В этой статье мы рассмотрим несколько функций Wireshark, позволяющих повысить эффективность анализа захваченного сетевого трафика; выясним, откуда взять файлы захвата сетевого трафика и каковы базовые требования к ним; и, наконец, разберёмся — можно ли автоматизировать захват и анализ трафика цифровой подстанции.

Три функции Wireshark для повышения эффективности анализа трафика

Wireshark — один из самых популярных инструментов захвата и анализа сетевого трафика. Он обладает широким набором функций, обеспечивающих удобный и детальный анализ сетевых данных. Рассмотрим несколько функций Wireshark, которые позволят значительно повысить производительность при анализе захваченного трафика.

Фильтры отображения на панели инструментов

Одна из наиболее известных и полезных функций Wireshark — Display filter (фильтр отображения). С его помощью можно указать Wireshark отображать только те кадры, которые соответствуют выражению фильтра. При применении Display filter остальные данные захвата скрываются, но не удаляются; вернуться к исходному захвату можно, очистив выражение фильтра.

Например, при анализе захвата трафика цифровой подстанции можно настроить Wireshark так, чтобы отображались только сообщения GOOSE — без трафика Sampled Values — или только клиент-серверные коммуникации (MMS). При задании выражений Display filter можно не только указать интересующий протокол, но и конкретные поля протокола с определёнными значениями. Например, применительно к трафику цифровой подстанции можно отобразить все сообщения Sampled Values с полем SmpSynch, равным Local; симулированные сообщения GOOSE/SV; сообщения GOOSE/SV с атрибутами качества данных определённого значения (invalid, test и т.д.).

Наиболее распространённый способ ввода и применения выражения Display filter — текстовое поле над панелью Packet List.

Текстовое поле Display filter в Wireshark

Если некоторые фильтры используются часто, можно добавить кнопки фильтров на панель меню, чтобы не вводить их вручную каждый раз. Для добавления кнопки фильтра введите выражение в текстовое поле Display filter и нажмите кнопку плюс (+) справа. В новой строке ниже укажите метку кнопки и комментарий; поле выражения фильтра уже будет заполнено.

Добавление кнопки фильтра в Wireshark

После нажатия OK кнопка фильтра появится на панели меню. Нажатие кнопки применяет фильтр.

Кнопки фильтров на панели инструментов Wireshark

Быстрый ввод выражений Display filter доступен и через кнопку-лентой слева от панели — выберите Save this filter. Откроется окно со всеми сохранёнными фильтрами, включая только что добавленный. Присвойте имя фильтру двойным щелчком и нажмите OK. Теперь фильтр доступен из списка.

Используя эти функции, вы избавитесь от необходимости вручную вводить часто используемые выражения Display filter. Создайте специфические фильтры для GOOSE, Sampled Values, MMS, PTP и других протоколов цифровых подстанций с указанием конкретных полей и их значений.

Важно отметить: применив Display filter, можно экспортировать только отображаемые данные, передав коллегам лишь релевантную часть захвата.

Маркировка и комментирование кадров

Обнаруженные интересные кадры можно отметить. Отмеченные кадры легко выделяются среди остальных — они отображаются с чёрным фоном. Полезная функция: на основе оригинального захвата можно создать новый файл, включающий только отмеченные кадры или все кадры от первого до последнего отмеченного (File → Export Specified Packets). Это удобно для передачи результатов расследования коллегам без отправки всего захвата целиком.

Для маркировки кадра кликните на нём в панели Packet List и нажмите Ctrl+M. Для маркировки нескольких кадров выберите несколько и используйте ту же комбинацию. Для снятия маркировки — повторите действие.

Отмеченные кадры в Wireshark отображаются с чёрным фоном

Единственный недостаток маркировки — она не сохраняется в файлах pcap/pcapng. При повторном открытии файла отмеченные кадры не отображаются.

Для передачи результатов анализа коллегам можно использовать функцию комментариев к пакетам. Кликните правой кнопкой на кадре в панели Packet List, выберите Packet Comment и введите текст заметки. Затем сохраните файл захвата в формате pcapng (формат по умолчанию для Wireshark начиная с версии 1.8). Коллеги смогут использовать выражение Display filter frame.comment для отображения всех кадров с комментариями. Сам комментарий отображается в панели Packet Details.

Пользовательские комментарии к кадрам в Wireshark

Отображение пользовательских имён ИЭУ вместо MAC и IP-адресов

Инженеры, работающие с Wireshark, наверняка замечали, что Wireshark заменяет первые три октета MAC-адреса (OUI — Organizationally Unique Identifier) сетевого интерфейса ИЭУ названием его производителя. Но можно ли настроить замену конкретных MAC-адресов пользовательскими именами? Например, вместо MAC 00:26:57:01:34:6e отображать Protection_IED, а вместо 64:60:38:d0:34:6eEth.switch_SW22.

Аналогично было бы удобно заменять IP-адреса пользовательскими именами ИЭУ — например, вместо 192.168.1.100 отображать SCADA.

Всё это значительно упрощает анализ сетевого трафика. И ответ — да, это возможно.

В Windows: Help → About; в macOS: Wireshark → About Wireshark. В диалоговом окне выберите вкладку Folders и нажмите ссылку рядом с Personal configuration. В открывшейся папке создайте текстовый файл с именем ethers. В нём укажите MAC-адреса и пользовательские имена (через пробел) для всех ИЭУ, трафик которых ожидается в файле захвата. Сохраните изменения.

00.26.57.01.25.9f Protection_W1E
00.26.57.01.25.9d Protection_W1E
00.26.57.01.32.a7 Protection_W2E
00.26.57.01.25.99 Protection_W2E
00.26.57.01.38.2a SCU_W1E
4a.00.62.06.45.a8 SCU_W2E
64:60:38:d0:b8:18 Eth.switch_SW1
64:60:38:d0:b7:18 Eth.switch_SW2

Аналогично создайте или отредактируйте текстовый файл с именем hosts. Укажите IP-адреса и пользовательские имена через пробел. Сохраните изменения.

192.168.1.210 Time_server_Main
192.168.161.74 DFR

Для использования этих файлов перейдите в Preferences → Name resolution и убедитесь, что установлены флажки Resolve MAC addresses и Resolve network (IP) addresses. Перезапустите Wireshark.

Пользовательские имена ИЭУ вместо MAC и IP-адресов в Wireshark

Экспорт в CSV/JSON и другие форматы

Wireshark предоставляет возможность экспорта данных в различные форматы — CSV, JSON, простой текст, XML и др.

CSV — один из наиболее распространённых форматов, поскольку его можно открыть в Microsoft Excel. С помощью встроенных функций Excel можно быстро искать определённые кадры и даже строить графики, визуализируя токи, напряжения и дискретные сигналы, передаваемые в сообщениях GOOSE, Sampled Values и MMS.

Для экспорта данных разверните кадр, выберите интересующее поле (например, данные тока/напряжения в сообщении Sampled Values), кликните правой кнопкой и выберите Apply as a column. Затем выберите File → Export Packet Dissections, укажите нужный формат (например, CSV) и кадры для включения в экспорт.

Экспорт данных в CSV/JSON и другие форматы в Wireshark

Знакомые с Python могут автоматизировать обработку, анализ и визуализацию данных — ограничение только в ваших навыках и знаниях.

Откуда брать файлы захвата трафика?

Конечно, можно использовать ПК с Wireshark для захвата трафика. Но один ПК не сможет захватить весь трафик цифровой подстанции. Во-первых, объём данных слишком велик; во-вторых, для захвата всего трафика необходимо подключиться к разным сегментам сети (шина станции, шина процесса), а синхронизация данных между ними без специализированного программного обеспечения — нетривиальная задача.

Для иллюстрации масштабов: для небольшой подстанции 110 кВ с 22 потоками Sampled Values и 120 сообщениями GOOSE потребуется около 100 ТБ/месяц хранилища. Для хранения данных в течение 6 месяцев — 600 ТБ. Стоимость такого решения сопоставима со стоимостью нескольких шкафов РЗА.

Альтернатива: выполнять захват трафика по аналогии с аварийными регистраторами — запускать запись по событиям в системе связи (потеря сообщения, изменение качества синхронизации времени и т.д.), изменению данных в сообщениях и другим критериям. Записанные данные включают трафик до и после события в одном файле PCAP, с данными из нескольких сегментов сети, выровненными по метке времени. При таком подходе можно хранить и обрабатывать PCAP-файлы за несколько лет.

Описанная функциональность реализована в регистраторе событий высокоавтоматизированной подстанции ПТК «Теквел Парк» (РС ВАПС ПТК «Теквел Парк»). Система имеет модульную структуру: сервер и устройства мониторинга сети.

ПТК «Теквел Парк» — регистратор событий высокоавтоматизированной подстанции

ПТК «Теквел Парк» легко масштабируется для захвата всего сетевого трафика подстанции за счёт необходимого количества устройств мониторинга, обеспечивающих не только захват, но и обработку данных.

Устройство мониторинга сети ПТК «Теквел Парк»

Пользователь может скачать файл захвата PCAP из ПТК «Теквел Парк» для каждого выявленного события и провести анализ с помощью функций Wireshark, описанных в этой статье.

Можно ли автоматизировать анализ трафика цифровой подстанции?

Да. Именно для этого создан ПТК «Теквел Парк». По сравнению с Wireshark, он обладает рядом выдающихся функций:

  • Онлайн-мониторинг трафика IEC 61850 в сопоставлении с SCD-файлом. Пользователь получает подробную информацию о параметрах сообщений, не соответствующих конфигурации по SCD-файлу, в журнале событий ПТК «Теквел Парк».
  • Автоматическое обнаружение нарушений связи IEC 61850 (сбои счётчиков сообщений, изменения статуса синхронизации времени, потеря сообщений и т.д.). Все нарушения сохраняются в журнале событий с временной меткой, именем ИЭУ и именем управляющего блока.
  • Автоматическое обнаружение изменений данных в сообщениях GOOSE/Sampled Values.
  • Запись трафика по событиям, выявленным ПТК «Теквел Парк», с захватом трафика до и после события в виде единого файла PCAP.

Профиль события в ПТК «Теквел Парк» с возможностью загрузки PCAP-файла

  • Визуализация осциллограмм на основе данных GOOSE и Sampled Values с описанием сигналов на родном языке.

Визуализация осциллограмм на основе данных GOOSE и Sampled Values в ПТК «Теквел Парк»

В большинстве случаев вам вообще не нужно загружать PCAP-файл из ПТК «Теквел Парк» и анализировать его вручную — этот анализ выполняется автоматически в режиме онлайн.

Не потеряйтесь в сетях цифровой подстанции!

Источники

  1. Как эффективно анализировать трафик цифровой подстанции и можно ли это автоматизировать? — Tekvel Blog