wireshark goose

### 使用 Wireshark 分析 GOOSE 协议报文

#### 安装并配置 Wireshark 支持 IEC 61850 和 GOOSE 报文解析

为了确保 Wireshark 能够正确解析 GOOSE 报文，需确认安装了最新版本的 Wireshark 并启用了相应的插件。Wireshark 默认支持多种工业控制系统的协议解码功能，包括 IEC 61850 的 GOOSE 报文。

#### 设置过滤条件捕捉 GOOSE 流量

启动 Wireshark 后，在界面下方输入框内设置显示过滤器 `ethertype == 0x88b8` 或者更具体的 `mms.sv || mms.goose` 来专门筛选出 SV (Sampled Value) 及 GOOSE 类型的数据包[^2]。这有助于减少无关流量干扰，专注于目标通信会话中的 GOOSE 消息交换过程。

#### 解读 GOOSE 数据帧结构

一旦捕获到符合条件的数据流，双击任意一条记录即可展开详细视图查看其内部组成：

- **源MAC地址(Source MAC Address)**: 发送者的硬件层标识符；
- **目的MAC地址(Destination MAC Address)**: 接收端设备的身份编码；
- **VLAN标签(VLAN Tag, 如果存在)**;
- **APPID**: 应用程序识别号(Application Identifier)，用于区分不同类型的GOOSE服务实例；
- **Length/Type Field**;
- **ASDU(应用服务数据单元Application Service Data Unit)**:
- GOCBRef(GOOSE Originated Control Block Reference): 控制块引用路径；
- TimeAllowedtoLive: 生存时间参数设定；
- DataSet: 实际携带的有效负载信息集描述；
- ConfRev(Configuration Revision): 配置修订版次序编号；
- NdSBO(Need to Send Bit On): 表明当前状态变化是否需要立即发送标志位；
- TestBit(Test bit flag): 是否处于测试模式下的指示标记；
- ConfigPtr(Config Pointer): 当前使用的具体配置文件指针位置；
- StNum(Status Number): 状态序列计数器值；
- SqNum(Sequence Number): 此条消息在整个系列里的顺序索引；
- Data Set Entries: 包含实际传输的状态变量列表及其对应数值；

通过上述字段可以全面掌握每条 GOOSE 报文中所传递的具体含义以及上下文关联情况[^3]。

tshark -Y "ether proto 0x88b8"

此命令可以在命令行下利用 tshark 工具快速定位并打印出所有匹配 GOOSE 协议特征的数据包包头摘要信息。