17838383235
西门子S7-300,CP340现货西门子代理
西门子: S7300
PLC: 6ES73401BH020AE0
德国: 通讯处理器带有RS232C 接口
报价: 面议
最小起订: 1
有效期至: 长期有效
发布时间: 2024-05-14 10:53
发布IP: 113.246.97.216
浏览次数: 28
手机号: 17838383235
在线咨询: 点击这里给我发消息
17838383235
详细信息

西门子S7协议底层原理分析

原创 新阁教育付工 dotNet工控上位机 :02


-Begin-



前言

前面我们对ModbusRTU协议、ModbusTCP协议、欧姆龙FinsTCP协议、三菱SLMP协议都做了说明:
我们来分享一下关于西门子S7协议的通信分析。
西门子作为一个老牌工控企业,在中国市场拥有很高的市场占有率。如果要说起西门子的通信协议,相信大家多多少少能说出一些,比如MPI、PPI、USS、Profibus、Profinet、S7等,但是西门子在协议的开放性方面还是相对要封闭一些,所以很多协议都是不开放的。
在这里,我主要是结合Wireshark抓包工具,跟大家去分享一下,如何是一步一步抓取西门子S7通信协议底层通信报文的,希望通过我一步一步地分析,让大家都能够对西门子S7协议有所了解的同时,也学会基本的抓包操作与报文分析。

值得说明一下,西门子S7协议非开放协议,以下内容,仅供学习参考。

环境搭建

1、首先我们要准备要准备一个西门子的PLC,并保证PLC与PC之间的网络连接正常。PS:对于手头没有PLC的小伙伴,可以查看这篇文章:
基于S7-PLCSIM Advanced搭建S7通信仿真环境
2、为了抓取到通信的报文,需要实现PC与PLC之间的通信,这里我采用的方式是通过KepServer V6.4来实现,后台关键词:OPC学习套装。
3、安装Wireshark抓包软件,后台回复关键词:Wireshark。
4、认识S7协议的网络模型。
图片

操作步骤

1、首先将KepServer与PLC之间的通信连接配置好;
2、将Wireshark软件打开,并处于监控报文状态;
3、将KepServer进行连接PLC,此时Wireshark软件中会出现报文的数据,将KepServer连接停止并关闭软件,同时将Wireshark的监控停止,以便进行后续的报文分析;

协议分析

1、我们发现西门子的S7通信并不是简简单单的TCP通信,在TCP执行三次握手之后,还需要发送两次连接验证,在两次连接验证之后,才进行真正的数据交互。
2、三次握手过程,如下图所示:
图片

3、S7连接次验证,如下图所示:

图片

4、S7连接第二次验证,如下图所示:

图片

5、四次挥手过程,如下图所示:

图片

6、S7次验证发送报文分析:

图片

TPKT(第五层:会话层)

该层总共占4个字节:

版本号:0x03

预留:0x00

长度:0x0016

COTP(第六层:表示层)

该层总共占用18个字节:

长度:0x11

PDU类型(CR Connect Request 连接请求):0x0E

目标引用:0x0000

源引用:0x0001

扩展格式/流控制:0x00

参数代码 TPDU-Size:0xC0

参数长度:0x01

TPDU大小:0x0A

参数代码 SRC-TASP:0xC1

参数长度:0x02

源TSAP Source TSAP:0x0201

参数代码 DST-TASP:0xC2

参数长度:0x02

目标TSAP Destination TSAP:0x0201

7、S7次验证返回报文

图片

TPKT(第五层:会话层)

该层总共占4个字节:

版本号:0x03

预留:0x00

长度:0x0016

COTP(第六层:表示层)

该层总共占18个字节:

长度:0x11

PDU类型(CC Connect Confirm 连接确认):0x0D

目标引用:0x0001

源引用:0x0006

扩展格式/流控制:0x00

参数代码 TPDU-Size:0xC0

参数长度:0x01

TPDU大小:0x0A

参数代码 SRC-TASP:0xC1

参数长度:0x02

Source TSAP:0x0201

参数代码 DST-TASP:0xC2

参数长度:0x02

Destination TSAP:0x0201

8、S7第二次验证发送报文

图片

TPKT(第五层:会话层)

该层总共占4个字节:

版本号:0x03

预留:0x00

长度:0x0019

COTP(第六层:表示层)

该层总共占3个字节:

长度:0x02

PDU类型(DT Data):0XF0

目标引用:0x80

S7 Communication(第七层:应用层)

该层总用占18个字节,并且分两部分:

Header:

协议ID(Protocol ID):0x32

ROSCTR:0x01

预留:0x0000

协议数据单元引用:0x037C

参数长度:0x0008

数据长度:0x0000

Parameter:

功能码:0xF0

预留:0x00

大AmQ(Calling):0x0001

大AmQ(Called):0x0001

PDU长度:0x03C0

9、S7第二次验证返回报文

图片

TPKT(第五层:会话层)

该层总共占4个字节:

版本号:0x03

预留:0x00

长度:0x0019

COTP(第六层:表示层)

该层总共占3个字节:

长度:0x02

PDU类型(DT Data):0XF0

目标引用:0x80

S7 Communication(第七层:应用层)

该层总用占20个字节,并且分两部分:

Header:

协议ID(Protocol ID):0x32

Ack_Data:0x03

预留:0x0000

协议数据单元引用:0x037C

参数长度:0x0008

数据长度:0x0000

错误等级:0x00

错误代码:0x00

Parameter:

功能码:0xF0

预留:0x00

大AmQ(Calling):0x0001

大AmQ(Called):0x0001

PDU长度:0x00F0

10、读取数据发送报文:读取DB1.DBX0.0 开始的4个字节

图片

TPKT(第五层:会话层)

该层总共占4个字节:

版本号:0x03

预留:0x00

长度:0x001F

COTP(第六层:表示层)

该层总共占3个字节:

长度:0x02

PDU类型(DT Data):0XF0

目标引用:0x80

S7 Communication(第七层:应用层)

该层总用占24个字节,并且分两部分:

Header:

协议ID(Protocol ID):0x32

Ack_Data:0x01

预留:0x0000

协议数据单元引用:0x037D

参数长度:0x000E

数据长度:0x0000

Parameter:

功能码 Read Var:0x04

通信项数:0x01

通信项1:

通信项Header

变量指定:0x12

地址长度:0x0A

Syntax ID:0x10

传输数据类型 byte:0x02

通信项Param

读取长度:0x04

DB号:0x01

存储区类型 DB存储区:0x84

开始字节:0x000000

11、 读取数据返回报文

图片

TPKT(第五层:会话层)

该层总共占4个字节:

版本号:0x03

预留:0x00

长度:0x001D

COTP(第六层:表示层)

该层总共占3个字节:

长度:0x02

PDU类型(DT Data):0XF0

目标引用:0x80

S7 Communication(第七层:应用层)

该层总用占22个字节,并且分两部分:

Header:

协议ID(Protocol ID):0x32

Ack_Data:0x03

预留:0x0000

协议数据单元引用:0x037D

参数长度:0x0002

数据长度:0x0008

错误等级:0x00

错误代码:0x00

Parameter:

功能码 Read Var:0x04

通信项数:0x01

通信项1:

返回结果Success:0xFF

传输数据类型 Byte/Word/DWord:0x04

长度:0x0020

数据:0x00000000




相关产品
相关西门子产品
联系方式
  • 地址:中国(湖南)自由贸易试验区长沙片区开元东路1306号开阳智能制造产业园(一期)4#栋301
  • 手机:17838383235
  • 联系人:徐嘉泉
产品分类
最新发布
企业新闻
站内搜索