OMCI报文分析
一、OMCI在GPON系统的位置 (1)
二、OMCI的作用 (2)
三、OMCI报文格式 (2)
四、举例分析 (10)
五、BCM代码对VOIP参数的处理................................................................ 错误!未定义书签。
一、OMCI在GPON系统的位置
OMCI是GPON系统的管理和控制接口,位于GTC层,GPON系统的架构如下图.
二、OMCI的作用
OMCI
OLT通过OMCI(ONT管理控制接口)来控制ONT。协议允许OLT进行下列动作:
1)建立和释放与ONT之间的连接;
2)管理ONT上的UNI;
3)请求配置信息和性能统计;
4)向系统管理员自动上报事件,如链路故障。
OMCI协议在OLT控制器和ONT控制器之间的GEM连接上运行,该连接在ONT初始化时建立。OMCI协议是异步的:OLT上的控制器是“主”,ONT上的控制器是“从”。一个OLT控制器通过在不同的控制信道上使用多个协议实例来控制多个ONT。
OMCI在下面几个方面对ONT进行管理:
1)配置管理:提供了控制、识别、从ONT收集数据和向ONT提供数据的功能;
2)故障管理:支持有限的故障管理功能,大多数操作仅限于进行故障指示;
3)性能管理:主要是性能监控;
4)安全管理:使能/去使能下行加密功能、全光纤保护倒换能力管理。
5.ONU激活注册
在ONU能正常工作前必须完成激活注册过程。
三、OMCI报文格式
OMCI的净核:
Transaction Correlation Identifier的最高位表示该Message的优先级的高低,1表示高优先级,0表示低优先级。Message Type的结构是这样的:
DB用做目的比特在OMCI里常为0,AR是回答请求位,当需要确认信息时AR为1,当不需要确认信息是AR为0。AK指示的是这条Message是否为确认信息。如果是则为1,不是为0。MT表示的是Message的类型0~3和29~31用做保留,其余的4~28如下表:
Device Identifier根据984.3的规定为0X0A,表示的是OMCI。
Message Identifier的高2位指示的是目标实体,后2位指示的是实体状态,如下表:
Message Contents指示的是消息的内容。
OMCI trailer最高的2个字节在发送方设置为0X0000,在接收方忽略。接下去的2个字节设置成0X0028,最后的4个字节作为CRC校验。
四、举例分析
30e1480a0096000100010002000000000000000000000e100168ffff0000010000000000000000000000028b58e12c5
30e1 12513 Transaction Correlation Identifier
Message Type的结构是这样的:
48 0100 1000 AR=1 要求response,MT=01000 代表Set.
0A Device Identifier 表示OMCI。
00960001 0096两字节表示ME的class, 150代表SIP Agent Config Data,0001表示该ME的第一个实例.
下面的数据是message的内容,参考984关于SIP Agent Config Data的定义以及每个属性的字节大小分析.
984关于sip agent config data的定义如下:
SIP agent config data
Attributes
Managed entity id: This attribute uniquely identifies each instance of this managed entity. (R,
Set-by-create) (mandatory) (2 bytes)
Proxy server address pointer: This attribute points to a large string ME that contains the name (IP address
or URI) of the SIP proxy server for SIP signalling messages. (R, W, Set-by-create)
(mandatory) (2 bytes)
Outbound proxy address pointer: This attribute points to a large string ME that contains the name (IP
address or URI) of the outbound proxy server for SIP signalling messages. (R, W,
Set-by-create) (mandatory) (2 bytes)
Primary SIP DNS: This attribute specifies the primary SIP DNS IP address. If this value is 0, no primary
SIP DNS is defined. The default value is 0. (R, W, Set-by-create) (mandatory) (4 bytes) Secondary SIP DNS: This attribute specifies the secondary SIP DNS IP address. If this value is 0, no secondary
SIP DNS is defined. The default value is 0. (R, W, Set-by-create) (mandatory) (4 bytes) TCP/UDP pointer: This pointer associates the SIP agent with the TCP/UDP config data ME to be used for
communication with the SIP server. The default value is 0xFFFF. (R, W) (mandatory)
(2 bytes)
SIP reg exp time: This attribute specifies the SIP registration expiration time in seconds. If its value
is 0, the SIP agent does not add an expiration time to the registration requests and
does not perform re-registration. The default value is 3600 seconds. (R, W) (mandatory)
(4 bytes)
SIP rereg head start time: This attribute specifies the time in seconds prior to timeout that causes the
SIP agent to start the re-registration process. The default value is 360 seconds. (R,
W) (mandatory) (4 bytes)
Host part URI: This attribute points to a large string ME that contains the host or domain part of the
SIP address of record for users connected to this ONT. The default value 0xFFFF
indicates that the current address in the IP host config ME is used. (R, W,
Set-by-create) (mandatory) (2 bytes)
SIP status: This attribute shows the current status of the SIP agent. Values are as follows:
0 Ok/initial
1 Connected
2 Failed – ICMP error
3 Failed – Malformed response
4 Failed – Inadequate info response
5 Failed – Timeout
(R) (mandatory) (1 byte)
SIP registrar: This attribute points to a network address ME that contains the name (IP address or resolved
name) of the registrar server for SIP signalling messages. Examples: “10.10.10.10”
and “https://www.wendangku.net/doc/072260837.html,”. The default value is 0xFFFF. (R, W, Set-by-create) (mandatory)
(2 bytes)
Softswitch: This attribute identifies the SIP gateway softswitch vendor. The format is four ASCII
coded alphabetic characters [A..Z] as defined in ANSI T1.220. A value of four null
characters indicates no particular vendor. (R, W, Set-by-create) (mandatory) (4 bytes) 所有属性的值如下:
00010002000000000000000000000e100168ffff00000100000000000000000
0001 Proxy server address pointer: (2 bytes)
0002 Outbound proxy address pointer: (2 bytes)
00000000 Primary SIP DNS: (4 bytes)
00000000 Secondary SIP DNS: (4 bytes)
0000 TCP/UDP pointer: (2 bytes)
0e10 SIP reg exp time: (4 bytes)
0168 SIP rereg head start time: (4 bytes)
ffff Host part URI: (2 bytes)
00 SIP status: (1 byte)
0001 SIP registrar: (2 bytes)
00000000 Softswitch: (4 bytes)
最后8个字节是OMCI trailer, 00000028b58e12c5,00000028是协议规定的值,b58e12c5是整个报文的CRC校验值
http协议请求响应报文格式及状态码详解
HTTP协议报文格式 HTTP协议(Hypertext Transfer Protocol――超文本传输协议)浏览器端(客户端)向WEB 服务器端访问页面的过程和HTTP协议报文的格式。 基于HTTP协议的客户机访问包括4个过程,分别是建立TCP套接字连接、发送HTTP请求报文、接收HTTP应答报文和关闭TCP套接字连接: 1. 创建TCP套接字连接 客户端与WEB服务器创建TCP套接字连接,其中WEB端服务器的地址可以通过域名解析确定,WEB端的套接字侦听端口一般是80。 2. 发送HTTP请求报文 客户端向WEB服务端发送请求报文,HTTP协议的请求报文格式为: 请求消息= 请求行(实体头信息)CRLF[实体内容] 请求行= 方法URL HTTP版本号CRLF 方法= GET|HEAD|POST|扩展方法 URL = 协议名称+宿主名+目录与文件名 其中"CRLF"表示回车换行。 "请求行"中的"方法"描述了对指定资源执行的动作,常用的方法"GET"、"HEAD"和"POST"等3种,它们的含义如表15-8所示: 请求报文 一个HTTP请求报文由请求行(request line)、请求头部(header)、空行和请求数据4个部分组成,下图给出了请求报文的一般格式。 (1)请求行 请求行由请求方法字段、URL字段和HTTP协议版本字段3个字段组成,它们用空格分隔。例如,GET /index.html HTTP/1.1。 HTTP协议的请求方法有GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT。这里介绍最常用的GET方法和POST方法。 GET:当客户端要从服务器中读取文档时,使用GET方法。GET方法要求服务器将URL定位的资源放在响应报文的数据部分,回送给客户端。使用GET方法时,请求参数和对应的值附加在URL后面,利用一个问号(“?”)代表URL的结尾 与请求参数的开始,传递参数长度受限制。例如,/index.jsp?id=100&op=bind。POST:当客户端给服务器提供信息较多时可以使用POST方法。POST方法将请求参数封装在HTTP请求数据中,以名称/值的形式出现,可以传输大量数据。 表15-8 HTTP请求方法
实验一 数据报文分析 实验报告
实验一数据报文分析 物联10 查天翼41050051 一、实验目的 1.掌握网络分析原理 2.学习Wireshark协议分析软件的使用 3.加深对基本协议的理解 二、实验环境 机器代号:K053 IP地址:222.28.78.53 MAC地址:00-88-98-80-95-C2 三、实验结果 数据链路层(以太网)数据帧分析 3c e5 a6 b3 af c1 00 88 98 80 95 c2 08 00 3c e5 a6 b3 af c1:表示目的MAC(Hangzhou_b3:af:c1)地址 00 88 98 80 95 c2:表示本机MAC地址
08 00:表示数据类型,里面封装的是IP数据包 IP数据包分析 45 00 00 28 63 cd 40 00 80 06 19 1f de 1c 4e 35 77 4b da 46 45:高四位是4,表示此数据报是IPv4版本;低四位是5,表示首部长度,由于首部长度以4字节为单位,所以IP数据包的首部长度为20字节。 00:表示服务类型 00 28:表示数据包的总长度是40 63 cd:表示表示字段0x63cd(25549) 40 00:“40”高4位表示标志字段,低4位和第8个字节“00”组成片偏移字段。 80:表示生存时间 06:表示数据包的数据部分属于哪个协议,此值代表的协议是TCP协议。 19 1f:表示首部校验和 de 1c 4e 35:表示源IP地址222.28.78.53 77 4b da 46:表示目的IP地址119.75.218.70
07 a1 00 50 d7 c3 fb a4 5d 84 9a 2e 50 10 ff ff 5e e4 00 00 07 a1:表示源端口号1953 00 50:表示目的端口号80 d7 c3 fb a4:表示序号字段值430 5d 84 9a 2e:表示确认序号值3196 50:“50”的高4为位表示数据偏移字段值,该TCP报文数据偏移字段值是5,该字段表示报文首部的长度,以4字节为单位,所以该TCP报文的首部长度是20字节。 10:表示ACK=1,SYN=0 ff ff:表示窗口字段值是65535,即告诉发送端在没有收到确认之前所能发送最多的报文段的个数。 5e e4:表示校验和字段0x5ee4 00 00:表示紧急指针字段值
以太网报文分析
200810314021_陈道争 一、实验名称:以太网报文分析 二、实验内容: 1.Ethereal的基本操作。 2.截获以太网报文,并将报文保存到硬盘上。 3.打开截获的报文,并分析其中的某一条报文。 三、实验过程与步骤: 1.在Windows操作系统下安装软件Ethereal。 2选择“Capture”中的“Options”进行设置。 3.打开“IE浏览器”,输入任意一个网址,打开其中的一个网页。 4.Ethereal软件的界面中会出现很多条的报文。 5.选择“Stop the running live capture”。 四、报文分析: 1.选取No.180的一条HTTP报文,具体报文见“200810314021_陈道争.cap”,以下分析都是根据此报文,就不再附图了。 2.从应用的角度网络可以划分为物理层、链路层、网络层、传输层、应用层几个部分。以太网上的数据以报文的形式进行传递,每个报文由数据内容部分和各个层次的报文头部组成。 3.链路层: (1)以太网的链路层由14个字节的内容组成。 (2)前六个字节的内容表示报文的目标硬件地址(Destination MAC),本报文描述的是网关的MAC 地址,值是:00-0f-e2-77-8f-5e。 (3)接下来六个字节的内容表示报文的源硬件地址(Source MAC),本报文描述的是本机的MAC 地址,值是:00-23-7d-4d-16-55。 (4)接下来两个字节的内容表示网络层所使用协议的类型,本报文使用的是IP协议,IP协议的类型值是:0X0800。 4.网络层: (1)目前使用最广泛的网络层协议是IPv4协议。IPv4协议的头部由20个字节的内容组成。 (2)其中第一个字节的前四个位的内容表示IP协议使用的版本号,值是:4,表示本报文使用的是IPv4协议。 (3)后四位的内容表示报文头部的长度,值是:20bytes。 (4)接下来两个字节的内容表示总长度,是首部和数据之和的长度,值是:657,表示总长度是657字节。 (5)接下来两个字节的内容表示标识。本报文为0x261f。 (6)接下来两个字节的前三位的内容表示标志。本报文位010. (7)接下来一个字节的内容表示生存时间。本报文Time to live:128. (8)接下来一个字节的内容表示所使用的传输层的协议类型,值是:0x06,表示使用的是TCP协议,因为HTTP协议是基于TCP协议实现的。
常用http响应报文分析
一、HTTP响应码由三位十进制数字组成,它们出现在由HTTP服务器发送的响应的第一行。 响应码分五种类型,由它们的第一位数字表示: 1xx: 信息,请求收到,继续处理 2xx: 成功,行为被成功地接受、理解和采纳 3xx: 重定向,为了完成请求,必须进一步执行的动作 4xx: 客户端错误,请求包含语法错误或者请求无法实现 5xx: 服务器错误,服务器不能实现一种明显无效的请求 下表显示每个响应码及其含义: 100继续 101分组交换协 200 OK 201被创建 202被采纳 203非授权信息 204无内容
205重置内容206部分内容300多选项 301永久地传送302找到 303参见其他304未改动 305使用代理307暂时重定向400错误请求401未授权 402要求付费403禁止 404未找到 405不允许的方法406不被采纳407要求代理授权408请求超时409冲突 410过期的 411要求的xx
412前提不成立 413请求实例太大 414请求URIxx 415不支持的媒体类型 416无法满足的请求范围 417失败的预期 500内部服务器错误 501未被使用 502网关错误 503不可用的服务 504网关超时 505 HTTP版本未被支持 二、HTTP头标由主键/值对组成。它们描述客户端或者服务器的属性、被传输的资源以及应该实现连接。 四种不同类型的头标: 1.通用头标: 即可用于请求,也可用于响应,是作为一个整体而不是特定资源与事务相关联。 2.请求头标: 允许客户端传递关于自身的信息和希望的响应形式。 3.响应头标:
服务器和于传递自身信息的响应。 4.实体头标: 定义被传送资源的信息。即可用于请求,也可用于响应。 头标格式:
实验12 HTTP报文分析
实验12 HTTP 协议分析实验 一、实验目的 在PC 机上登录Web 页面,截获报文,分析HTTP 协议的报文格式和HTTP协议的工作过程。 二、实验说明 独立完成各自实验 三、实验内容 在一台计算机上截获不同类型HTTP报文进行分析。 四、实验步骤 1.在PC 机上运行Sniffer,设置过滤器,开始截获报文; 2.从浏览器上访问Web 界面,如http://202.202.4 3.125。打开网页,待浏览器的状 态栏出现“完毕”信息后关闭网页。 3.停止截获报文,将截获的报文命名为http1-座号-姓名保存。 4.分析截获的报文,回答以下几个问题: ?在截获的HTTP 报文中,任选一个HTTP 请求报文和对应的 HTTP 应答报文, 仔细分析它们的格式,填写下面两个表格。 ? ?
表2 HTTP 应答报文格式 分析在截获的报文中,客户机与服务器建立了几个连接?服务器和客户机分别使用了哪几个端口号? 建立了10个连接,服务器使用率1281,1282,1283,1284,1285,1286,1287,1288,1289端口,客户端使用80端口 1.获取长文件 (1)启动浏览器,将浏览器的缓存清空。
(2)启动Sniffer,设定过滤器HTTP,在浏览器地址栏中输入以下网址:https://www.wendangku.net/doc/072260837.html,/wireshark-labs/HTTP-wireshark-file3.html 浏览器将显示一个相当大的美国权利法案。
(3)停止Sniffer,保存为:http2-座号-姓名,回答以下问题。 ?一共发出了多少个HTTP GET请求? 4个GET请求 ?承载这个HTTTP响应报文需要多少个data-containing TCP报文段? 一共需要4个TCP报文段 ?与GET请求相对应的响应报文状态码和状态短语是什么?。 状态码:302 状态短语:Found ?在被传送的数据中共有多少个HTTP状态行与TCP-induced continuation有 关? 有,对于一个大的HTML文件会被TCP分为若干个独立的小包传输,他们是连 续的,如下图 2.嵌有对象的HTML文档 (1)启动浏览器,将浏览器的缓存清空。 (2)启动Sniffer,设定过滤器HTTP,在浏览器地址栏中输入以下网址: https://www.wendangku.net/doc/072260837.html,/wireshark-labs/HTTP-wireshark-file5.html 浏览器将显示一个具有两个图片的短HTTP文件。
IEC104规约报文分析(104报文解释的比较好的文本)
IEC104规约调试小结 一、四遥信息体基地址范围 “可设置104调度规约”有1997年和2002年两个版本,在流程上没有什么变化,02 此配置要根据主站来定,有的主站可能设为1,1,2,我们要改与主站一致。 三、以公共地址字节数=2,传输原因字节数=2,信息体地址字节数=3为例对一些基本的报 文分析 第一步:首次握手(U帧) 发送→激活传输启动:68(启动符)04(长度)07(控制域)00 00 00 接收→确认激活传输启动:68(启动符)04(长度)0B(控制域)00 00 00 第二步:总召唤(I帧) 召唤YC、YX(可变长I帧)初始化后定时发送总召唤,每次总召唤的间隔时间一般设为15分钟召唤一次,不同的主站系统设置不同。 发送→总召唤: 68(启动符)0E(长度)00 00(发送序号)00 00(接收序号)64(类型标示)01(可变结构限定词)06 00(传输原因)01 00(公共地址即RTU地址)00 00 00(信息体地址)14(区分是总召唤还是分组召唤,02年修改后的规约中没有分组召唤) 接收→S帧: 注意:记录接收到的长帧,双方可以按频率发送,比如接收8帧I帧回答一帧S帧,也可以要求接收1帧I帧就应答1帧S帧。 6804 01 00 02 00 接收→总召唤确认(发送帧的镜像,除传送原因不同): 68(启动符)0E(长度)00 00(发送序号)00 00(接收序号)64(类型标示)01(可变结构限定词)07 00(传输原因)01 00(公共地址即RTU地址)00 00 00(信息体地址)14(同上) 发送→S帧: 注意:记录接收到的长帧,双方可以按频率发送,比如接收8帧I帧回答一帧S帧,也可以要求接收1帧I帧就应答1帧S帧。 68 04 01 00 02 00
报文分析
Arp报文分析: Arp 报文格式:三层:Frame、Ethernet、Address Resolution Protocol 协议类型:IP 先在DOC命令窗口下:ping 10.16.134.66 网关的ARP: Arp请求: Arp应答: 目的主机: Arp请求: Arp响应:
分析: 当主机10.16.134.62向主机10.16.134.66发送时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到目标IP地址,主机A就会在网络上发送一个广播,此时,主机A发送的帧包含:sender MAC address( 本机的MAC地址),sender IP address(本机IP地址),目标主机B的target MAC address(全部为空)target IP address(目标主机的IP地址)。这表示向同一网段内的所有主机发出这样的询问:“我是10.16.134.62,我的MAC是"c8:3a:35:d3:cf:41".请问IP地址为10.16.134.66的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“10.16.134.66的MAC地址是c8:3a:35:d3:77:1d”。这样,主机A就知道了主机B的MAC 地址,它就可以向主机B发送信息了。同时A和B还同时都更新了自己的ARP缓存表(因为A在询问的时候把自己的IP和MAC地址一起告诉了B),下次A再向主机B或者B向A发送信息时,直接从各自的ARP缓存表里查找就可以了。 ARP缓存表采用了老化机制(即设置了生存时间TTL),在一段时间内(一般15到20分钟)如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。 (注:此时arp缓存表中已经删除了10.16.134.66 的MAC 地址) TCP报文分析:
MQTT协议14种报文分析.docx
MQTT协议14种报文分析 实习报告 课程名称: _____ 实习题目: ___________________ 专业班级: _____________学生姓名: __________ 学号: ___________实习成绩: 指导教师签名:年月日
[-c config file] 指定的配置文件中的端口 -v 代码调试模式(verbose)可以输出更多的信息 2.MQTT客户端Eclipse Paho MQTT (1)下载解压缩后,双击paho.exe,打开后的对界面如下 (2)点击上图中的十字图标,就能新建一个MQTT的客户端的连接,输入正确的MQTT服务端的连接地址, (3)这个时候我们就能订阅消息了。选择“Subscription”下方的绿色十字图标,就可以输入订阅的主题(topic)的名字,比如我们设置主题名称为“test”,并点击“Subscribe”按钮 (4)往MQTT服务发送一条某一主题的MQTT消息。然后点击“Publish”按钮,这个时候,我们就能看到消息已经发送成功,且在步骤(3)订阅的同一主题也收到了消息。 3.安装和使用协议分析软件wireshark (1)安装WiresharkPortable_2.2.1.paf.exe (2)捕获MQTT协议报文 (3)在Wireshark中,分为capture filter和Display Filer,我们只需要在WireShark 软件中的capture filter 输入下面的过滤条件,则与MQTT服务交互的相关TCP 的数据包就能抓取到。如下图所示意.
这个时候,我们先启动WireShark,然后点击Eclipse Paho MQTT工具的“Connect”,这个时候WireShark就能抓取下面的TCP数据包。 2.2 主要实验步骤 操作:按照“MQTT-3.1.1-CN”文档各种报文的实现方法依次实现,抓包结果截图,结合参考文档分析实验结果。 结果:如下各图所示 14种报文分析说明具体如下: 1.CONNECT –连接服务端
模型及MMS报文分析
6 1 8 5 0 模型及M M S 报文分析基础 2012-02 参考文档: 1 .《数字化变电站调试总结 -马玉龙》 2.《 IEC61850 标准》《 IEC61850 实施规范》
1文件类型............................... 1.1ICD/CID文件结构 .......................................................... 2模型验证............................... 3、IED配置.............................. 3.1IED和LD(Logical Device相关信息 .......................................... 3.2逻辑节点LN (Logical Node) ............................................... 3.3数据DO( Data Object)及数据属性DA( Data attribute) ........................ 3.4数据集:DOI /DAI的集合.................................................... 3.5 报告控制块ReportControl: .................................................. 4如何抓包............................... 4.1抓包工具............................................................... 4.2抓包方法............................................................... 4.3分析举例............................................................... 5、MMS艮文简析............................. 5.1初始化相关............................................................... 5.2报告相关................................................................. 5.3录波相关................................................................. 5.4控制相关................................................................. 5.5定值相关.................................................................
HTTP请求报文格式
HTTP报文是面向文本的,报文中的每一个字段都是一些ASCII码串,各个字段的长度是不确定的。HTTP有两类报文:请求报文和响应报文。 请求报文 一个HTTP请求报文由请求行(request line)、请求头部(header)、空行和请求数据4个部分组成,下图给出了请求报文的一般格式。 (1)请求行 请求行由请求方法字段、URL字段和HTTP协议版本字段3个字段组成,它们用空格分隔。例如,GET /index.html HTTP/1.1。 HTTP协议的请求方法有GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT。这里介绍最常用的GET方法和POST方法。 GET:当客户端要从服务器中读取文档时,使用GET方法。GET方法要求服务器将URL定位的资源放在响应报文的数据部分,回送给客户端。使用GET方法时,请求参数和对应的值附加在URL后面,利用一个问号(“?”)代表URL 的结尾与请求参数的开始,传递参数长度受限制。例如, /index.jsp?id=100&op=bind。 POST:当客户端给服务器提供信息较多时可以使用POST方法。POST方法将请求参数封装在HTTP请求数据中,以名称/值的形式出现,可以传输大量数据。 (2)请求头部 请求头部由关键字/值对组成,每行一对,关键字和值用英文冒号“:”分隔。请求头部通知服务器有关于客户端请求的信息,典型的请求头有:User-Agent:产生请求的浏览器类型。 Accept:客户端可识别的内容类型列表。 Host:请求的主机名,允许多个域名同处一个IP地址,即虚拟主机。 (3)空行 最后一个请求头之后是一个空行,发送回车符和换行符,通知服务器以下不再有请求头。 (4)请求数据
OSPF报文格式分析
OSPF的报文格式 OSPF报文直接封装为IP报文协议报文,协议号为89。一个比较完整的OSPF报文(以LSU报文为例)结构如图8所示。 1. OSPF报文头 OSPF有五种报文类型,它们有相同的报文头。如图9所示。 主要字段的解释如下: ●????????????? Version:OSPF的版本号。对于OSPFv2来说,其值为2。 ●????????????? Type:OSPF报文的类型。数值从1到5,分别对应Hello报文、DD报文、LSR报文、L SU报文和LSAck报文。 ●????????????? Packet length:OSPF报文的总长度,包括报文头在内,单位为字节。 ●????????????? Router ID:始发该LSA的路由器的ID。 ●????????????? Area ID:始发LSA的路由器所在的区域ID。 ●????????????? Checksum:对整个报文的校验和。 ●????????????? AuType:验证类型。可分为不验证、简单(明文)口令验证和MD5验证,其值分别为0、 1、2。 ●????????????? Authentication:其数值根据验证类型而定。当验证类型为0时未作定义,为1时此字段为密码信息,类型为2时此字段包括Key ID、MD5验证数据长度和序列号的信息。 说明: MD5验证数据添加在OSPF报文后面,不包含在Authenticaiton字段中。 2. Hello报文(Hello Packet) 最常用的一种报文,周期性的发送给邻居路由器用来维持邻居关系以及DR/BDR的选举,内容包括一些定时器的数值、DR、BDR以及自己已知的邻居。Hello报文格式如图10所示。
抓包工具以及报文解析
包工具以及报文解析抓常用的包工具有抓Windows下的mms-etherealWireShark和Solaris下的snoop命令。 mms-ethereal可以自动解释mms报文适合进行应用层报文的分析WireShark是ethereal的替代版本介面更加友好但标准版本中没有对mms报文分析的支持snoop主要是用来包没有图形化的分析介面抓snoop取的档可以用抓WireShark打开辅助分析对於广播和组播报文如装置的UDP心跳报文、GOOSE报文61850-9-2的smv采样报文可以用笔记本连接到交换机上任意埠取。对於后台与装置之间的抓TCP通讯有两种方法。一是直接在后台机上安装软体来包二是利用抓HUB 连接后台与装置将笔记本接到HUB上包。抓注意是HUB不能交换机。调试61850的站最好要家里带上一个HUB库房一般是8口10M的TP-LINK---不是交换机。主要用於资料包便於档问题抓。没有HUB根本没有办法档看远动与装置的mms报文只能取到抓goose资料包。如果现场有管理型交换机也可以通过设置埠镜像功能来监视mms报文。WireShark和mms-ethereal均是图形化的介面使用起来比较简单注意选择正确的网可。卡即snoop的使用方法可以用man snoop取得最基本的命令为snoop -d bge0 -o xx.snoop 下面均以WireShark例为mms-ethereal与之类似。1 设置包过滤条件抓在后台上包时资料量比较大档一大之后解析起来速度慢如果单纯了分析抓很为应用层报文可在包的时候
设置过滤条件。如果了分析网路通断问题一般不设置过抓为滤条件便於全面了解网路状况。包过滤条件在抓 Capture-Options-Capture Filter里设置点Capture Filter会有多现很成的例子下面列几个最常用的。举tcp 只取抓tcp报文udp 只取抓udp报文host 198.120.0.100 只取抓198.120.0.100的报文ether host 00:08:15:00:08:15 只取指定抓MAC地址的报文2 设置显示过滤条件打开一个包档后可以在工具列上的抓filter栏设置显示过滤条件这里的语法与Capture Filter 有点差别例如下。举tcp 只取抓tcp报文udp 只取抓udp报文ip.addr198.120.0.100 只取抓198.120.0.100的报文 eth.addr00:08:15:00:08:15 只取指定抓MAC地址的报文还可以在报文上点击右键选择apply as filter等创建一个过滤条件比较方便。3 判别网路状况输入显示过滤条件 tcp.analysis.flags可以显示失、重发等异常情况相关的丢TCP 报文此类报文的出现频率可以作评网路状况的一个尺规。常见的异常类型有以下几个为估TCP Retransmission由於没有及时收到ACK报文而档生的重传报文TCP Dup ACK xxx 重复的ACK报文TCP Previous segment lost前一帧报文失丢TCP Out-Of-OrderTCP的帧顺序错误偶尔出现属於正常现象完全不出现说明网路状态上佳。监视TCP连接建立与中断输入显示过滤条件tcp.flags.syn1tcp.flags.fin1 tcp.flags.reset1SYN是TCP建立的第一步FIN是TCP连接正
IEC104规约报文分析(104报文解释的比较好的文本)
IEC104规约报文分析(104报文解释的比较好的文本)
IEC104规约调试小结 一、四遥信息体基地址范围 “可设置104调度规约”有1997年和2002年两个版本,在流程上没有什么变化,02版只是在97版上扩展了遥测、遥信等信 息体基体址,区别如下: 二、一些报文字节数的设置
此配置要根据主站来定,有的主站可能设为1,1,2,我们要改与主站一致。 三、以公共地址字节数=2,传输原因字节数=2, 信息体地址字节数=3为例对一些基本的报 文分析 第一步:首次握手(U帧) 发送→激活传输启动:68(启动符)04(长度) 07(控制域)00 00 00 接收→确认激活传输启动:68(启动符)04(长度) 0B(控制域)00 00 00 第二步:总召唤(I帧) 召唤YC、YX(可变长I帧)初始化后定时发送总召唤,每次总召唤的间隔时间一般设为15分钟召唤一次,不同的主站系统设置不同。 发送→总召唤: 68(启动符)0E(长度)00 00(发送序号)00 00(接收序号)64(类型标示)01(可变结构限定词)06 00(传输原因)01 00(公共
地址即RTU地址)00 00 00(信息体地址)14(区分是总召唤还是分组召唤,02年 修改后的规约中没有分组召唤) 接收→S帧: 注意:记录接收到的长帧,双方可以按频率发送,比如接收8帧I帧回答一帧S帧,也可以要求接收1帧I帧就应答1帧S帧。 6804 01 00 02 00 接收→总召唤确认(发送帧的镜像,除传送原因不同): 68(启动符)0E(长度)00 00(发送序号)00 00(接收序号)64(类型标示)01(可变结构限定词)07 00(传输原因)01 00(公共 地址即RTU地址)00 00 00(信息体地址)14(同上) 发送→S帧: 注意:记录接收到的长帧,双方可以按频率发送,比如接收8帧I帧回答一帧S帧,也可以要求接收1帧I帧就应答1帧S帧。 68 04 01 00 02 00 接收→YX帧(以类型标识1为例):68(启动符)1A(长度)02 00(发送序号)02 00(接收序号)01(类型标示,单点遥信)04(可变结构限定词,有4个遥信上送)14 00(传 输原因,响应总召唤)01 00(公共地址即RTU地址)03 00 00(信息体地址,第3号遥信)00(遥信分) 发送→S帧: 68 04 01 00 04 00
网络协议实验三wireshark分析http
1.你的浏览器运行的是,还是?你所访问的服务器所运行的HTTP版本号是多少? 答:HTTP version 4 2. 你的浏览器向服务器指出它能接收何种语言版本的对象? 答:Accept language: zh-CN\r\n 3. 你的计算机的IP地址是多少?服务器的IP地址是多少? 答:我的IP是:服务器: 从服务器向你的浏览器返回的状态代码是多少? 答:200 OK 5. 你从服务器上所获取的HTML文件的最后修改时间是多少?
答:如图 6.返回到你的浏览器的内容以供多少字节? 答:24370 在浏览器地址栏中如下网址: 分析你的浏览器向服务器发出的第一个HTTP GET请求的内容,在该请求报文中,是否有一行是:IF-MODIFIED-SINCE? 答:没有 9.分析服务器响应报文的内容,服务器是否明确返回了文件的内容?如何获知? 答:有 HTTP/ 200 OK(text/html)
10.分析你的浏览器向服务器发出的第二个“HTTP GET”请求,在该请求报文中是否有一行是:IF-MODIFIED-SINCE?如果有,在该首部行后面跟着的信息是什么? 答:仍然没有。如图。 11.服务器对第二个HTTP GET请求的响应中的HTTP状态代码是多少?服务器是否明确返回了文件的内容?请解释。 答:状态码和相应状态信息的值为304 NOT Modified,他表示缓存器可以使用该对象。第二次没有返回文件的内容,因为他只是作为对该条件GET的响应,WEB服务器只发送一个响应报文,不包含请求的对象。 12. 你的浏览器一共发出了多少个HTTP GET请求? 答:1个 13. 传输这一个HTTP响应需要多少个TCP报文段? 答:4个。
实验二基本报文分析(IP)汇总
实验报告 课程名称计算机网络 实验名称实验二基本报文分析(IP) 系别__计算机学院_ 专业___软件工程 ___ 班级/学号软工1301班/2013_ 学生姓名___ _ _ ___ _ ____ 实验日期___2015年11月18日 ___ 成绩________________________指导教师_ ___ _ ___
基本报文分析(IP)【实验目的】 1、理解IP层的作用以及IP地址的分类方法; 2、理解子网的划分和子网掩码的作用; 3、掌握IP数据包的组成和网络层的基本功能; 【实验学时】 4学时 【实验环境】 图3-2 实验拓扑图 【实验内容】 1、学会根据IP地址的分类方式区分各类IP地址; 2、掌握IP数据报的格式、长度以及各字段的功能; 3、学会利用子网掩码确定IP地址的网络号、子网号和主机号;
4、学会分析给定数据包的IP首部信息; 5、学会手工计算IP校验和的方法; 【实验流程】 图3-3 实验流程图【实验原理】 详见理论教材 【实验步骤】 步骤一:设定实验环境 1、参照实验拓扑连接网络拓扑;
步骤二:利用网络协议分析软件捕获并分析IP数据包 1、在某台主机中打开网络协议分析软件,在工具栏中点击“开始”,待一段时间后,点击“结束”, 2、在捕获到数据包中,选择IP数据包进行分析,如下图所示。 图3-5 IP数据包分析 分析捕获到的IP数据包,因此在本实验中,只分析数据的的IP包头部分。 ●版本信息:4,标识此报文为IPv4报文。 ●头部长度:5,标识IP报头长度为5个32比特。在上图中,IP报头最末端为01 FF,整个IP包头长度为20字节,共160位,即32比特的5倍。 ●区分服务类型:0,在此报文中不涉及服务质量的区分。 ●总长度:64,表示总长度为64字节。 ●标识:0X827,此数据包没有进行分片。 ●标志:2,二进制为010,表示此数据包不可分片。 ●分段偏移量:0X0000,此数据包没有进行分片。 ●生存时间:128,每经过一个路由器,生存时间减1,当生存时间减小为0时,数 据包被丢弃而不被转发。
HTTP响应报文与工作原理详解
超文本传输协议(Hypertext Transfer Protocol,简称HTTP)是应用层协议。HTTP 是一种请求/响应式的协议,即一个客户端与服务器建立连接后,向服务器发送一个请求;服务器接到请求后,给予相应的响应信息。 HTTP 请求报文 HTTP 请求报文由请求行、请求头部、空行和请求包体 4 个部分组成,如下图所示: 下面对请求报文格式进行简单的分析: 请求行:请求行由方法字段、URL 字段和HTTP 协议版本字段 3 个部分组 成,他们之间使用空格隔开。常用的 HTTP 请求方法有 GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT; ● GET:当客户端要从服务器中读取某个资源时,使用GET 方法。GET 方法要求服务器将URL 定位的资源放在响应报文的数据部分,回送给客户端,即向服务器请求某个资源。使用GET 方法时,请求参数和对应的值附加在 URL 后 面,利用一个问号(“?”)代表URL 的结尾与请求参数的开始,传递参数长度 受限制。例如,/index.jsp?id=100&op=bind。 ● POST:当客户端给服务器提供信息较多时可以使用POST 方法,POST 方法 向服务器提交数据,比如完成表单数据的提交,将数据提交给服务器处理。GET 一般用于获取/查询资源信息,POST 会附带用户数据,一般用于更新资源信息。POST 方法将请求参数封装在HTTP 请求数据中,以名称/值的形式出现, 可以传输大量数据; 请求头部:请求头部由关键字/值对组成,每行一对,关键字和值用英文冒号“:”分隔。请求头部通知服务器有关于客户端请求的信息,典型的请求头有: ● User-Agent:产生请求的浏览器类型;
计算机网络实验报告之数据报文分析&基本命令
实验一数据报文分析 一、分组及实验任务 学号:xxxxxxxx 姓名:xxxxxxxx 试验台:5组 同组同学:xxxxxxxx 二、实验环境 本实验中不需要动手连线,机房中所有主机均通过交换机相连,组成局域网。相邻的2名同学组成一个小组,完成本次实验。 三、实验过程 1、网络命令学习 (1)点击“开始”→“运行”,输入cmd回车,打开的是dos的命令窗口,在命令行中输入ipconfig 命令,查看计算机当前的IP地址、子网掩码和默认网关。添加上参数,输入ipconfig /all 记录本地连接中IP地址,MAC地址(Physical Address),网关(Default Gateway)等信息。如: MAC:00-98-99-00-EA-32 IP:222.28.78.X 网关:222.28.78.1 (2)在命令行下输入route print命令,查看本机上路由表信息。 (3)输入arp –a 命令,查看本地高速缓存中IP地址和MAC地址的信息,并记录下来。(4)相邻的两位同学组成一组,输入命令ping 222.28.78.X(对方IP地址),如ping 222.28.78.100 ,测试当前主机到目的主机的网络连接状态。读懂ping包下面的统计信息,判断是否连通。
(5)再次输入arp –a命令,查看本地高速缓存中IP地址和MAC地址的信息,并记录下来。 2、软件学习 (1)点击桌面图标“wireshark”,打开网络分析软件。 (2)点击菜单栏中的“capture” →“Interfaces”,查看网络接口的当前状态。在相应的接口后面点击“start”,即可开始抓包。点击菜单栏的“capture” →“stop”即可停止抓包。 (3)点击菜单栏的“capture” →“option”,在过滤器Capture Filter栏输入ether proto 0x0806 or ip proto 1,表明只抓取ARP和ICMP数据。点击“start”,开始抓包,在dos命令行下输入命令(ping+对方IP),观察抓到的包,点击菜单栏的“capture” →“stop”停止抓包。 分析抓到的一组ARP数据包,即请求(request)和应答(reply)包,记录数据链路层的源地址和目的地址。 分析一组ICMP数据包,请求(request)和应答(reply),记录数据链路层的源地址和目的地址;IP协议的源地址和目的地址。 (4)抓取TCP协议的三次握手过程,并分析TCP数据包, 记录连接的序列号、确认号和标识符(即:seq、SYN、ACK、ack等)。 3、路由器基本配置练习 四、问题解答 一: 1. 使用“route add”添加缺省路由的命令是什么?和在IP 地址配置界面配置的默认网关有什么联系? 添加缺省路由的命令是route add –p (IP address) mask (Sub Network mask) (Gateway) 。该缺省路由与在IP 地址配置界面配置的默认网关是一致的。 2. “netstat –r”和哪个命令是等价的? 答:“netstat –r”和“route print”命令是等价
61850与mms报文分析
61850模型及报文分析 61850模型及MMS报文分析基础 2012-02 参考文档: 1.《数字化变电站调试总结-马玉龙》 2. 《IEC61850标准》《IEC61850实施规范》 目录 1、文件类型 (3) 1.1 ICD/CID文件结构 (3) 2模型验证 (3) 3、IED配置 (4) 3.1 IED和LD(Logical Device)相关信息 (4) 3.2 逻辑节点LN (Logical Node) (5) 3.3数据DO(Data Object)及数据属性DA(Data attribute) (7) 3.4 数据集:DOI /DAI的集合 (10) 3.5 报告控制块ReportControl: (11) 4 如何抓包 (12) 4.1 抓包工具 (12) 4.2 抓包方法 (12) 4.3 分析举例 (12)
5、MMS报文简析 (16) 5.1初始化相关 (16) 5.2报告相关 (21) 5.3录波相关 (29) 5.4控制相关 (32) 5.5定值相关 (35)
第一部分:模型文件基础 1、文件类型 IED(智能电子设备,指保护、测控等设备)应提供ICD文件,描述IED的能力及通信内容,如是否具有定值、压板、动作信号等。 系统集成工具把各IED的ICD文件集成并进行实例化如IED名、信息点描述等形成站级模型文件-SCD文件,供站级(包括监控、远动、故障信息主子站)应用。 IED从SCD文件中导出本IED相关部分形成CID文件,即实例化后的IED 模型文件,供IED运行时用。 1.1 ICD/CID文件结构 -Header:历史版本信息等 -Communication:GOOSE配置等-IED:定值、压板、动作信号等-DataTypeTemplates :对象类型定义 2模型验证 xmlSpy可做一些语法方面的验证。 四方61850客户端工具软件可作进一步验证。 3、IED配置 IEC61850模型总体-模型的分析 注:本部分示例大部分取自培训资料包中的CSC326DES1.cid。 3.1 IED和LD(Logical Device)相关信息 1、 icd文件中的IED名一般为Template
HTTP请求报文格式
HTTP请求报文格式 HTTP报文是面向文本的,报文中的每一个字段都是一些ASCII码串,各个字段的长度是不确定的。HTTP有两类报文:请求报文和响应报文。 请求报文 一个HTTP请求报文由请求行(request line)、请求头部(header)、空行和请求数据4个部分组成,下图给出了请求报文的一般格式。 (1)请求行 请求行由请求方法字段、URL字段和HTTP协议版本字段3个字段组成,它们用空格分隔。例如,GET /index.html HTTP/1.1。 HTTP协议的请求方法有GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT。这里介绍最常用的GET方法和POST方法。 GET:当客户端要从服务器中读取文档时,使用GET方法。GET方法要求服务器将URL 定位的资源放在响应报文的数据部分,回送给客户端。使用GET方法时,请求参数和对应的值附加在URL后面,利用一个问号(“?”)代表URL的结尾与请求参数的开始,传递参数长度受限制。例如,/index.jsp?id=100&op=bind。 POST:当客户端给服务器提供信息较多时可以使用POST方法。POST方法将请求参数封装在HTTP请求数据中,以名称/值的形式出现,可以传输大量数据。 (2)请求头部 请求头部由关键字/值对组成,每行一对,关键字和值用英文冒号“:”分隔。请求头部通知服务器有关于客户端请求的信息,典型的请求头有:
User-Agent:产生请求的浏览器类型。 Accept:客户端可识别的内容类型列表。 Host:请求的主机名,允许多个域名同处一个IP地址,即虚拟主机。 (3)空行 最后一个请求头之后是一个空行,发送回车符和换行符,通知服务器以下不再有请求头。 (4)请求数据 请求数据不在GET方法中使用,而是在POST方法中使用。POST方法适用于需要客户填写表单的场合。与请求数据相关的最常使用的请求头是Content-Type和Content-Length。