百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 热门文章 > 正文

西门子S7协议抓包分析并用代码实现(三)

bigegpt 2024-09-08 11:26 22 浏览

一.前面讲了S7连接的握手过程,及读取DB的算法,今天我们讲讲如何写DB区

今天手里有1200,那就继续用实体PLC测试,再尝试用威纶通触摸屏连接PLC进行抓包解析,首先环境准备。

硬件环境:S71200

软件环境:威纶通EasyBuilder、TIAV16、Wireshark抓包工具、VS2019

二.开始抓包分析吧

1.电脑IP:192.168.0.227

2.PLCIP:192.168.0.50

3.用威纶通触摸屏组态软件在线模拟监控DB2.DBW2用写入数据8

4.抓报文,老规矩从这么多报文里面找到有价值的数据,多次尝试,分析

5.报文分析,由于我们操作DB区有可能操作其bool位,所以是有必要把bit位的操作考虑进去。

6.重点,如图分析,控制写地址有三个字节,多分析几个报文看到规律第28 29 30,控制要写的地址

高21位是控制字节位置的,左移二进制把低三位位置腾出来,或者乘以8,低3位控制bit位(2^3)不能超过8.

由于3个字节中,前面21位是控制字节位置的,我们获取bit16-bit23字节,与0xff0000获得,再右移16位让它可以存在高8位字节,大端存储方式。

7.分析报文发现第2(高8位)、3(低8位)字节是控制整个报文字节数

8.分析报文看到规律第33(高8位)34(低8位)控制要写的bit数量,一个字节8个bit位,乘以8就是最终二进制位。

9.我们分析多次报文,发现第11(高8位)12(低8位)字节控制通讯参考标识,怎么理解?通过悟性可以悟到,这东西就相当于给通讯的每一笔数据起个名字,用来区分不同笔报文。

10.其他报文前面几讲,有讲了。

三.我们开始撸代码吧

1.接着前面代码写,写DB的算法代码

2.源代码我也贴了上来

int refercence = 888;//通讯参考标识
        /// <summary>
        /// 写DB的方法字节排序大端 参考1413笔数据
        /// </summary>
        /// <param name="DB">DB号</param>
        /// <param name="startByte">起始字节数</param>
        /// <param name="writeBs">写多少个字节</param>
        /// <returns></returns>  
        public bool WriteDB(int DB,int startByte, byte[] writeBs)
        {
           //固定35个字节,加上我要写的字节组成报文,由于长度可变我们用list
            List<byte> s7Comm = new List<byte>()
            {
                0x03,0x00,0x00,0x25,0x02,0xf0,0x80,0x32,0x01,0x00,
                0x00,0xa0,0x00,0x00,0x0e,0x00,0x06,0x05,0x01,0x12,
                0x0a,0x10,0x02,0x00,0x02,0x00,0x02,0x84,0x00,0x00,
                0x40,0x00,0x04,0x00,0x10//...数据区
            };//0x84代表DB区
            //分析报文看到规律第2(高8位)3(低8位)控制要写的报文长度 ,获得字节数组 先转为ushort类型是为了确定输出字节为2个固定35个字节
            byte[] bs = BitConverter.GetBytes((ushort)(35 + writeBs.Length));
            s7Comm[02] = bs[1];
            s7Comm[03] = bs[0];    
            refercence++; //通讯参考标识每次自增 相当于给这个报文起了个名字
            bs = BitConverter.GetBytes((ushort)refercence);
            s7Comm[11] = bs[1];
            s7Comm[12] = bs[0];        
            bs = BitConverter.GetBytes((ushort)(writeBs.Length+4));//data 长度 这里指的item长度 固定长度4+可变长度数据
            s7Comm[15] = bs[1];
            s7Comm[16] = bs[0];          
            bs = BitConverter.GetBytes((ushort)writeBs.Length);  //分析报文看到规律第23(高8位)24(低8位)控制要写的字节数
            s7Comm[23] = bs[1];
            s7Comm[24] = bs[0];           
            bs = BitConverter.GetBytes((ushort)DB);//分析报文看到规律第25(高8位)26(低8位)控制要写的DB号
            s7Comm[25] = bs[1];
            s7Comm[26] = bs[0];
            //重点 分析报文看到规律第28 29 30,控制要写的地址,高21位是控制字节位置的,左移二进制把低三位位置腾出来,低3位控制bit位(2^3)不能超过8
            uint startByte1 = (uint)startByte << 3;        
            s7Comm[28] = (byte)((startByte1 & 0xff0000) >> 16);//获取bit16-bit23字节,与0xff0000获得,再右移16位让它可以存在字节 大端存储         
            bs = BitConverter.GetBytes((ushort)(startByte1 & 0x00ffff)); //与0xffff获得低16位再获取2个字节
            s7Comm[29] = bs[1];
            s7Comm[30] = bs[0];     
            bs = BitConverter.GetBytes((ushort)(writeBs.Length * 8)); //分析报文看到规律第33(高8位)34(低8位)控制要写的bit数量
            s7Comm[33] = bs[1];
            s7Comm[34] = bs[0];      
            s7Comm.AddRange(writeBs);//添加我们要写的字节数组数据
            S7TcpClient.Send(s7Comm.ToArray());//发送s7报文
            Thread.Sleep(100);//等待10ms给1500CPU反应时间 实际时间根据性能自己写 或者写智能接收..我这里只提供思路
            byte[] s7Result = new byte[S7TcpClient.Available];//接收了多少个字节 我们new相应的长度
            S7TcpClient.Receive(s7Result);//接收字节
            if (s7Result?.Length>=21&& s7Result[21]==0xff) //0xff s7协议代表着成功,咱们也加上这个判断
            {
                return true;
            }
            return false;
        }

三.是骡子是马测一测

1.给DB2.DBW写个666试试

2.可以看到博图软件监控显示已写入成功

3.好了,S7协议写代码已经成功了。这里封装的是字节写包括 PLC的 8位16位32位整形和32位单精度浮点等等的写入,只不过区别是我们在上位机计算字节数组的方法不一样。

四.其实S7协议的强大之处,还可以直接操作bool。我们传统的做法是把对应的字节,字读上来,再进行与或运算再写入,这样从严谨角度上来说是不靠谱的,如modbus 40001区的操作。下期我们讲bool量怎么直接操作。

五.如果对您有帮助,请关注点赞转发,本人只是从技术角度抓包分析(告诉老铁做这个解析,桌上掉了好多头发了),仅供学习研究。

专注.NET上位机C#、主流PLC、机器视觉、电气、物联网、STM32、自动化 选型开发、终身学习欢迎交流

相关推荐

Redis集群对比:主从复制、哨兵模式、Cluster一文看懂所有优缺点

在分布式系统中,Redis作为高性能的内存数据库,其集群方案的选择直接影响到系统的稳定性、可用性和扩展性。本文将全面对比Redis的三种主流集群方案:主从复制、哨兵模式和Cluster模式,帮助开发者...

redis的主从复制,读写分离,主从切换

当数据量变得庞大的时候,读写分离还是很有必要的。同时避免一个redis服务宕机,导致应用宕机的情况,我们启用sentinel(哨兵)服务,实现主从切换的功能。redis提供了一个master,多个sl...

# Redis 入门到精通(九)-- 主从复制(3)

#Redis入门到精通(九)--主从复制(3)##一、redis主从复制-常见问题(1)###1、伴随着redis系统的运行,master的数据量会越来越大,一旦master重启...

redis - 主从复制(Redis主从复制时序图)

1引言在上一篇文章中,我们了解了Redis两种不同的持久化方式,Redis服务器通过持久化,把Redis内存中持久化到硬盘当中,当Redis宕机时,我们重启Redis服务器时,可以由RDB文件或AO...

# Redis 入门到精通(九)-- 主从复制(2)

#Redis入门到精通(九)--主从复制(2)##一、redis主从复制--数据同步阶段注意事项###1、数据同步阶段master说明1)如果master数据量巨大,数据同步阶段应...

Redis主从复制(redis主从复制主节点挂了)

介绍Redis有两种不同的持久化方式,Redis服务器通过持久化,把Redis内存中持久化到硬盘当中,当Redis宕机时,我们重启Redis服务器时,可以由RDB文件或AOF文件恢复内存中的数据。不过...

深入解析 Redis 集群的主从复制实现方式

在互联网大厂的后端开发领域,Redis作为一款高性能的内存数据库,被广泛应用于缓存、消息队列等场景。而Redis集群中的主从复制机制,更是保障数据安全、实现读写分离以及提升系统性能的关键所在。今...

Redis主从架构详解(redis主从架构高可用如何实现)

Redis主从架构搭建Redis主节点配置创建主节点目录(/opt/redis-master),复制redis.conf到该目录下,redis.conf配置项修改#后台启动daemonizeyes...

抖音“四大包塘战神”:承包了全网的快乐

在抖音钓鱼垂类领域,"包塘战神"军团正掀起一场黑色幽默风暴。空军华、大表坑、李赔光、透心良四位创作者,以承包鱼塘为舞台,用连续翻车的钓鱼直播构筑起流量奇观。当钓鱼佬在抖音集体转型喜剧人...

ORACLE 11G RAC 安装-通过VM配置共享磁盘

简介:在自己的电脑上通过VM软件搭建Oracle11GRAC,通过修改VM的参数文件来实现磁盘共享!目标:搭建RAC环境实现:使用VMwareWorkstation8.0.0+ORACLE...

Linux操作系统安全配置(linux系统安全配置包括)

一、服务相关命令systemctlenable服务名#开机自启动systemctldisable服务名#禁用开机自启动systemctlstop服务名#停止服务systemctls...

关于Linux性能调优中网络I/O的一些笔记

写在前面和小伙伴分享一些Linux网络优化的笔记,内容很浅,可以用作入门博文内容结合《Linux性能优化》读书笔记整理涉及内容包括常用的优化工具(mii-tool,ethtool,ifconfig,i...

从 Sonatype Nexus Repository Manager 迁移到 Artifactory

1.Nexus1.1下载下载链接:https://help.sonatype.com/repomanager3/product-information/download/download-archiv...

Ubuntu20安装zabbix5.0企业监控系统亲测教程

前言示例主机:zabbix10.0.100.10,将安装在UbuntuServer上教程说明:因使用官方教程无法安装成功,所以本教程与官方教程有所不同安装前提:已安装UbuntuServer2...

Linux内核设计与实现—进程管理(linux内核程序设计)

进程进程就是处于执行期的程序(目标码存放在某种存储介质上)。进并不仅仅局限于一段可执行程序代码(Unix称其为代码段,textsection)。通常进程还要包含其他资源,像打开的文件,挂起的信号,...