Fehlersuche und Diagnose in Netzwerken

Fehlersuche und Diagnose in Netzwerken 

05.05.2011, C. Durrer / R. Petry

Wozu dieser Aufwand 

 

Die Fehlersuche bei Kommunikationsproblemen kann sehr aufwändig 

sein 

 

 

 

Wenn z.B. der FTP Zugriff nicht funktionieren will 

Die Modbus Parameter des anzubindenen Gerätes nicht vollständig 

dokumentiert sind 

Die BACnet Kommunikation nicht über den Router gehen will… 

In allen diesen Fällen kann viel Zeit eingespart werden durch das 

„Hinschauen“ der übermittelten Daten. 

Controls Masterfolie 2

Wie kann man Kommunikation analysieren 

 

 

 

Ethernet 

Um Ethernet Kommunikation (TCP/IP und UDP/IP) zu analysieren 

empfehlen wir die Freeware Wireshark(siehe FAQ 100569) 

Seriell (RS232 / RS485) 

Um Serial-S-Bus oder serieller Modbus zu analysieren empfehhlen 

wir die Software “Serialtest” von Frontline (ca. € 400.-) 

FDL 

Um FDL Kommunikation (z.B. Profibus DP, Profi-S-I/O oder Profi-S- 

Bus) zu analysieren empfehlen wir Profitrace(siehe FAQ 100298) 


Wireshark News 

Wireshark Verbesserungen (seit 1.0.0) 

 

 

 

 

 

 

Suche nach Retry telegrams 

Erweiterte Info “time to respond” 

Erweiterte Funktion “Jump to reques/response” 

Ether-S-I/O Protokoll wurde integriert 

Erweiterte Funktion “Expert info” 

Neue “Block download telegrams” integriert 

Eine grosse Anzahl von Gründen, die neue Version zu verwenden! 

Beachten Sie, dass die Version 1.5.x von Wireshark benötigt wird 

(verfügbar auf der DVD) 


Wireshark Voraussetzungen 

 

Verwenden Sie einen Hub… 

Bei einem Switches werden nicht alle Unicasts gesehen, 

nur Broadcasts sind sichtbar. 



 

…aber Hubs kann man nicht mehr kaufen… 

In den vergangenen Jahren wurden Hubs durch Switches ersetzt 

(was vernünftig ist), deshalb empfehlen wir zur Analyse einen 

“Managed Ethernet Switch”: 

z.B. einen ES-2108 from ZyXEL (ca. 150.- €) 



 

…ein noch eleganterer (aber teurerer) Weg… 

Es existieren auch “USB tabs”, welche direkt in ein Netzwerk 

eingefügt werden können: 

z.B. den ProfiTAP 10/100 (ca. 800 €) 


Wireshark Tipps (Ether-S-Bus) 

 

Sobald eine Aufnahme gemacht wurde, kann diese analysiert 

werden; dazu ist ein Display Filter wichtig! 

suche nach Ether-S-Bus: 

sbus 

Bsp: 

Wireshark_SBus_Retries.pcap 



 

Befinden sich Retry Telegramme im Trace 

Suche nach Ether-S-Bus retries (Wiederholungen) 

sbus.retry 

Bsp: 

Wireshark_SBus_Retries.pcap 



 

Wenn zu viele Stationan angezeigt sind: ausfiltern! 

Display filter für Ether-S-Bus und nur eine IP Station: 

sbus && (ip.addr == 172.23.2.15) 


Wireshark weiterführende Telegrammanalyse 

In vielen Fällen ist bereits mit diesen ersten Schritten die 

Ursache für die Kommunikationsstörung ersichtlich. 

Ist die Ursache auf den ersten Blick nicht zu erkennen sollten folgende 

Punkte überprüft werden (gern gemachte Fehler): 

Ist die IP Adresse (Gerät) überhaupt erreichbar 

Gehört die IP Adresse zum richtigen Gerät 

Stimmt die Checksumme 

Ist die Autentifizierung Erfolgreich 



Ist die Ziel IP Adresse Erreichbar 

 

 

 

Ethernet Frames (Telegramme) sind mit MAC Adressen adressiert 

Damit ein Gerät weiss, welche MAC Adresse ein anderes Gerät hat, 

wird jeweils ein ARP Request gesendet: 

 

 

Who has IP xxx.xxx.xxx.xxx (wenn das Gerät auf dem selben Subnetz ist) 

Who has IP xxx.xxx.xxx.xxx (wobei nach der IP Adresse des Routers gesucht wird, 

wenn das Zielgerät nicht auf der selben IP Subnetz ist) 

Die Tabelle der MAC wird regelmässig, aber langsam aufgefrischt 

Im Wireschark nach “ARP” filtern. 

Antworten alle Zieladressen 



Nach ARP filtern 

Reihenfolge Sortieren 

 

 

Teilnehmer die auf den ARP request geantwortet haben. 

Nur mit diesen Geräten kann kommuniziert werden. 



Gehört die IP Adresse zum richtigen Gerät 

 

Doppelt vergebene IP Adressen ausschliessen. 

Stimmt die MAC Adresse welche im ARP zu der IP angezeigt wird mit 

der MAC Adresse der PCD überein 

Stimmt der angezeigte Gerätetyp 



Werden die Telegramme fehlerfrei empfangen 

Das ist aus einer korrekten Checksumme ersichtlich. 



 

Einige Funktionen wie z.B. E-Mail und FTP erfordern eine 

Autentifizierung. 

Ist die Autentifizierung erfolgreich 

Autentifizierung fehlgeschlagen 



 

Wie viele Telegramme wurden von der PCD beantwortet 

Display filter für z.B. Ether-S-Bus und nur einer IP Station: 

sbus && (ip.addr == 172.23.2.15) 

Um die Performance zu errechnen kann die Anzahl angezeiger 

Telegramme durch die Aufnahmezeit geteilt werden… 

Daumenregel: ein Ether-S-Bus Request wird innert 10 ms 

bearbeitet (siehe die Präsentation von gestern von R. Beck) 


Wireshark Tipps 

 

 

Bemerkenswerte Ereignisse auf einen Blick… 

Verwenden Sie die “Expert info” (Menü “Analyze”) 

 

Die folgenden Meldungsstufen existieren: 

Chat: Just chatting, nichts Spezielles 

Note: Bemerkung, noch nichts Spezielles (z.B. Retries) 

Warning: Da ist etwas seltsam… 

Error: Das ist ein Fehler (z.B. falscher CRC) 


Ethernet TCP 

 

 

Im Unterschied zu UDP ist TCP Verbindungsbasiert 

Bevor Daten ausgetauscht werden, wird eine Verbindung erstellt: 

 

siehe Trace file file Wireshark_TCP_Syn.pcap 


Ethernet TCP 

 

Beim “Abbau” der Kommunikation wird diese Verbindung auch wieder 

getrennt: 

siehe Trace file Wireshark_TCP_Fin.pcap 


Ethernet TCP 

 

Zu bemerkende Punkte betreffend TCP 

Falls für jede Übermittlung eines Frames eine neue TCP 

Verbindung geöffnet wird, wird die Anzahl Frames ca. verdreifacht 

(teilweise bei Modbus TCP) 

Wenn irgendwie möglich sollte diese 

Konstellation vermieden werden 

Wenn auf TCP-Ebene Timeouts auftreten (welche lange sind), 

werden diese vor z.B. Modbus Timeouts abgewartet! 

Die Anzahl offener TCP Verbindungen ist begrenzt 

(z.B. bei Modbus/TCP: 10 Connections maximal offen) 


Ethernet TCP / FTP 

 

FTP ist in dem Sinne speziell, dass 2 Verbindungen verwendet 

werden, hier im Active Mode: 

 

 

Weitere Info betreffend FTP Active/Passive Mode 

Wireshark Beispiel: Wireshark_FTP_Successful.pcap 


Ethernet Modbus/TCP 

 

 

 

Vorgehen beim Konfigurieren von Modbus Verbindungen (welche 

nicht klar definiert sind) 

 

 

 

 

Das “default mapping” entfernen 

Einen kleinen Bereich (in der Mitte des lesbaren Bereichs) von Medien 

zur Übertragung definieren 

Offset anpassen, damit das erste Element gelesen werden kann 

Bereich vergrössern, bis alle Daten gelesen werden können. 

Wenn möglich eine korrekt funktionierende Kommunikation aufbauen 

und analysieren 

Bei der Kommunikation auf Exception codes achten (wenn der Server 

z.B. keinen entsprechenden Bereich gemappt hat) 


Wireshark Hands-on 

Uebung 1 

Keine FTP Verbindung möglich… Wieso 

Datei: Uebung1.pcap 

Uebung 2 

Emails können nicht versandt werden… Wieso 


Uebung 3 

Emails können nicht versandt werden… Wieso 



Wireshark Hands-on 

Uebung 4 

Die Modbus/TCP Kommunikation mit Gerät 10.20.60.164 funktioniert plötzlich 

nicht mehr (geht aber weiterhing mit 10.20.60.163). Was könnte der Grund 

dafür sein 


Uebung 5 

Modbus/TCP Gerät 192.168.1.10 schreibt Coils auf die PCD, aber die 

gemappten Flags werden nicht geschrieben. Was könnte der Grund sein 


Uebung 6 

Modbus/TCP (P-Bus) Kommunkation funktioniert nach einem Neustart der 

PCD nicht mehr (PCD ist Modbus Master) Wo liegt die Ursache 



Wireshark Uebung 1 Lösung 

Uebung 1 

Keine FTP Verbindung möglich… Wieso 


 

Nachdem der Benutzername “root1” übergeben wurde bei der 

Anmeldung, kommt die Antwort: Not logged in 

Dieser Benutzer existiert nicht 



 

 

Damit die interessanten Frames angezeigt werden: filtern mit “!http” 

(alles ausser http) oder “smtp” 

Nach einem Loginversuch (erkennbar an AUTH für Authentication) 

antwortet der Server mit “535: Authentication failure” (wegen einem 

falschen User/Passwort) 

 

Um das Passwort zu sehen 

kann es entschlüsselt werden, 

z.B. auf http://www.opinionatedgeek.com/dotnet/tools/base64decode/ 



 

 

Damit die interessanten Frames angezeigt werden: filtern mit “tcp.port 

== 25” (verwendet für smpt) 

Nach einem SYN wird sofort mit einem RST (Reset) geantwortet 

auf dieser Maschine läuft kein SMTP Mail Server (oder eine Firewall 

blockt) 



 

 

Damit die interessanten Frames angezeigt werden: 

filtern mit “tcp.addr == 10.20.60.164” 

kein Resultat 

Nach “arp” filtern, um zu sehen, ob die Station gesucht wird: 

Es wird nach dem Gerät mit der IP 10.20.60.164 gesucht mittels 

ARP (Address Resolution Protocol), aber die Station gibt keine 

Antwort. Ursache könnte sein, dass die Station nicht oder schlecht 

angeschlossen ist, oder einen Fehler im Stack hat. 



 

Auf den Netzwerk kann man sehen, dass die Coils geschrieben 

werden (Coil 16..23), und dass die PCD positiv antwortet: 

 

Da die Flags aber nicht geschrieben wurden, ist sehr 

wahrscheinlich das Default Mapping aktiv 

In dem nächsten Schritt das Default Mapping ausschalten, und 

erneut testen 



 

Als erstes nach den Neustart der PCD suchen (z.B. mit einem Filtern 

nach “arp”: Neustart ist bei Frame 11525: 

 

 

Nach dem Neustart versucht die PCD, eine neue TCP Verbindung zu 

öffnen (von Port 1025 auf 502), was nicht gelingt (der Persy Gateway 

erwidert kein SYN, ACK) 

Dafür sendet der Persy Gateway Retransmission Frames (obwohl die 

PCD den Port nicht mehr offen hat und die Verbindung mit einem 

RST zurücksetzt) 

Ein Fehler in der FW von Persy (der Gateway müsste die neue 

Verbindung aufbauen, und die “alte” beenden, was er on einer neuen 

FW machen wird) 


Offene Fragen

Fehlersuche und Diagnose in Netzwerken

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?