西门子S7通信协议抓包分析应用

于 2025-06-20 23:48:35 发布
阅读量936 收藏 12
点赞数 17
CC 4.0 BY-SA版权
分类专栏: 上位机技术分享 文章标签: 上位机 c# PLC 西门子 S7协议 抓包 wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26303227/article/details/148801510

西门子作为一个老牌工控企业,在中国市场拥有很高的市场占有率。如果要说起西门子的通信协议,相信大家多多少少能说出一些,比如MPI、PPI、USS、Profibus、Profinet、S7等,但是西门子在协议的开放性方面要相对要封闭一些,所以我们是没法知道这些协议的底层通信原理的。

本文主要是结合Wireshark抓包工具,跟大家去分享一下,如何抓取西门子S7通信协议底层通信报文的,希望通过报文分析,让大家都能够对西门子S7协议有所了解的同时,也学会基本的抓包操作与报文分析。

一、环境搭建

1、首先我们要准备要准备一个西门子的PLC,并保证PLC与PC之间的网络连接正常。如果手头没有PLC,可以通过PLCSIM-Advanced搭建一个仿真环境。为了抓取到通信的报文,需要实现PC与PLC之间的通信,这里采用KepServer与PLC通信。

西门子博图V17及仿真器安装及注意事项

2、安装Wireshark抓包软件:Wireshark软件安装比较简单,大家可以自行安装。

3、认识S7协议的网络模型:

OSI层

通信协议

第7层:应用层

S7 协议 S7   Communication

第6层:表示层

S7 协议(COTP)

第5层:会话层

S7 协议(TPKT)

第4层:传输层

Transmission Control Protocol

第3层:网络层

IP

第2层:数据链路层

Ethernet

第1层:物理层

Ethernet

4、将KepServer与PLC之间的通信连接配置好:

终于有人把OPC说清楚了

5、将Wireshark软件打开,并处于监控报文状态。

二、报文分析

1、当KepServer启动连接,并开始监控变量时,打开Wireshark软件,观察报文。

2、我们发现西门子的S7通信并不是简简单单的TCP通信,在TCP执行三次握手之后,还需要发送两次连接验证,在两次连接验证之后,才进行真正的数据交互。

西门子PLC通信掌握这几点,效率翻倍

3、三次握手过程,如下图所示:

图片

4、S7连接第一次验证,如下图所示:

图片

5、S7连接第二次验证,如下图所示:

图片

6、四次挥手过程,如下图所示:

图片

7、S7第一次验证发送报文分析:

图片

TPKT(第五层:会话层)

该层总共占4个字节:

版本号:0x03;

预留:0x00

长度:0x0016

COTP(第六层:表示层)

该层总共占用18个字节:

长度:0x11

PDU类型(CR Connect Request 连接请求):0x0E

目标引用:0x0000

源引用:0x0001

扩展格式/流控制:0x00

参数代码 TPDU-Size:0xC0

参数长度:0x01

TPDU大小:0x0A

参数代码 SRC-TASP:0xC1

参数长度:0x02

Source TSAP:0x0201

参数代码 DST-TASP:0xC2

参数长度:0x02

Destination TSAP:0x0201

8、S7第一次验证返回报文

图片

TPKT(第五层:会话层)

该层总共占4个字节:

版本号:0x03

预留:0x00

长度:0x0016

COTP(第六层:表示层)

该层总共占18个字节:

长度:0x11

PDU类型(CC Connect Confirm 连接确认):0x0D

目标引用:0x0001

源引用:0x0006

扩展格式/流控制:0x00

参数代码 TPDU-Size:0xC0

参数长度:0x01

TPDU大小:0x0A

参数代码 SRC-TASP:0xC1

参数长度:0x02

源TSAP Source TSAP:0x0201

参数代码 DST-TASP:0xC2

参数长度:0x02

目标TASP Destination TSAP:0x0201

9、S7第二次验证发送报文

图片

TPKT(第五层:会话层)

该层总共占4个字节:

版本号:0x03

预留:0x00

长度:0x0019

COTP(第六层:表示层)

该层总共占3个字节:

长度:0x02

PDU类型(DT Data):0xF0

目标引用:0x80

S7 Communication(第七层:应用层)

该层总用占18个字节,并且分两部分:

Header

协议ID(Protocol ID):0x32

ROSCTR:0x01

预留:0x0000

协议数据单元引用:0x037C

参数长度:0x0008

数据长度:0x0000

Parameter

功能码:0xF0

预留:0x00

最大AmQ(Calling):0x0001

最大AmQ(Called):0x0001

PDU长度:0x03C0

10、S7第二次验证返回报文

图片

TPKT(第五层:会话层)

该层总共占4个字节:

版本号:0x03

预留:0x00

长度:0x0019

COTP(第六层:表示层)

该层总共占3个字节:

长度:0x02

PDU类型(DT Data):0xF0

目标引用:0x80

S7 Communication(第七层:应用层)

该层总用占20个字节,并且分两部分:

Header

协议ID(Protocol ID):0x32

Ack_Data:0x03

预留:0x0000

协议数据单元引用:0x037C

参数长度:0x0008

数据长度:0x0000

错误等级:0x00

错误代码:0x00

Parameter

功能码:0xF0

预留:0x00

最大AmQ(Calling):0x0001

最大AmQ(Called):0x0001

PDU长度:0x00F0

11、读取发送报文:读取DB1.DBX0.0 开始的4个字节

图片

TPKT(第五层:会话层)

该层总共占4个字节:

版本号:0x03

预留:0x00

长度:0x001F

COTP(第六层:表示层)

该层总共占3个字节:

长度:0x02

PDU类型(DT Data):0xF0

目标引用:0x80

S7 Communication(第七层:应用层)

该层总用占24个字节,并且分两部分:

Header

协议ID(Protocol ID):0x32

Ack_Data:0x01

预留:0x0000

协议数据单元引用:0x037D

参数长度:0x000E

数据长度:0x0000

Parameter

功能码 Read Var:0x04

通信项数:0x01

通信项1:

通信项Header

变量指定:0x12

地址长度:0x0A

Syntax ID:0x10

传输数据类型 byte:0x02

通信项Param

读取长度:0x04

DB号:0x01

存储区类型 DB存储区:0x84

开始字节:0x000000

12、读取数据返回报文

图片

TPKT(第五层:会话层)

该层总共占4个字节:

版本号:0x03

预留:0x00

长度:0x001D

COTP(第六层:表示层)

该层总共占3个字节:

长度:0x02

PDU类型(DT Data):0xF0

目标引用:0x80

S7 Communication(第七层:应用层)

该层总用占22个字节,并且分两部分:

Header

协议ID(Protocol ID):0x32

Ack_Data:0x03

预留:0x0000

协议数据单元引用:0x037D

参数长度:0x0002

数据长度:0x0008

错误等级:0x00

错误代码:0x00

Parameter

功能码 Read Var:0x04

通信项数:0x01

通信项1:

返回结果Success:0xFF

传输数据类型 Byte/Word/DWord:0x04

长度:0x0020

数据:0x00000000

整体总结

通过上述S7协议抓包的分析,我们对S7协议应该有了一个初步的认识。

  • S7协议不是一个开放的协议,因此没有完整的协议文档,本文只是通过抓包的方式来分析和了解报文。

  • S7协议整体来说,比一般的协议要稍微复杂一些,如果有精力可以通过抓包分析报文之后,然后手搓一个通信库。

  • 从我个人的角度来说,我是不建议初学者花很多时间去研究S7协议,因为目前市面上已经有很多免费开源的S7通信库,比如S7NetPlus、Sharp7等。

以太网抓包软件Wireshake应用介绍( SMART PLC MODBUSTCP通信)
RXXW_Dor的博客
01-14 719
首先介绍下常看到的字符ACK,ACK是确认字符,在数据通信中,接收站发给发送站的一种传输类控制字符,表示发来的数据已确认接收无误。在TCP/IP协议中,如果接收方成功的接收到数据,会回复一个ACK数据。通常ACK信号有自己固定的格式,长度大小,由接收方回复给发送方。ACK在TCP的三次握手中也会用到。SYN是TCP/IP建立连接时使用的握手信号。客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一SYN消息,服务器使用SYN-ACK应答表示接收到了这个消息,最后客户机再以ACK确认。
2021-11-26 WPF上位机 99-西门子S7协议报文分析
热门推荐
时光隧道
11-26 3万+
文章目录前言一、西门子S7协议报文分析二、使用步骤1.S7协议2.S7协议-COTP3.S7协议-S7COMM4.S7协议-S7COMM-读5.S7协议-S7COMM-写6.S7协议-S7COMM-SZL7.S7协议-S7COMM-Run8.S7协议-S7COMM-Stop9.S7协议-S7COMM-时间10.S7协议-S7COMM-Userdata-获取系统块11.S7协议-S7COMM-StartUpload12.S7协议-S7COMM-Upload13.S7协议-S7COMM-EndUpload14.
最详细西门子S7报文协议解析(新).pdf
04-22
最详细西门子S7报文协议解析
西门子PLC的S7协议报文解析说明
ylq1045的专栏
03-31 2万+
我们以S7的1500系列来查看握手和读取、写入命令报文
西门子S7协议及报文格式详解
qq_43254236的博客
09-20 2万+
S7Comm(S7 Communication)是西门子专有的协议,是西门子S7通讯协议簇里的一种。S7通信协议西门子S7系列PLC内部集成的一种通信协议,是S7系列PLC的精髓所在。它是一种运行在传输层之上的(会话层/表示层/应用层)、经过特殊优化的通信协议,其信息传输可以基于MPI网络、PROFIBUS网络或者以太网S7在TCP连接上后还需要进行两次握手S7协议的TCP/IP实现依赖于面向块的ISO传输服务。
西门子S7comm协议解析 —— 利用Wireshark对报文逐字节进行解析详细解析S7comm所含功能码以及UserData功能(path1)
ylz_yg的博客
02-26 607
TPKT层和COTP层我也不多做介绍了,有兴趣的可以自己去了解。今天我们主要是解析S7comm这一层。
西门子PLC S7-1200协议解析
10-05
西门子PLC S7-1200是一款广泛应用的小型可编程逻辑控制器,它支持多种通信协议,其中一种是S7通信协议。S7通信协议西门子专为PLC设计的一种通信协议,允许设备与PLC进行数据交换。在本文中,我们将深入解析S7-1200...
西门子S7协议介绍
oliver223的博客
06-22 2万+
西门子S7协议介绍
S7comm协议模拟器与协议解析文档以及示例pcap包
09-25
S7comm协议,全称为S7 Communication,是由西门子公司开发的一种专用于SIMATIC PLC(可编程逻辑控制器)的通信协议。它是一种私有协议,但在工业自动化领域中广泛应用,使得网络上的分析者对其进行深入研究,现在已...
LabVIEW与西门子S7-1200 PLC的TCP/IP通信设置及应用
最新发布
04-21
此外,还提供了常见的调试方法和注意事项,如使用Wireshark抓包分析、处理数据端序问题以及推荐使用S7 Communication Toolkit等。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是那些需要集成LabVIEW和...
西门子S7协议解析.pdf
05-13
西门子S7协议解析,方便各位理解S7协议,从而开发与西门子PLC连接的程序
西门子通信报文详解(标准报文+102+105+111等非常全面).xlsx
06-06
西门子通信报文详解(标准报文+102+105+111等非常全面)
S7协议分析记录(写寄存器值报文).docx
05-21
对S7协议多种报文格式进行了详细解析,包括写寄存器值等报文解析。
西门子PLCS7通讯协议解析.rar
03-21
西门子PLC以太网通讯协议解析西门子PLC以太网通讯协议解析西门子PLC以太网通讯协议解析西门子PLC以太网通讯协议解析西门子PLC以太网通讯协议解析
西门子传动报文,390、370、111报文Bit整理
12-19
[390] SIEMENS telegram 390, PZD-2/2;[370] SIEMENS telegram 370, PZD-1/1;[111] SIEMENS telegram 111, PZD-12/12
西门子s7协议 android,工控协议 | 西门子S7协议学习分享
weixin_32244597的博客
05-28 1128
原标题:工控协议 | 西门子S7协议学习分享*本文作者:gongmo,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。0×1前言随着网络安全的发展,工控安全也越发的走进信息安全人员的工作当中。由于工控安全的文章较少,所以写一篇工控协议分析文章,抛砖引玉,欢迎各位大神共同交流。,而且西门子plc在工控行业也算是比较流行的设备了,所以这是一篇关于西门子的s7协议分析文章(适用于s7-30...
西门子S7协议格式解析
小泥人日常
11-26 719
西门子S7协议解析
西门子S7Comm以太网通讯协议解析
qqGHJ的博客
08-25 7452
首先,这里所说的S7Comm 协议只是西门子S7通讯协议簇里的一种,以0x32开始的报文结构。 1、S7Comm协议结构: 借助WireShark抓包,可以看到,S7Comm 以太网协议基于OSI模型:   OSI layer Protocol 7 Application Layer S7 communication 6 Presentation Layer S7...
西门子s7协议
03-27
<think>好的,我现在需要处理用户关于西门子S7协议的问题。用户希望了解或使用该协议,包括使用说明、文档、示例和通信相关的信息。首先,我需要回顾已有的引用内容,看看有哪些资源可以利用。 引用1提到了gos7项目,这是一个用Golang实现的西门子S7协议库,项目地址是https://gitcode.com/gh_mirrors/go/gos7。这个项目应该提供了代码示例和可能的文档,可以用来展示如何用Go语言进行通信。引用2提到S7协议支持在单个消息中查询多个变量读/写,这可能在说明协议功能时需要强调。引用3是一个Java版本的S7通信协议项目,项目地址是https://gitcode.com/open-source-toolkit/d6c68,这可能适用于Java开发者,需要提及。 用户的需求包括使用说明、文档、示例和通信细节。首先,我应该先概述S7协议的基本信息,比如它是西门子PLC通信协议,用于工业自动化中的数据传输。然后,分点回答用户的问题,可能需要包括协议的基本步骤、示例代码、相关项目推荐以及注意事项。 接下来,我需要检查是否有足够的信息覆盖用户的问题。已有的引用提供了Go和Java的实现项目,用户可能需要这些项目的文档和示例。我应该分别介绍这两个项目,给出代码示例,并说明如何获取更多信息。例如,gos7项目的示例代码可能包括如何连接PLC、读写数据;Java项目可能也有类似的示例。 然后,关于通信流程,需要简要说明S7协议的通信步骤,比如建立TCP连接、协商参数、数据读写等。这部分需要结合引用中的信息,特别是引用2提到的多变量寻址模式。 另外,注意事项方面,应该包括兼容性、性能优化、安全性和调试工具等,这些可能来自通用的S7协议知识,但需要确保正确性。 在生成相关问题的时候,需要考虑用户可能的后续问题,比如协议的工作原理、多变量读取的具体实现、不同语言的库比较、调试工具的选择以及安全性措施等。 需要确保回答结构清晰,分点说明,使用适当的代码块,并正确引用来源。同时,要使用中文回答,数学公式按照要求处理,不过这里可能涉及较少数学内容,但如果有的话要检查格式。 最后,检查所有引用是否正确对应,比如引用1对应gos7项目,引用2对应S7协议的介绍,引用3对应Java项目。确保每个引用标识在回答中正确标注,没有遗漏或错误。</think>### 西门子S7协议使用说明与示例 西门子S7协议是用于工业自动化中PLC(可编程逻辑控制器)通信的核心协议,支持高效的数据读写和多变量寻址模式[^2]。以下是关键信息与示例: --- ### 一、协议核心功能 1. **基础通信** - 基于TCP/IP协议,默认端口102。 - 支持单消息内多变量读写,减少通信开销。 2. **数据寻址** - 使用`DB块编号.偏移量.数据类型`格式,例如:`DB1.DBX4.0`表示DB1块中第4字节第0位的布尔值。 3. **数据类型** - 支持布尔、整型、浮点数、字符串等常见类型。 --- ### 二、代码示例与项目推荐 #### 1. **Go语言实现(gos7项目)** 项目地址:[gos7](https://gitcode.com/gh_mirrors/go/gos7) **示例代码(连接PLC并读取数据):** ```go package main import ( "fmt" "github.com/robinson/gos7" ) func main() { handler := gos7.NewTCPClientHandler("192.168.0.1:102", 0, 1) // IP:端口, 机架号, 槽号 handler.Connect() defer handler.Disconnect() client := gos7.NewClient(handler) buffer := make([]byte, 2) err := client.AGReadDB(1, 0, 2, buffer) // 读取DB1中偏移0的2字节 if err != nil { fmt.Println("读取失败:", err) return } fmt.Printf("数据: %v\n", buffer) } ``` #### 2. **Java实现(iot-communication项目)** 项目地址:[iot-communication-master](https://gitcode.com/open-source-toolkit/d6c68) **功能特性:** - 支持同步/异步通信。 - 提供数据块读写、PLC状态监控接口。 --- ### 三、通信流程 1. **建立TCP连接** - 客户端与PLC建立TCP连接(需确认PLC IP与端口)。 2. **协议协商** - 交换通信参数(如PDU长度、最大并发请求数)。 3. **数据读写** - 通过功能码(如`0x04`读数据、`0x05`写数据)操作变量。 --- ### 四、注意事项 1. **兼容性** - 不同PLC型号(如S7-300/1200/1500)需调整机架号与槽号[^1]。 2. **性能优化** - 批量读写减少请求次数,提升效率。 3. **安全性** - 工业网络需隔离,避免暴露PLC端口至公网。 4. **调试工具** - 推荐使用Wireshark抓包分析或第三方工具(如Snap7调试工具)。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

上位机付工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值