Wireshark在工业物联网中Modbus协议分析的技术实践

构建工业物联网Modbus监控环境

工业物联网（Industrial Internet of Things, IIoT）中，Modbus协议作为连接工业设备的关键标准，其数据链路层主要分为基于串口的Modbus RTU（Remote Terminal Unit）和基于以太网的Modbus TCP两种实现。传统串口监控方案依赖专用硬件分析器，存在数据捕获不完整、时序精度低（毫秒级）、无法与网络流量联动分析等局限。Wireshark通过软件抓包方式，实现了Modbus协议的全流量记录与深度解析，尤其在多协议融合的工业控制网络中展现出显著优势。

🔍 技术对比：传统监控 vs Wireshark方案

指标	传统串口监控	Wireshark网络抓包
物理接口	RS485/RS232专用硬件	通用网卡/USB转串口适配器
数据捕获范围	单路串口	全网络流量（支持多接口聚合）
时间精度	毫秒级	微秒级（依赖系统时钟同步）
协议解析深度	基础帧解析	全协议栈解码（含异常码与统计）
扩展能力	专用软件限制	Lua脚本自定义解析逻辑

配置USB转RS485接口的捕获环境

在Linux系统中，通过USB转RS485适配器捕获Modbus RTU流量需完成以下步骤：

1. 硬件连接与驱动配置
   将USB-RS485适配器接入系统，通过dmesg | grep ttyUSB确认设备节点（通常为/dev/ttyUSB0）。安装ser2net工具实现串口转网络服务：

   sudo apt install ser2net
   sudo tee /etc/ser2net.conf <<EOF
   8000:raw:0:/dev/ttyUSB0:9600 8DATABITS NONE 1STOPBIT
   EOF
   sudo systemctl restart ser2net
   

2. Wireshark捕获配置
   使用nc命令将串口数据重定向至本地端口，通过Wireshark捕获TCP流量：

   mkfifo /tmp/modbus_pipe
   nc localhost 8000 > /tmp/modbus_pipe &
   wireshark -i <(cat /tmp/modbus_pipe) -Y "modbus"
   

3. 验证捕获效果
   检查Wireshark的"Modbus RTU"协议解析结果，确认Unit ID、功能码（Function Code）等字段正确识别。

解析Modbus协议解码逻辑

Wireshark的Modbus协议支持通过epan/dissectors/packet-mbtcp.c实现，核心解码流程包括协议识别、帧结构解析和数据展示三个阶段。

协议识别机制

Modbus TCP通过固定端口（502）和协议头特征进行识别。在dissect_mbtcp函数中，通过校验TCP端口（global_mbus_tcp_ports）和协议标识符（protocol_id == 0）确定Modbus流量：

// 协议识别关键代码（packet-mbtcp.c:773-795）
static bool is_mbtcp(tvbuff_t* tvb, packet_info* pinfo) {
    if (tvb_get_ntohs(tvb, 2) != 0) return false; // 协议ID必须为0
    if (tvb_get_ntohs(tvb, 4) < 2) return false; // 长度字段至少为2字节
    return (pinfo->srcport == PORT_MBTCP || pinfo->destport == PORT_MBTCP);
}

帧结构解析流程

Modbus TCP帧结构包含MBAP（Modbus Application Protocol）头和PDU（Protocol Data Unit）两部分。MBAP头由事务标识符（2字节）、协议标识符（2字节）、长度（2字节）和单元标识符（1字节）组成。PDU则包含功能码（1字节）和数据域。

在dissect_mbtcp_pdu_common函数中，通过以下步骤解析帧结构：

1. 提取MBAP头字段并验证协议合法性
2. 解析功能码（function_code = function_exception_code & 0x7F）
3. 根据功能码调用对应数据解析逻辑（如读保持寄存器0x03、写单个线圈0x05等）

数据展示优化

Wireshark提供多种数据格式解析选项，通过global_mbus_register_format配置寄存器数据类型（如UINT16、IEEE Float等）。以Modicon Float为例，其解码逻辑通过字节序调整实现：

// Modicon Float解码（packet-mbtcp.c:1026-1030）
modflt_lo = tvb_get_ntohs(next_tvb, data_offset);
modflt_hi = tvb_get_ntohs(next_tvb, data_offset+2);
modflt_comb = (uint32_t)(modflt_hi<<16) | modflt_lo;
memcpy(&modfloat, &modflt_comb, 4); // 转换为浮点数

实施Modbus协议安全审计

工业控制系统中，Modbus协议缺乏原生安全机制，需通过流量分析识别异常行为。Wireshark提供的过滤器和统计功能可实现实时安全监控。

关键过滤器规则集

过滤器表达式	用途	示例场景
modbus.func_code == 0x03	筛选读保持寄存器请求	监测非授权数据读取
modbus.exception_code != 0	捕获异常响应	定位设备通信故障
modbus.unit_id == 1 && modbus.func_code == 0x06	特定设备写操作审计	监测关键设备参数篡改
tcp.port == 502 && ip.src != 192.168.1.100	非信任IP访问控制	识别非法Modbus主站接入

异常功能码检测

通过Wireshark的"Analyze"菜单启用专家信息（Expert Information），可自动标记异常功能码。例如，非法功能码（0x80-0xFF）通常表示从站异常响应：

在packet-mbtcp.c中，异常码通过exception_code_vals数组定义，常见错误包括：

• 0x01：非法功能（Illegal Function）
• 0x02：非法地址（Illegal Data Address）
• 0x03：非法数据值（Illegal Data Value）

通信时序异常分析

利用Wireshark的IO图表功能（Statistics → IO Graph）可直观展示Modbus通信周期性。正常工业设备通常有固定轮询间隔（如100ms），若出现突发流量或通信中断，可能指示设备故障或网络攻击。

工业SCADA系统故障诊断案例

案例：PLC与HMI通信中断

现象：某水处理SCADA系统中，PLC（Modbus从站）与HMI（主站）周期性通信中断，故障间隔约30分钟。

分析流程：

1. 捕获流量：通过Wireshark记录故障时段Modbus流量，过滤器modbus and ip.addr == 192.168.1.20
2. 识别异常帧：发现HMI发送的读寄存器请求（0x03）后，PLC无响应，随后HMI重传3次后超时
3. 校验CRC：对Modbus RTU帧进行CRC校验，发现部分请求帧CRC错误（mbrtu.crc16.status == 1）
4. 定位物理层问题：通过信号示波器测量RS485总线，发现接地不良导致信号衰减

解决方案：重新布线并增加总线终端电阻，通信恢复正常。

案例：非法写入导致设备误动作

现象：某智能电网终端在非维护时段发生不合理解锁操作。

分析流程：

1. 筛选写操作：使用过滤器modbus.func_code == 0x06（写单个寄存器）
2. 追踪异常IP：发现来自未知IP（10.0.0.123）的写请求，功能码0x06，写入地址0x000A（解锁寄存器）
3. 审计日志关联：结合防火墙日志，确认该IP通过未授权VPN接入

解决方案：部署Modbus防火墙，限制仅授权IP可执行写操作。

进阶应用：Lua脚本自定义解析

Wireshark支持通过Lua脚本扩展Modbus解析功能，实现特定行业数据格式转换。以下示例将寄存器值转换为温度物理量（假设寄存器0x0000存储温度原始值，转换公式：温度=raw_value*0.1-273.15）：

-- 保存为modbus_temperature.lua
do
    local modbus = Dissector.get("modbus")
    local proto = Proto("modbus_temperature", "Modbus Temperature Converter")
    local f_temp = ProtoField.float("modbus.temperature", "Temperature (°C)")
    proto.fields = {f_temp}

    function proto.dissector(tvb, pinfo, tree)
        local subtree = tree:add(proto, tvb())
        local offset = 0
        -- 假设数据在PDU的第3字节开始（功能码1字节+数据长度1字节）
        local raw_value = tvb:uint16(offset+2, true) -- 大端序
        local temp = raw_value * 0.1 - 273.15
        subtree:add(f_temp, temp)
        pinfo.cols.info:append(string.format(" [Temperature: %.2f°C]", temp))
    end

    -- 注册到Modbus功能码0x03的解析链
    register_postdissector(proto)
end

加载脚本：Wireshark → 编辑 → 首选项 → Lua → 浏览并选择脚本文件。应用后，解析结果将显示温度物理量。

性能优化建议

• 流量过滤：使用modbus过滤器仅捕获相关流量，减少分析负载
• 数据导出：通过File → Export Packet Dissections将关键帧导出为JSON，用于离线分析
• 统计视图：利用"Statistics → Protocol Hierarchy"查看Modbus流量占比，识别异常通信量

总结与未来展望

Wireshark通过灵活的协议解析框架和丰富的扩展能力，已成为工业物联网Modbus协议分析的瑞士军刀。随着工业4.0的推进，建议结合以下方向深化应用：

1. 边缘计算集成：在边缘网关部署轻量级Wireshark捕获模块，实现实时异常检测
2. AI辅助诊断：基于历史流量训练异常检测模型，预测设备故障
3. 标准化测试：利用test/captures/目录下的样本文件，构建Modbus协议一致性测试套件

通过本文阐述的技术方法，工程师可快速构建工业级Modbus监控系统，提升设备通信可靠性与网络安全性。