从报文到实战:手把手带你用Wireshark抓包分析IEC 104规约的TCP交互过程
工业通信协议深度解析:Wireshark抓包实战IEC 104规约全流程
在电力自动化系统中,IEC 60870-5-104规约作为TCP/IP网络上的关键通信标准,承载着遥测、遥信、遥控等核心功能的实时数据传输。本文将带您深入理解如何通过Wireshark这一专业网络分析工具,从底层报文交互的视角完整解析IEC 104规约的工作机制。不同于简单的协议介绍,我们将聚焦实际运维中遇到的连接异常、数据丢包、时序错乱等典型问题,提供可立即应用于生产环境的诊断方法论。
1. 环境准备与基础配置
1.1 Wireshark抓包环境搭建
工欲善其事,必先利其器。在进行IEC 104规约分析前,需要确保Wireshark正确配置:
# 在Linux系统安装最新版Wireshark sudo apt update && sudo apt install wireshark # 将当前用户加入wireshark组避免权限问题 sudo usermod -aG wireshark $USER注意:生产环境中建议使用端口镜像或网络分光器获取流量,避免直接在主通道上抓包影响业务
关键配置步骤:
- 网卡选择:在"Capture"菜单下选择连接SCADA系统的物理网卡或虚拟接口
- 捕获过滤器:设置
tcp port 2404限定只抓取IEC 104默认端口流量 - 显示过滤器:预设
tcp.port == 2404 && iec60870_104快速定位规约报文
1.2 IEC 104规约报文结构速览
IEC 104采用典型的APDU结构,每个数据单元包含:
| 字段 | 长度(字节) | 说明 | 示例值 |
|---|---|---|---|
| 启动字符 | 1 | 固定0x68 | 68 |
| APDU长度 | 1 | 控制域+ASDU总长 | 1C |
| 控制域 | 4 | 传输控制信息 | 00 00 00 00 |
| ASDU | 可变 | 实际业务数据 | 01 8F 14 00... |
控制域格式解析:
- I格式:信息帧,包含发送/接收序号(占4字节)
- S格式:确认帧,仅含接收序号(占2字节)
- U格式:控制帧,用于启停连接(占1字节)
2. 连接建立与维持机制
2.1 TCP三次握手与104会话启动
通过Wireshark观察完整的连接建立过程:
TCP层握手:
No. 时间 源IP 目标IP 协议 长度 信息 1 0.000000 192.168.1.1 192.168.1.2 TCP 66 [SYN] Seq=0 Win=8192 2 0.000042 192.168.1.2 192.168.1.1 TCP 66 [SYN, ACK] Seq=0 Ack=1 3 0.000053 192.168.1.1 192.168.1.2 TCP 54 [ACK] Seq=1 Ack=1104规约U帧交互:
- 主站发送STARTDT激活指令:
68 04 07 00 00 00 - 子站回复STARTDT确认:
68 04 0B 00 00 00
- 主站发送STARTDT激活指令:
典型故障:若5秒内未收到STARTDT确认,主站会重发U帧,连续3次失败将断开TCP连接
2.2 心跳机制与链路维护
正常通信时,双方通过S帧进行链路维护:
No. 时间 源IP 目标IP 协议 长度 信息 45 12.342.111 192.168.1.2 192.168.1.1 IEC104 12 [S] Rx=36关键参数说明:
- t0超时:心跳间隔,默认30秒
- t1超时:发送帧等待确认时间,默认15秒
- t2超时:收到数据后确认延迟,默认10秒
3. 业务数据传输分析
3.1 总召唤过程报文解析
完整的总召唤(GI)流程包含四个阶段:
主站发起召唤:
# 类型标识100,传送原因6(激活) 68 0E 00 00 02 00 64 01 06 00 01 00 00 00 00 14子站确认召唤:
# 类型标识100,传送原因7(激活确认) 68 0E 00 00 04 00 64 01 07 00 01 00 00 00 00 14数据传输阶段:
- 单点遥信(类型1):
68 1C 00 00 06 00 01 8F 14 00... - 双点遥信(类型3):
68 1C 00 00 08 00 03 8F 14 00...
- 单点遥信(类型1):
结束确认:
# 类型标识100,传送原因10(激活终止) 68 0E 00 00 0A 00 64 01 0A 00 01 00 00 00 00 14
3.2 循环数据传输模式
子站主动上传的遥测数据典型结构:
68 22 5E 0C 08 00 09 04 03 00 01 00 02 07 00 FF 7F 01 06 07 00 2D 20 00 0E 07 00 DD 1C 00字段解析:
09:类型标识(归一化测量值)04:可变结构限定词(SQ=0,4个信息体)03 00:传送原因(3=突发)01 00:公共地址(站号1)02 07 00:信息体地址(0x0702)
4. 典型故障诊断案例
4.1 接收序号不连续问题
当出现以下报文序列时表明存在丢包:
No. 时间 源IP 目标IP 协议 长度 信息 123 15:30:22 192.168.1.1 192.168.1.2 IEC104 [I] Tx=50 Rx=42 124 15:30:23 192.168.1.2 192.168.1.1 IEC104 [S] Rx=50 125 15:30:25 192.168.1.1 192.168.1.2 IEC104 [I] Tx=52 Rx=42诊断步骤:
- 检查125帧的Rx序号仍为42,说明50-51帧未被确认
- 使用
tcp.stream eq 0过滤器定位TCP层是否发生重传 - 统计
iec60870_104.nr != iec60870_104.expected_nr异常计数
4.2 超时断连问题排查
当通信中断时,按以下顺序检查:
- 物理层:
ping -t 192.168.1.2观察延迟与丢包 - TCP层:
netstat -ano | findstr 2404确认连接状态 - 应用层:过滤
iec60870_104.type == 0x03查看TESTFR心跳帧
常见超时参数配置建议:
| 参数 | 默认值(秒) | 推荐范围 | 调整影响 |
|---|---|---|---|
| t0 | 30 | 20-60 | 值越小心跳越频繁 |
| t1 | 15 | 10-30 | 影响命令响应速度 |
| t2 | 10 | 5-15 | 关系确认延迟 |
5. 高级分析与优化技巧
5.1 自定义Wireshark解析插件
对于非标准端口或私有扩展,可编写Lua解析脚本:
-- 保存为iec104_custom.lua local iec104_proto = Proto("IEC104_Custom", "IEC 60870-5-104 Custom") local fields = iec104_proto.fields fields.extension = ProtoField.uint16("iec104.ext", "Extension Field", base.HEX) function iec104_proto.dissector(buffer, pinfo, tree) local offset = 0 local ext_tree = tree:add(iec104_proto, buffer(), "Custom Fields") ext_tree:add(fields.extension, buffer(offset, 2)) offset = offset + 2 end -- 注册到104端口 local tcp_port = DissectorTable.get("tcp.port") tcp_port:add(2405, iec104_proto)5.2 流量统计与性能分析
使用Wireshark内置的统计功能:
- 会话统计:
Statistics → Conversations → TCP查看各连接数据量 - IO图表:
Statistics → IO Graphs绘制报文速率曲线 - 专家信息:
Analyze → Expert Info汇总错误与警告
关键性能指标:
| 指标 | 健康阈值 | 测量方法 |
|---|---|---|
| 端到端延迟 | <100ms | 过滤tcp.time_delta |
| 吞吐量 | >50帧/秒 | IO图表统计 |
| 重传率 | <0.1% | tcp.analysis.retransmission过滤 |
在实际变电站自动化系统中,我们曾通过报文分析发现某设备在发送超过120字节的ASDU时会概率性丢包,最终确认为嵌入式处理器的TCP窗口配置问题。这类深层次问题只有通过原始报文分析才能准确定位。