国电南瑞科技股份有限公司 Ethereal-抓包、报文分析工具 Ethereal是一种开放源代码的报文分析工具，适用于当前所有较为流行的计算机系统， 包括Unix、Linux和Windows。 主界面如上图，点“抓包配置”按钮，出现抓包配置界面如下图。 在“Interface”中选择网卡，即用来抓包的接口，如果选择错误就不能抓到报文；“Capture packetsinpromiscuousmode（混杂模式抓包）”是指捕捉所有的报文，如不选中就只捕捉本 机的收发报文；如果选中“Limiteachpackettoxxbytes（限制每个包的大小）”则只捕捉小 于该限制的包；抓包时，数据量比较大，解析起来速度慢，可在“CaptureFilter（抓包过滤 条件）”栏里设置过滤条件，常用过滤条件如下表 tcp只抓取tcp报文 udp只抓取udp报文 host198.120.0.100只抓取198.120.0.100的报文 etherhost00:08:15:00:08:15只抓取指定MAC地址的报文 系统工程部：田家运 -1- 国电南瑞科技股份有限公司 设置“DisplayOptions(显示设置)”中建议选中“Updatelistofpacketsinrealtime（实时更新 抓包列表）”、“Automaticscrollinginlivecapture（自动滚屏）”和“Hidecaptureinfodialog（隐 藏抓包信息对话框）”三项。抓包配置好就可以点击“Start”开始抓包了。 抓包结束，按“停止”按钮即可停止。为了快速查看需要的报文，在“Filter”栏中输 入过滤条件后按回车键即可对抓到的包进行过滤。 注意“Filter”栏中输入的过滤条件正确则其底色为绿色，错误则其底色为红色。常用 过滤条件及说明见下表： 过滤语法说明 mms显示MMS报文 iecgoose显示GOOSE报文 tcp显示TCP报文 udp显示UDP报文 ip.addr==100.100.100.101显示与IP地址为100.100.100.101的装置交互的报文 ip.src==100.100.100.101显示源IP地址为100.100.100.101的装置发出的报文 ip.dst==100.100.100.101显示与目的IP地址为100.100.100.101的装置交互的报文 eth.dst==01:0c:cd:01:00:11显示与目的MAC地址为01:0c:cd:01:00:11的数据集交互的报文 eth.src==00:a0:00:00:10:11显示源实际网卡MAC地址为00:a0:00:00:10:11的数据集发出的报文 eth.addr==01:0c:cd:01:00:11显示与目的MAC地址为01:0c:cd:01:00:11的数据集交互的报文 &&逻辑与，例如（mms）&&（ip.dst==100.100.100.101） ‖逻辑或，例如（mms）‖（eth.dst==01:0c:cd:01:00:11） 下图是过滤MAC地址为01:0c:cd:01:00:11的包。 上图中，选中需要查看的数据包，下方就可以看到对数据包进行的解析。 解析内容说明 ControlBlockGOOSE控制块路径 Reference TimeAllowedtoLiveGOOSE报文的生存时间。一般为T0值的2倍，该参数主 系统工程部：田家运 -2- 国电南瑞科技股份有限公司 要用于GOOSE断链的判断。 DataSetReference该GOOSE发送数据集的路径 GOOSEIDGOOSE控制块GSEControl下的appID值 EventTimestamp表示事件时标，该值为事件发生的时间而非本段报文发送 的时间 StateNumber状态序号StNum SequenceNumber顺序号即SqNum Test表示报文是否为检修位 ConfigRevision配置版本号 NeedsCommissioning表示需要调试 NumberDatasetEntries表示所传输数据集中数据的数量 Data数据集中各数据的传输值（TRUE表示置1，FALSE表示 置0） 报文内容（16进制）报文说明 010ccd040096目标MAC地址 08ad0401ce71源MAC地址 优先级标记 88basmv采样值以太网类型 4096APPID 00de从APPID开始的报文的长度 00000000保留字节 60APDU的标记TAG 81d3从ASDU开始的报文长度 800101ASDU的数目 系统工程部：田家运 -3- 国电南瑞科技股份有限公司 （tag=0x80length=0x01value=0x0