第一个八位位组的第一位比特= 0 第三个八位位组第一位比特= 0 （2）S帧 编号的监视功能格式（Numbered supervisory Functions），简称S－格式，控制域，第一个八位位组的第一位比特= 1 并且第二位比特= 0，第三个八位位组第一位比特= 0 （3）U帧 不编号的控制功能格式（Unnumbered control Function），简称U－格式，第一个八位位组的第一位比特= 1 并且第二位比特=1 且第三个八位位组第一位比特= 0 1.3 报文类型（第7个字节） 1.3.1 监视方向的应用功能类型 类型标识∶=UI8[1..8]<0..44> M_SP_NA_1(1) 无时标单点遥信 M_SP_TA_1(2) 带短时标的单点遥信 M_DP_NA_1(3) 无时标双点遥信 M_DP_TA_1(4) 带短时标双点遥信 M_ST_NA_1(5) 步位置信息 M_ST_TA_1(6) 带短时标的步位置信息 M_BO_NA_1(7) 32比特串 M_BO_TA_1(8) 带短时标的比特串

61850GOOSE报文分析

01 0C CD 01 00 04 44 4D 35 30 30 30 88 B8 10 04 01 18 00 00 00 00 61 82 01 0C 80 1A 50 52 53 2D 37 33 39 35 52 50 49 54 2F 4C 4C 4E 30 24 47 4F 24 67 6F 63 62 31 81 04 00 00 27 10 82 1A 50 52 53 2D 37 33 39 35 52 50 49 54 2F 4C 4C 4E 30 24 64 73 47 4F 4F 53 45 31 83 1A 54 45 4D 50 4C 41 54 45 52 50 49 54 2F 4C 4C 4E 30 24 47 4F 24 67 6F 63 62 31 84 08 00 00 0A 2B AF 4B 15 00 85 04 00 00 00 02 86 04 00 00 00 00 87 01 00 88 04 00 00 00 00 89 01 2C 8A 04 00 00 00 2D AB 81 87 83 01 01 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 83 01 00 80 1A 50 52 53 2D 37 33 39 35 52 50 49 54 2F 4C 4C 4E 30 24 47 4F 24 67 6F 63 62 31 GOOSE Control ReFerence字符串=PRS-7395RPIT/LLN0$GO$gocb1。代表这个包的控制块的名字。 281 04 00 00 27 10 Time Allowed to Live(报文存活时间，单位ms) =10000ms。 00 00 27 10转成10进制为10000，即10s。 GOOSE接收方的中断时间一般定为大于2* timeAllowedtoLive即报GOOSE中断告警。由于GOOSE报文的重要性，即使外部状态不再变换，也应重发。此参数提示订阅者等待下一报文到来的最长时间。当等待时间大于timeAllowedtoLive 值仍未收到有效报文时，订阅者认为通信联系失去，采用预先定义的默认值取代。我们就可以理解为持机等待时间。 82 1A 50 52 53 2D 37 33 39 35 52 50 49 54 2F 4C 4C 4E 30 24 64 73 47 4F 4F 53 45 31 DataSet字符串=PRS-7395RPIT/LLN0$dsGOOSE1。是指这个包所在的数据集。 83 1A 54 45 4D 50 4C 41 54 45 52 50 49 54 2F 4C 4C 4E 30 24 47 4F 24 67 6F 63 62 31 GOID字符串=TEMPLATERPIT/LLN0$GO$gocb1。 584 08 00 00 0A 2B AF 4B 15 00 t，StNum加1时的时间=1970-01-01 08:43:23.684739 Tq: 00，GOOSE报文产生时的时标。通常作为驱动事件的发生时标(若有特殊要求，驱动事件的发生时标可另外包含在数据集中)。 85 04 00 00 00 02 86 04 00 00 00 00 StNum值 85 04 00 00 00 02=2。SqNum 值 86 04 00 00 00 00=0。装置发送方：数据集成员值发生变化发送GOOSE报文时该序号StNum+1，SqNum=0。数据集成员值未变化时StNum不变，SqNum+1。上电第1帧时StNum=1，SqNum=1。StNum、SqNum加到最大值时都从1开始。 87 01 00 test位=0，即使检修位为0，本装置没有投入检修硬压板。当装置检

103报文示例及解析

103报文示例 10 40 04 44 16 // 复位通信单元 10 20 04 24 16 //确认 10 49 04 4D 16 //召唤链路状态 10 2B 04 2F 16 //从站以链路状态响应主站请求 68 0F 0F 68 73 04 06 81 08 04 FF 00 9E AB 0A 10 BB 04 07 32 16 //时间同步 10 20 04 24 16 //确认 68 09 09 68 53 04 07 81 09 04 FF 00 00 EB 16 //总查询(总召唤)的启动 10 20 04 24 16 //确认 10 7A 04 7E 16 //主站召唤一级数据 68 15 15 68 28 04 05 81 04 04 A0 03 02 53 49 45 4D 45 4E 53 20 34 2E 30 33 58 16 //厂家标识报文 10 5A 04 5E 16 //主站召唤一级数据 68 44 44 68 28 04 17 06 1F 04 A0 00 05 00 01 CE 8C 20 06 02 01 05 06 00 00 9A 9B 20 06 02 01 05 07 00 01 5C 67 19 02 03 01 05 08 00 01 47 9F 19 02 03 01 05 09 00 01 43 BB 21 05 03 01 05 0A 00 01 86 25 27 05 03 01 05 27 16 //被记录的扰动表 10 7A 04 7E 16 //主站召唤一级数据 68 0E 0E 68 28 04 01 81 09 04 28 01 01 22 2F 37 05 00 72 16 //遥信数据，下同 10 5A 04 5E 16 68 0E 0E 68 28 04 01 81 09 04 28 02 01 7C 2F 37 05 00 CD 16 10 7A 04 7E 16 68 0E 0E 68 28 04 01 81 09 04 28 03 01 D6 2F 37 05 00 28 16 10 5A 04 5E 16 68 12 12 68 28 04 02 81 09 04 28 0F 01 00 00 00 00 30 30 37 05 00 90 16 10 7A 04 7E 16 68 12 12 68 28 04 02 81 09 04 28 10 01 00 00 00 00 8B 30 37 05 00 EC 16 10 5A 04 5E 16 68 0E 0E 68 28 04 01 81 09 04 28 14 01 E4 30 37 05 00 48 16 10 7A 04 7E 16 68 0E 0E 68 28 04 01 81 09 04 28 51 01 3F 31 37 05 00 E1 16 10 5A 04 5E 16 68 0E 0E 68 28 04 01 81 09 04 3C 01 01 99 31 37 05 00 FF 16 10 7A 04 7E 16 68 0E 0E 68 28 04 01 81 09 04 3C 02 01 25 32 37 05 00 8D 16 10 5A 04 5E 16 68 0E 0E 68 28 04 01 81 09 04 3C 15 01 81 32 37 05 00 FC 16 10 7A 04 7E 16 68 0E 0E 68 28 04 01 81 09 04 3C 16 01 D9 32 37 05 00 55 16 10 5A 04 5E 16 68 0E 0E 68 28 04 01 81 09 04 3C 17 02 34 33 37 05 00 B3 16 10 7A 04 7E 16 68 12 12 68 28 04 02 81 09 04 3C 4B 01 00 00 00 00 8D 33 37 05 00 40 16 10 5A 04 5E 16 68 12 12 68 28 04 02 81 09 04 3C 4C 01 00 00 00 00 1A 34 37 05 00 CF 16 10 7A 04 7E 16

http协议数据包格式

竭诚为您提供优质文档/双击可除http协议数据包格式 篇一：数据包格式 tcp/ip协议族包括诸如internet协议(ip)、地址解析协议(aRp)、互联网控制信息协议(icmp)、用户数据报协议(udp)、传输控制协议(tcp)、路由信息协议(Rip)、telnet、简单邮件传输协议(smtp)、域名系统(dns)等协议。tcp/ip 协议的层次结构如图3所示。 图3tcp/ip协议层次结构 (1)应用层应用层包含一切与应用相关的功能，相当于osi的上面三层。我们经常使用的http、Ftp、telnet、smtp 等协议都在这一层实现。 (2)传输层传输层负责提供可靠的传输服务。该层相当于osi模型中的第4层。在该层中，典型的协议是 tcp(transmissioncontrolprotocol)和 udp(userdatagramprotocol)。其中，tcp提供可靠、有序的，面向连接的通信服务；而udp则提供无连接的、不可靠用户数据报服务。 (3)网际层网际层负责网络间的寻址和数据传输，其功

能大致相当于osi模型中的第3层。在该层中，典型的协议是ip(internetprotocol)。 (4)网络接口层最下面一层是网络接口层，负责数据的实际传输，相当于osi模型中的第1、第2层。在tcp/ip协议族中，对该层很少具体定义。大多数情况下，它依赖现有的协议传输数据。 tcp/ip与osi最大的不同在于osi是一个理论上的网络通信模型，而tcp/ip则是实际运行的网络协议。tcp/ip实际上是由许多协议组成的协议簇。图4示出tcp/ip的主要协议分类情况。 整个过程： 1.dhcp请求ip地址的过程 l发现阶段，即dhcp客户端寻找dhcp服务器的阶段。客户端以广播方式发送dhcpdiscoVeR包，只有dhcp服务器才会响应。 l提供阶段，即dhcp服务器提供ip地址的阶段。dhcp 服务器 接收到客户端的dhcpdiscoVeR报文后，从ip地址池中选择一个尚未分配的ip地址分配给客户端，向该客户端发送包含租借的ip地址和其他配置信息的dhcpoFFeR包。 l选择阶段，即dhcp客户端选择ip地址的阶段。如果有多台dhcp服务器向该客户端发送

SVGOOSE报文解析

,SV报文解析 SV报文在网络上传输时采用的是OSI模型，但只用到OSI网络模型七层中的四层，应用层、表示层、数据链路层和物理层，传输层和网络层为空。 应用层定义协议数据单元PDU经过表示层编码后，不采用TCP/IP协议, 而是直接映射到数据链路层和物理层。 这种映射方式的目的是避免通信堆栈造成传输延时，从而保证报文传输、 处理的快速性。 SV报文在MAC!的帧结构包括：源MAC地址、目的地址即组播地址、报文类型、四字节Tag、APPID报文长度、四字节的保留和APDU

一帧SV报文: 01 0C CD 04 00 000 CO 00 00 40 0288 BA40 02 00 F2 00 00 00 0060 81 E7 80 01 01 A2 81 E1 30 81 DE 80 14 4D 4C 31 31 30 32 4D 55 2F 4C 4C 4E 30 2E 73 6D 76 63 62 3(82 02 07 F283 04 00 00 00 0185 01 0087 81 B8 00 00 05 DC 00 00 00 0(FF FF E1 A1 00 00 00 00 FF FF E1 A1 00 00 00 00 FF FF EB C1 00 00 00 00 00 00 0A 1F 00 00 00 00 FF FF F5 E1 00 00 00 00 00 00 00 00 00 00 00 00 FF FF EB C1 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 FF FF FF 99 00 00 00 00 FF FF FE CA 00 00 00 00 FF FF E9 BF 00 00 00 00 FF FF F1 2A 00 00 00 00 FF FF D7 34 00 00 00 00 FF FF F1 2A 00 00 00 00 00 00 00 00 00 00 00 00 FF FF E2 54 00 00 00 00 FF FF E9 BF 00 00 00 00 FF FF FC 4B 00 00 00 00 FF FF DA E9 00 00 00 00 解析： 01 0C CD 04 00 02 00 C0 00 00 40 02 目的MAC和源MAC 88 BA网路数据类型，9-2报文 40 02 appid

http协议分析报告实例

HTTP协议分析 1 实验目的 分析HTTP协议报文首部格式，理解HTTP协议工作过程 2 实验内容 截获HTTP报文，分析HTTP协议报文首部格式，学习HTTP协议工作过程。 3 实验原理 超文本传送协议HTTP（HyperText Transfer Protocol）,是万维网客户程序与万维网服务器程序之间的交互所要严格遵守的协议。HTTP是一个应用层协议，它使用TCP连接进行可靠的传送。对于万维网站点的访问要使用的HTTP协议。 HTTP的URL的一般形式是： http://<主机>:<端口>/<路径> WWW采用 B/S 结构，客户使用浏览器在 URL栏中输入 HTTP 请求，即输入对方服务器的地址，向 web 服务器提出请求。如访问师院的机构设置页面 https://www.wendangku.net/doc/d34746226.html,/jigou/gljg.htm，具体的工作过程如下： (1) 浏览器分析指向页面的URL. (2) 浏览器向DNS请求解析https://www.wendangku.net/doc/d34746226.html,的IP地址。 (3) 域名系统DNS解析出师院服务器的IP地址 (4) 浏览器与服务器建立TCP连接 (5) 浏览器发出取文件命令：GET /jigou/gljg.htm. (6) 服务器https://www.wendangku.net/doc/d34746226.html,给出响应，将文件 gljg.htm发送给浏览器。 (7) TCP连接释放。 (8) 浏览器显示“北航机构设置”的页面。 服务器提供的默认端口号为80. 4 实验步骤 步骤 1 在计算机上打开wireshark软件，进行报文截获。 步骤 2 从浏览器上访问https://www.wendangku.net/doc/d34746226.html,页面，具体操作为打开网页，浏览，关掉网页。 步骤 3 停止wireshark的报文截获，结果命名为http_学号，保存在本机或上 传至服务器目录下。

HTTP请求报文格式

HTTP报文是面向文本的，报文中的每一个字段都是一些ASCII码串，各个字段的长度是不确定的。HTTP有两类报文：请求报文和响应报文。 请求报文 一个HTTP请求报文由请求行（request line）、请求头部（header）、空行和请求数据4个部分组成，下图给出了请求报文的一般格式。 （1）请求行 请求行由请求方法字段、URL字段和HTTP协议版本字段3个字段组成，它们用空格分隔。例如，GET /index.html HTTP/1.1。 HTTP协议的请求方法有GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT。这里介绍最常用的GET方法和POST方法。 GET：当客户端要从服务器中读取文档时，使用GET方法。GET方法要求服务器将URL定位的资源放在响应报文的数据部分，回送给客户端。使用GET方法时，请求参数和对应的值附加在URL后面，利用一个问号（“?”）代表URL 的结尾与请求参数的开始，传递参数长度受限制。例如， /index.jsp?id=100&op=bind。 POST：当客户端给服务器提供信息较多时可以使用POST方法。POST方法将请求参数封装在HTTP请求数据中，以名称/值的形式出现，可以传输大量数据。 （2）请求头部 请求头部由关键字/值对组成，每行一对，关键字和值用英文冒号“:”分隔。请求头部通知服务器有关于客户端请求的信息，典型的请求头有：User-Agent：产生请求的浏览器类型。 Accept：客户端可识别的内容类型列表。 Host：请求的主机名，允许多个域名同处一个IP地址，即虚拟主机。 （3）空行 最后一个请求头之后是一个空行，发送回车符和换行符，通知服务器以下不再有请求头。 （4）请求数据

IEC103规约报文举例

IEC103规约报文举例 分类：电力系统2010-07-20 17:16 77人阅读评论(0) 收藏举报 遥控报文示例 主：68 11 11 68 53 32 0a(1) 81 28 32 fe(2) f9(3) 00(4) 01(5) 0b 01(6) 01(7) 03 01 01(8) 01(9) 75 16 通用分类带确认的写条目 子：10 20 32 52 16 确认帧 （1）类型标识（2）功能码，通用分类服务（3）信息序号，带确认写命令（4）返回信息标识符（5）通用分类个数（NOG）（6）通用分类标识序号（GIN）（7）描述类别，实际值（8）通用分类数据描述（GDD）（9）数据内容 主：10 7a 32 ac 16 召唤一级用户数据 子：68 11 11 68 08 32 0a(1) 81 2c(2) 32 fe f9 00 01 0b 01 01 03 01 01 01 2e 16 响应带确认的写条目 （1）类型标识（2）传送原因，通用分类写确认 主：68 0a 0a 68 53 32 0a(1) 81 28 32 fe(2) fa(3) 00(4) 00(5) 62 16 通用分类带执行的写条目 子：10 20 32 52 16 确认帧 （1）类型标识（2）功能码，通用分类服务（3）信息序号，带执行的写条目 （4）返回信息标识符（5）通用分类个数（NOG） 主：10 7a 32 ac 16 召唤一级用户数据 子：68 0a 0a 68 08 32 0a(1) 81 28 (2) 32 fe fa 00 00 17 16 响应带执行的写条目 （1）类型标识（2）传送原因，通用分类写命令肯定认可 遥测报文示例 说明：遥测数据可以通过通用分类服务总召唤、单组所有条目召唤、单组单条目召唤等方式获得。对于通用分类总召唤，在5.1.3中已经列出其报文实例。在本节中，只举一个单组所有条目召唤的实例。 主：68 0d 0d 68 73 32 15(1) 81 2a(2) 32 fe f1(3) 00(4) 01(5) 09 00(6) 01(7) 91 16 通用分类服务组召唤 子：10 20 32 52 16 确认帧 （1）类型标识（2）传送原因（3）信息序号，召唤单组所有条目（4）返回信息标识符（5）通用分类个数（NOG）（6）通用分类标识序号（GIN）（7）描述类别，实际值主：10 5a 32 8c 16 召唤一级数据 子：68 d2 d2 68 28 32 0a(1) 81 2a(2) 32 fe(3) f1(4) 00(5) 94(6) 09 01(7) 01(8) 07 04 01(9) 00 00 56 3b(10) 09 02 01 07 04 01 00 00 00 80 09 03 01 07 04 01 00 00 7e 3b 09 04 01 07 04 01 00 00 00 80 09 05 01 07 04 01 00 00 01 3b 09 06 01 07 04 01 00 00 00 80 09 07 01 07 04 01 00 00 e3 3b 09 08 01 07 04 01 00 00 00 80 09 09 01 07 04 01 00 00 3f 3b 09 0a 01 07 04 01 00 00 00 80 09 0b 01 07 04 01 00 00 4f 3b 09 0c 01 07 04 01 00 00 00 80 09 0d 01 07 04 01 00 00 b0 3a 09 0e 01 07 04 01 00 00 00 80 09 0f 01 07 04 01 00 00 8c 3b 09 10 01 07 04 01 00 00 00 80 09 11 01 07 04 01 00 00 15 3b 09 12 01 07 04 01 00 00 00 80 09 13 01 07 04 01 00 00 a6 3a 09 14 01 07 04 01 00 00 00 80 d7 16 通用分类服务

1、HTTP协议分析

开放式课题 实验报告 实验名称：基于Wireshark软件的HTTP协议分析 学号： 姓名： 指导教师：宫婧 指导单位：理学院

目录 实验目的..........................................................错误！未定义书签。 1) 掌握Wireshark软件使用方法............. 错误！未定义书签。 2）理解HTTP协议工作原理..................................... 错误！未定义书签。 实验任务.................................... 错误！未定义书签。 1) 抓取数据包........................... 错误！未定义书签。 2）分析数据包........................... 错误！未定义书签。实验环境.............................. 错误！未定义书签。软件介绍 (2) 1） wireshark软件简介 (2) 2） wireshark软件的应用 (2) 3） wireshark软件的价值 (2) 4） wireshark软件的操作简介 (3) HTTP协议详解............................... 错误！未定义书签。 1） HTTP协议基础概念....................... 错误！未定义书签。 2） HTTP协议工作流程....................... 错误！未定义书签。 3） HTTP协议请求响应信息 (6) HTTP请求报文信息．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．６ HTTP响应报文信息．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．７HTTP数据包分析 (8) 1）网络接口层信息 (10) 2）网络层信息 (11) 3）传输层信息 (12) 4）应用层信息 (13) 总结........................................ 错误！未定义书签。参考文献.. (14)