wireshark抓取静态

### 使用Wireshark捕获和分析SIP协议数据包 #### 启动Wireshark并选择接口 启动Wireshark应用程序后，在主界面中可以看到多个可用的网络接口。为了开始捕捉流量，需点击相应的接口名称来开启实时监控模式。 对于特定于SIP（Session Initiation Protocol）协议的数据包过滤，可以在程序界面上方找到输入框用于定义捕获筛选条件。在此处键入`sip`作为BPF (Berkeley Packet Filter) 表达式的关键词[^1]。 ```bash sip ``` 这将确保只记录与SIP有关联的信息流而排除其他无关通信内容。 #### 应用显示过滤器细化查看结果 一旦已经获取了一定量的数据之后，则可通过应用更精确的显示过滤器进一步缩小关注范围。在“报文列表”面板上方存在另一个文本框允许用户指定复杂的表达式以便更好地定位所需条目。例如： - `sip.Method == "INVITE"` 只展示那些请求方法为 INVITE 的 SIP 数据帧； - 或者通过组合不同字段创建更加个性化的查询语句如 `sip.Request-Line contains "REGISTER"` 来查找注册消息。 这些操作有助于快速锁定感兴趣的交互过程而不必浏览过多冗余信息[^2]。 #### 处理忽略功能优化效率 当面对大量历史日志文件时，可能希望暂时移除某些不重要的样本以免干扰当前研究工作。此时可利用Wireshark内置的支持机制——即标记某条记录为已忽略状态。被如此处理过的项目将以淡色调呈现，并且不会参与后续统计计算当中；不过值得注意的是实际物理存储并未受到影响，随时能够恢复可见性。 #### 清理临时路由配置提高性能表现 如果之前因为测试目的添加了一些特殊的静态路由项指向本地回环地址或其他地方的话，在完成相应实验环节以后记得及时清理掉它们。比如执行命令`route delete 172.16.51.115 mask 255.255.255.255 172.16.1.1`就可以撤销先前建立的一条具体路径映射关系，从而避免不必要的资源消耗以及潜在的安全隐患[^3]。

<think>嗯，我现在需要弄清楚如何用Wireshark抓取S7-1200 PLC和智能仪表之间的Modbus TCP通信数据包。这个问题对我来说有点挑战，因为我对PLC和Modbus TCP都不是很熟悉，但我会尽力一步步来解决。 首先，我应该先了解S7-1200和智能仪表之间的通信方式。用户提到的是Modbus TCP，所以这是一个基于TCP/IP的协议，运行在以太网上。这意味着数据包是通过网络传输的，而Wireshark作为网络协议分析工具，应该能够捕获这些数据包。不过，我需要确认PLC和仪表之间的物理连接以及网络配置。 接下来，我需要考虑如何设置Wireshark来捕获正确的数据包。首先，确保计算机上安装了Wireshark，并且计算机需要连接到与PLC和智能仪表相同的网络。可能需要将计算机连接到同一个交换机，或者通过镜像端口（如果使用交换机的话）来监听到数据流量。如果网络中没有配置端口镜像，可能需要将计算机直接连接到其中一个设备，或者使用集线器而不是交换机，因为集线器会广播所有数据包到所有端口，而交换机只会发送到目标端口，这样可能无法捕获到其他设备之间的通信。 然后，配置Wireshark的捕获选项。打开Wireshark后，选择正确的网络接口，比如以太网接口或者无线接口，这取决于计算机如何连接到网络。如果PLC和仪表使用的是特定的IP地址和端口，可能需要在捕获过滤器中设置条件，比如host <IP地址> and port 502，因为Modbus TCP通常使用502端口。不过，如果不知道具体的IP地址，可能需要先捕获所有流量，然后再进行过滤。 在开始捕获之前，可能需要触发PLC和仪表之间的通信，比如让PLC读取或写入仪表的数据，这样才会有数据包产生。然后停止捕获，分析捕获到的数据包。在Wireshark中，可以使用显示过滤器，比如modbus，来筛选出Modbus协议相关的数据包。然后查看每个数据包的详细信息，包括功能码、寄存器地址、数据内容等，以确认通信是否正确。 不过，我可能忽略了一些步骤。例如，是否需要配置PLC和仪表的Modbus TCP参数，比如IP地址、子网掩码、网关是否正确，确保它们在同一个子网内。另外，防火墙设置可能会阻止通信，需要确保相关端口（如502）是开放的。此外，如果PLC和仪表之间有多个网络设备，可能需要确保Wireshark所在的计算机能够监听到它们之间的流量。 还有，如果使用西门子的S7-1200，可能需要配置它的通信模块或内置以太网端口支持Modbus TCP。通常，西门子PLC可能需要使用特定的库或功能块来实现Modbus TCP通信，比如Modbus TCP库（如MB_SERVER和MB_CLIENT）。确保PLC程序正确配置了Modbus功能，并且仪表也正确设置为Modbus TCP从站或主站，视情况而定。 在捕获数据时，可能需要关注三次握手建立TCP连接的过程，然后查看Modbus请求和响应。例如，主站（可能是PLC）发送一个请求，从站（仪表）返回响应。每个Modbus数据帧包含事务标识符、协议标识符、长度、单元标识符，以及功能码和数据部分。通过分析这些字段，可以确认通信是否正常，或者是否存在错误码。 另外，如果Wireshark没有显示预期的数据包，可能需要检查网络配置是否正确，例如IP地址是否冲突，或者物理连接是否有问题。还有可能数据包被加密或使用其他协议封装，但Modbus TCP通常是明文的，所以应该可以看到内容。 总结一下，步骤可能包括： 1. 确保PLC和仪表正确配置Modbus TCP通信，IP地址在同一子网。 2. 将计算机连接到同一网络，可能使用镜像端口或集线器。 3. 在Wireshark中选择正确的网络接口，设置捕获过滤器（如port 502）。 4. 开始捕获，触发PLC和仪表的通信。 5. 停止捕获，使用显示过滤器过滤Modbus TCP数据包。 6. 分析数据包内容，确认通信是否正常。 可能的错误点包括网络配置错误、防火墙阻挡、物理连接问题，或者Wireshark配置不当。需要逐一排除这些问题。</think>以下是使用Wireshark抓取S7-1200 PLC与智能仪表间Modbus TCP通信数据包的步骤指南： --- ### **1. 环境准备** - **网络连接** 确保S7-1200 PLC、智能仪表和运行Wireshark的计算机处于同一局域网。 - **直接连接**：将计算机与PLC/仪表直连（需静态IP配置）。 - **交换机连接**：若通过交换机，需启用**端口镜像**（将PLC/仪表端口流量镜像到计算机连接的端口）。 - **替代方案**：使用集线器（HUB）广播流量，确保计算机能捕获所有数据包。 - **配置设备IP** - 确认PLC和仪表的IP地址（如PLC：`192.168.1.10`，仪表：`192.168.1.20`），子网掩码一致。 - 在PLC中启用Modbus TCP功能（通常需调用`MB_SERVER`或`MB_CLIENT`功能块）。 --- ### **2. Wireshark设置** 1. **启动Wireshark**，选择正确的网络接口（如以太网卡）。 2. **设置捕获过滤器**（可选）： - 按IP和端口过滤：`host 192.168.1.10 and host 192.168.1.20 and port 502` - 仅抓Modbus TCP：`tcp.port == 502` - 若不确定IP，可暂不设过滤器，捕获全部流量后再分析。 3. **开始捕获**：点击“Start”按钮。 --- ### **3. 触发通信** - 在PLC中执行读写操作（如读取仪表的温度寄存器），或确保仪表主动发送数据。 - 观察PLC的通信指示灯（如LINK/ACT）确认数据交互。 --- ### **4. 停止捕获并分析数据** 1. **停止捕获**：点击“Stop”按钮。 2. **应用显示过滤器**：输入`modbus`或`tcp.port == 502`筛选Modbus TCP数据包。 3. **关键字段解析**： - **TCP三次握手**：确认连接建立（SYN, SYN-ACK, ACK）。 - **Modbus协议字段**： - **事务标识符**（Transaction ID）：标识请求/响应对。 - **功能码**（Function Code）：如03（读保持寄存器）、06（写单个寄存器）。 - **寄存器地址**：如40001（对应Modbus地址0000）。 - **数据**：十六进制格式的读写数值。 4. **错误排查**： - 若未捕获数据包：检查防火墙是否关闭，网络是否互通。 - 若数据包异常：查看Modbus错误码（如01非法功能码），确认PLC/仪表配置。 --- ### **5. 示例分析** - **请求帧**（PLC → 仪表）： ``` Transaction ID: 0x0001 Protocol ID: 0x0000 Length: 0x0006 Unit ID: 0x01 Function Code: 0x03 (Read Holding Registers) Start Address: 0x0000 Quantity: 0x0002 ``` - **响应帧**（仪表 → PLC）： ``` Transaction ID: 0x0001 Protocol ID: 0x0000 Length: 0x0007 Unit ID: 0x01 Function Code: 0x03 Byte Count: 0x04 Data: 0x1234 0x5678 ``` --- ### **6. 常见问题** - **无数据包捕获**： - 检查网卡是否选错，确认端口镜像或HUB连接有效。 - 关闭计算机和设备的防火墙。 - **Modbus数据不显示**： - 确保Wireshark版本支持Modbus解析（更新至最新版）。 - 右键数据包 → “Decode As…” → 强制解析为Modbus。 --- 通过上述步骤，可有效捕获并分析S7-1200与智能仪表的Modbus TCP通信，帮助调试或验证数据传输的正确性。