百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 热门文章 > 正文

西门子S7协议抓包分析并用代码实现(三)

bigegpt 2024-09-08 11:26 21 浏览

一.前面讲了S7连接的握手过程,及读取DB的算法,今天我们讲讲如何写DB区

今天手里有1200,那就继续用实体PLC测试,再尝试用威纶通触摸屏连接PLC进行抓包解析,首先环境准备。

硬件环境:S71200

软件环境:威纶通EasyBuilder、TIAV16、Wireshark抓包工具、VS2019

二.开始抓包分析吧

1.电脑IP:192.168.0.227

2.PLCIP:192.168.0.50

3.用威纶通触摸屏组态软件在线模拟监控DB2.DBW2用写入数据8

4.抓报文,老规矩从这么多报文里面找到有价值的数据,多次尝试,分析

5.报文分析,由于我们操作DB区有可能操作其bool位,所以是有必要把bit位的操作考虑进去。

6.重点,如图分析,控制写地址有三个字节,多分析几个报文看到规律第28 29 30,控制要写的地址

高21位是控制字节位置的,左移二进制把低三位位置腾出来,或者乘以8,低3位控制bit位(2^3)不能超过8.

由于3个字节中,前面21位是控制字节位置的,我们获取bit16-bit23字节,与0xff0000获得,再右移16位让它可以存在高8位字节,大端存储方式。

7.分析报文发现第2(高8位)、3(低8位)字节是控制整个报文字节数

8.分析报文看到规律第33(高8位)34(低8位)控制要写的bit数量,一个字节8个bit位,乘以8就是最终二进制位。

9.我们分析多次报文,发现第11(高8位)12(低8位)字节控制通讯参考标识,怎么理解?通过悟性可以悟到,这东西就相当于给通讯的每一笔数据起个名字,用来区分不同笔报文。

10.其他报文前面几讲,有讲了。

三.我们开始撸代码吧

1.接着前面代码写,写DB的算法代码

2.源代码我也贴了上来

int refercence = 888;//通讯参考标识
        /// <summary>
        /// 写DB的方法字节排序大端 参考1413笔数据
        /// </summary>
        /// <param name="DB">DB号</param>
        /// <param name="startByte">起始字节数</param>
        /// <param name="writeBs">写多少个字节</param>
        /// <returns></returns>  
        public bool WriteDB(int DB,int startByte, byte[] writeBs)
        {
           //固定35个字节,加上我要写的字节组成报文,由于长度可变我们用list
            List<byte> s7Comm = new List<byte>()
            {
                0x03,0x00,0x00,0x25,0x02,0xf0,0x80,0x32,0x01,0x00,
                0x00,0xa0,0x00,0x00,0x0e,0x00,0x06,0x05,0x01,0x12,
                0x0a,0x10,0x02,0x00,0x02,0x00,0x02,0x84,0x00,0x00,
                0x40,0x00,0x04,0x00,0x10//...数据区
            };//0x84代表DB区
            //分析报文看到规律第2(高8位)3(低8位)控制要写的报文长度 ,获得字节数组 先转为ushort类型是为了确定输出字节为2个固定35个字节
            byte[] bs = BitConverter.GetBytes((ushort)(35 + writeBs.Length));
            s7Comm[02] = bs[1];
            s7Comm[03] = bs[0];    
            refercence++; //通讯参考标识每次自增 相当于给这个报文起了个名字
            bs = BitConverter.GetBytes((ushort)refercence);
            s7Comm[11] = bs[1];
            s7Comm[12] = bs[0];        
            bs = BitConverter.GetBytes((ushort)(writeBs.Length+4));//data 长度 这里指的item长度 固定长度4+可变长度数据
            s7Comm[15] = bs[1];
            s7Comm[16] = bs[0];          
            bs = BitConverter.GetBytes((ushort)writeBs.Length);  //分析报文看到规律第23(高8位)24(低8位)控制要写的字节数
            s7Comm[23] = bs[1];
            s7Comm[24] = bs[0];           
            bs = BitConverter.GetBytes((ushort)DB);//分析报文看到规律第25(高8位)26(低8位)控制要写的DB号
            s7Comm[25] = bs[1];
            s7Comm[26] = bs[0];
            //重点 分析报文看到规律第28 29 30,控制要写的地址,高21位是控制字节位置的,左移二进制把低三位位置腾出来,低3位控制bit位(2^3)不能超过8
            uint startByte1 = (uint)startByte << 3;        
            s7Comm[28] = (byte)((startByte1 & 0xff0000) >> 16);//获取bit16-bit23字节,与0xff0000获得,再右移16位让它可以存在字节 大端存储         
            bs = BitConverter.GetBytes((ushort)(startByte1 & 0x00ffff)); //与0xffff获得低16位再获取2个字节
            s7Comm[29] = bs[1];
            s7Comm[30] = bs[0];     
            bs = BitConverter.GetBytes((ushort)(writeBs.Length * 8)); //分析报文看到规律第33(高8位)34(低8位)控制要写的bit数量
            s7Comm[33] = bs[1];
            s7Comm[34] = bs[0];      
            s7Comm.AddRange(writeBs);//添加我们要写的字节数组数据
            S7TcpClient.Send(s7Comm.ToArray());//发送s7报文
            Thread.Sleep(100);//等待10ms给1500CPU反应时间 实际时间根据性能自己写 或者写智能接收..我这里只提供思路
            byte[] s7Result = new byte[S7TcpClient.Available];//接收了多少个字节 我们new相应的长度
            S7TcpClient.Receive(s7Result);//接收字节
            if (s7Result?.Length>=21&& s7Result[21]==0xff) //0xff s7协议代表着成功,咱们也加上这个判断
            {
                return true;
            }
            return false;
        }

三.是骡子是马测一测

1.给DB2.DBW写个666试试

2.可以看到博图软件监控显示已写入成功

3.好了,S7协议写代码已经成功了。这里封装的是字节写包括 PLC的 8位16位32位整形和32位单精度浮点等等的写入,只不过区别是我们在上位机计算字节数组的方法不一样。

四.其实S7协议的强大之处,还可以直接操作bool。我们传统的做法是把对应的字节,字读上来,再进行与或运算再写入,这样从严谨角度上来说是不靠谱的,如modbus 40001区的操作。下期我们讲bool量怎么直接操作。

五.如果对您有帮助,请关注点赞转发,本人只是从技术角度抓包分析(告诉老铁做这个解析,桌上掉了好多头发了),仅供学习研究。

专注.NET上位机C#、主流PLC、机器视觉、电气、物联网、STM32、自动化 选型开发、终身学习欢迎交流

相关推荐

恢复软件6款汇总推荐,帮你减轻数据恢复压力!

在当今数字化生活中,数据丢失的风险如影随形。无论是误删文件、硬盘故障,还是遭遇病毒攻击,丢失的数据都可能给我们带来不小的麻烦。此时,一款优秀的数据恢复软件就成为了挽救数据的关键。今天,为大家汇总推荐...

中兴星星一号刷回官方原版recovery的教程

【搞科技教程】中兴星星一号的官方recovery也来说一下了,因为之前给大家分享过了第三方的recovery了,之前给大家分享的第三方recovery也是采用一键刷入的方式,如果细心的朋友会发现,之前...

新玩机工具箱,Uotan柚坛工具箱软件体验

以前的手机系统功能比较单调,各厂商的重视程度不一样,所以喜欢玩机的朋友会解锁手机系统的读写权限,来进行刷机或者ROOT之类的操作,让使用体验更好。随着现在的手机系统越来越保守,以及自身功能的增强,...

三星g906k刷recovery教程_三星g906k中文recovery下载

【搞科技教程】看到有一些机友在找三星g906k的第三方recovery,下面就来说一下详细的recovery的刷入方法了,因为手机只有有了第三方的recovery之后才可以刷第三方的root包和系统包...

中兴星星2号刷recovery教程_星星二号中文recovery下载

【搞科技教程】咱们的中兴星星2手机也就是中兴星星二号手机的第三方recovery已经出来了,并且是中文版的,有了这个recovery之后,咱们的手机就可以轻松的刷第三方的系统包了,如果没有第三方的re...

数据恢复软件有哪些值得推荐?这 6 款亲测好用的工具汇总请收好!

在数字生活中,数据丢失的阴霾常常突如其来。无论是误删工作文档、格式化重要磁盘,还是遭遇系统崩溃,都可能让我们陷入焦虑。关键时刻,一款得力的数据恢复软件便是那根“救命稻草”。今天,为大家精心汇总6...

中兴u956刷入recovery的教程(中兴e5900刷机)

【搞科技教程】这次主要来给大家说说中兴u956手机如何刷入第三方的recovery,因为第三方的recovery工具是咱们刷第三方rom包的基础,可是很我欠却不会刷,所以太这里来给大家整理了一下详细的...

联想A850+刷recovery教程 联想A850+第三方recovery下载

【搞科技教程】联想A850+的第三方recovery出来了,这个第三方的recovery是非常的重要的,比如咱们的手机要刷第三方的系统包的时候,都是需要用到这个第三方的recovery的,在网上也是有...

工具侠重大更新 智能机上刷机一条龙完成

工具侠是针对玩机的机油开发的一款工具,不管是发烧级别的粉丝,还是普通小白用户,都可以在工具侠上找到你喜欢的工具应用。这不,最新的工具侠2.0.16版本,更新了专门为小白准备的刷机助手工具,以及MTK超...

shift+delete删除的文件找回6种硬盘数据恢复工具

硬盘作为电脑的重要存储设备,如同一个巨大的数字仓库,承载着我们日常工作、学习和生活中的各种文件,从珍贵的照片、重要的工作文档到喜爱的视频、音乐等,都依赖硬盘来安全存放。但有时,我们可能会不小心用sh...

使用vscode+Deepseek 实现AI编程 基于Cline和continue

尊敬的诸位!我是一名专注于嵌入式开发的物联网工程师。关注我,持续分享最新物联网与AI资讯和开发实战。期望与您携手探寻物联网与AI的无尽可能。这两天deepseek3.0上线,据说编程能力比肩Cl...

详解如何使用VSCode搭建TypeScript环境(适合小白)

搭建Javascript环境因为TypeScript不能直接在浏览器上运行。它需要编译器来编译并生成JavaScript文件。所以需要首先安装好javascript环境,可以参考文章:https://...

使用VSCode来书写你的Jupyter Notebooks

现在你可以在VScode里面来书写你的notebook了,使用起来十分的方便。下面来给大家演示一下环境的搭建。首先需要安装一个jupyter的包,使用下面的命令安装:pip3install-ih...

使用VSCode模板提高Vue开发效率(vscode开发vue插件)

安装VSCode安装Vetur和VueHelper插件,安装完成后需要重启VScode。在扩展插件搜索框中找到如下Vetur和VueHelper两个插件,注意看图标。添加Vue模板打...

干货!VsCode接入DeepSeek实现AI编程的5种主流插件详解

AI大模型对编程的影响非常之大,可以说首当其冲,Cursor等对话式编程工具渐渐渗透到开发者的工作中,作为AI编程的明星产品,Cursor虽然好用,但是贵啊,所以咱们得找平替,最好免费那种。俗话说,不...