DNP3协议解析 —— 利用Wireshark对报文逐字节进行解析详细解析

转载：DNP3协议解析 —— 利用Wireshark对报文逐字节进行解析详细解析Modbus所含功能码

现在网上有很多类似的文章、其实这一篇也借鉴了很多其他博主的文章。

写这篇文章的重点是在于解析功能和报文、对Dnp3这个协议并不会做很多介绍。

那我们就开始吧

上图则为dnp3协议整体的报文模型（点击红框部分可以直接跳转至应用层的hex流）

Dnp3协议 一共分为三层 链路层、传输层、应用层。

Dnp3看似很臃肿、但是他的报文格式倒是很简洁。

Dnp3 协议并没有对特定的功能做特定的结构、而它的结构基本都可以共用

Dnp3 真正决定功能的功能码处于应用层、其他层的功能码只能算是一个大体的范围

接下来 还是从Wireshark 解析的报文进行出发

read功能

发包

我分部分介绍吧

下图为链路层

Start Bytes byte[0][1] 05 64 为数据开始的字节 固定为0x0564就可以

Length byte[2] 14为长度、Dnp3的长度计算有一些独特、 它包括链路报文头中的5个字节，超出5个字节的部分为传输层报文的长度，也就是说，链路层报文长度计数中不含CRC校验码字节。链路层报文长度的最小值为5，最大值为255。一条DNP链路层报文的最短长度为链路报文头的长度：10个字节。一条DNP链路层报文的最大长度为10+(250/16)×18+(250+2)=292字节

Control  byte[3] c4 链路控制字节

　　第一位为 表明发送的方向

　　第二位为 表示发送的设备是主设备还是从设备

　　第三位为 如果是请求则为纠错，如果是回应则为保留位

　　第四位为 这一位是说明第三位是否有效、在图上为0则为Frame count bit（意译为计数但实为纠错）未开启。

　　后四位为 功能码（这个功能码则是规定了大体的方向，更像是包的类型）

　　　　对于主设备来说

　　　　0，链路重置

　　　　1，进程重置

　　　　3，请求发送数据

　　　　4，直接发送数据

　　　　9，查询当前链路的状态

　　　　对于从设备来说

　　　　0，同意

　　　　1，拒绝

　　　　11，回应当前链路状态

Destination byte[4][5] 00 04 目标的地址

Source    byte[6][7] 01 00 源地址

Checksum byte[8]byte[9] e9 b6 为校验码、DNP3用的是Crc算法

到这里整个链路层已经介绍完毕了、后续的其他功能的链路层也都是一致的。

下图为传输层

很简单…只有一个字节

第一位是final，标识是否为最后一个包

第二位是first，标识是否为最后一个包

后六位为seq，表明当前是第几个包

Data chunks 与 [1 DNP 3.0 AL Fragment 14(bytes): #17(14)]

这些就不用去研究它、它所包含的字节是应用层的。只不过是Wireshark把它解析出了一栏（我并不能说是Wireshark解析错误还是别有用意但是这些不重要、不用在意这两块就对了）

下图为应用层

Control byte[0] c1 这里一共是八个位

　　第一位为 表明是否为第一个

　　第二位为 表明是否为最后一个

　　第三位为 表明是否需要回复，图中即表示不需要回复

　　第四位为 表明是否为主动提出的

　　后四位为 为队列号，这里的设计和上面传输层的类似

Function Code byte[1] 01 这里就是控制功能的具体方向、若是读则01 若是写则02（也有其他类型的功能码）

那接下来看Read Request这个结构体内的数据

这个结构体内的数据还是共处于应用层结构之内

这一块的意思也就是为 要去读取什么（限制对象读取什么）

Object byte[2] (这里是Wireshark解析有些问题、obj和var解析到一块了实际是为分开的) 3c 这里表达的意思为 要读取的数据的基本类型

Object byte[3] 02 进一步说明数据的类型，比如是模拟的话，那你是32位还是64位 (有一份表格说明类这些数据类型，请搜附录一 数据类型)

Qualifier field byte[4] 06 为限定词

　　第一位为 保留，wireshark同样没有给出解析信息

　　第三位为 限定码，这个不太好理解，简单点说是表明一个数据对象的索引的字节数

　　后四位为 也就是指定的范围的意思，图中6即为读取所需类型的全部数据。往后就是最后的对象了，这个包中并没有。

回包

还是分层吧 这一层与发包是一样的 为链路层 所回应hex字节类型也都是一样

传输层的结构也是一样

应用层会有一些少许的不同

Control byte[0] c1 这里一共是八个位

　　第一位为 表明是否为第一个

　　第二位为 表明是否为最后一个

　　第三位为 表明是否需要回复，图中即表示不需要回复

　　第四位为 表明是否为主动提出的

　　后四位为 为队列号，这里的设计和上面传输层的类似与发包是一样的

Function code byte[1] 81 功能码 这里就是代表回应的意思

Internal byte[2]byte[3] 00 00 可以看到这个很杂乱，其实也只是表明的是从设备的“状态”问题，包括像是设备是否重启、设备是否有问题、时间同步等等，这里就不在一一说明了。

但是细心的就就可以发现、dnp3整体的报文最后是包含了60 e6 这两个字节，但是在Wireshark 解析中 并没有解析到 那么这两位是干什么的呢。我也查了很多资料也对这最后两位并没有确切的解释、姑且认为他只是dnp3携带的数据元素吧。

Write

发包

整体来看 链路层和传出层都是一致的还是依旧说应用这一层吧。

Control byte[0] c0 这里一共是八个位

　　第一位为 表明是否为第一个

　　第二位为 表明是否为最后一个

　　第三位为 表明是否需要回复，图中即表示不需要回复

　　第四位为 表明是否为主动提出的

　　后四位为 为队列号，这里的设计和上面传输层的类似

Function code byte[1] 02 功能码 这里所代表的意思的就写了

接下来就是Write Request 这个结构体内的数据

Object byte[2] (这里是Wireshark解析有些问题、obj和var解析到一块了实际是为分开的，而且也没有给他确切的字段名) 50 这里表达的意思为 要读取的数据的基本类型

Object byte[3] 01 进一步说明数据的类型，比如是模拟的话，那你是32位还是64位

Qualifier field byte[4]  00

　　第一位为 保留，wireshark同样没有给出解析信息(而且解析到了一起)

　　第三位为 限定码，这个不太好理解，简单点说是表明一个数据对象的索引的字节数

　　后四位为 也就是指定的范围的意思

接着往下 number of items这个结构体内

Start byte[5] 07 如子译一样 只是为要写的项目的开始位置

Stop byte[6] 07 在哪里停

Proint number 7 这个结构体

这个结构体也很明了 7号设备是否重启，那么它的值为00 就是不重启。。

回包

与之前的都一样= = 其实这个dnp3协议它的报文结构基本都是一样的。

剩下的就不在累述了，基本上你能看懂一个报文，其他的也都可以看懂。