1. 协议概述

  欧姆龙(Omron)是来自日本的知名电子和自控设备制造商,其中、小型PLC在国内市场有较高的占有率,有CJ、CM等系列。PLC可以支持Fins、Host link等协议进行通信。

  支持以太网的欧姆龙PLC CPU、以太网通信模块根据型号的不同,一般都会支持FINS(Factory Interface Network Service)协议,一些模块也会支持EtherNet/IP协议。Omron fins协议缺省TCP/UDP端口号为9600。Fins协议封装在TCP/UDP之上,需要注意的是基于TCP的Fins数据包和基于UDP的包在头部上差异较大。协议的具体构造可以参考欧姆龙官方文档。

  FINS协议实现了OMRON PLC与上位机以太网通信。Fins基于TCP/UDP的报文的概览如下:

1
2
3
4
5
6
7
8
9
              Fins over TCP
+-----------------------------------------------------------+
| Fins/TCP Header | Fins over UDP(optional) |
+-----------------------------------------------------------+
/ \
/ Fins over UDP \
+---------------------------------------+
| Fins/UDP Header | Command Data |
+---------------------------------------+

  由上图可知,Fins/TCP实际上是将Fins/UDP报文作为其负载,在其前面加了一个Fins/TCP报头。需要注意的是,Fins/TCP报文中负载即Fins/UDP部分不一定会出现,它可以只有一个简单的Fins/TCP报头。

  因此我们先介绍Fins/UDP报文的组成,然后再介绍Fins/TCP结构。

2. 协议详解

2.1 Fins over UDP

  基于UDP的Fins协议的结构相对简单,整体结构由报头和数据两部分组成,如下所示:

1
2
3
4
5
6
     Fins over UDP
+--------------------------+
| Fins/UDP Header |
+--------------------------+
| Command Data(opitonal) |
+--------------------------+

  其中报头部分为必要组成部分,为固定长度12个字节,数据部分非必现。

2.1.1 Fins/UDP Header

  报头部分由11个定长字段组合而成,前面10个字段分别简称为:ICF、RSV、GCT、DNA、DA1、DA2、SNA、SA1、SA2、SID,如下所示:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
0         1           2          6                     7
+---------+-----------+----------+---------------------+
| Gateway | Data Type | Reserved | Response setting |
+------------------------------------------------------+
| Reserved |
+------------------------------------------------------+
| Gateway Counts |
+------------------------------------------------------+
| Destination Network Address |
+------------------------------------------------------+
| Destination Node Number |
+------------------------------------------------------+
| Destination Unit Addres |
+------------------------------------------------------+
| Source Network Address |
+------------------------------------------------------+
| Source Node Number |
+------------------------------------------------------+
| Source Unit Addres |
+------------------------------------------------------+
| Service Id |
+------------------------------------------------------+
| Command |
+ +
| Code(2B) |
+------------------------------------------------------+

  上述11个字段中,除最后一个Command Code字段为2个字节外,其余所有字段均只占1个字节

2.1.2 ICF字段

  第一个字段被称为ICF字段(即Information control filed,信息控制字段),1个字节,由4个子字段组成,分述如下:

  • 1… …. = Gateway bit,是否使用网关,0x01表示使用;
  • .1.. …. = Data Type bit,数据类型比特位,0x01表示为响应,0x00表示命令;
  • ..0. …. = Reserved bit,第一个保留比特位,默认置0;
  • …0 …. = Reserved bit,第二个保留比特位,默认置0;
  • …. 0… = Reserved bit,第三个保留比特位,默认置0;
  • …. .0.. = Reserved bit,第四个保留比特位,默认置0;
  • …. ..0. = Reserved bit,第五个保留比特位,默认置0;
  • …. …1 = Response setting bit,第一个保留比特位响应标志为,0x01表示非必需回应,0x00表示必须进行回应。

2.1.3 RSV字段

  第二个字段被称为RSV(即Reserved,保留字段),1个字节,置0x00

2.1.4 GCT字段

  第三个字段被称为GCT(即Gateway count ,网关计数),1个字节,置为0x02

2.1.5 DNA字段

  第四个字段被称为DNA(即Destination network adrress,目标网络地址),1个字节,取值如下:

  • 00:表示本地网络;
  • 0x01~0x7F:表示远程网络。

2.1.6 DA1字段

  第五个字段被称为DA1(即Destination node number,目标节点编号),1个字节,取值如下:

  • 0x01~0x3ESYSMAC LINK网络中的节点号;
  • 0x01~0x7EYSMAC NET网络中的节点号;
  • 0xFF: 广播传输。

  Omron的官方手册中,该字段只能取上述值,然而网上的实际抓包发现会有其它值出现,被wireshark标记为unknown

2.1.7 DA2字段

  第六个字段被称为DA2(即Destination unit address,目标单元地址),1个字节,取值如下:

  • 0x00:PC(CPU);
  • 0xFE: SYSMAC NET Link Unit or SYSMAC LINK Unit connected to network;
  • 0x10~0x1F:CPU总线单元 ,其值等于10 + 单元号(前端面板中配置的单元号)。

  Omron的官方手册中,该字段只能取上述值,然而网上的实际抓包发现会有其它值出现,被wireshark标记为unknown

2.1.8 SNA字段

  第七个字段被称为SNA(即Source network address,源网络地址),1个字节,取值及含义同DNA字段。

2.1.9 SA1字段

  第八个字段被称为SA1(即Source node number,源节点编号),1个字节,取值及含义同DA1字段。

2.1.10 SA2字段

  第九个字段被称为SA2(即Source unit addess,源单元地址),1个字节,取值及含义同DA2字段。

2.1.11 SID字段

  第十个字段被称为SID(即Service ID,服务ID**),1个字节,取值0x00~0xFF,产生会话的进程的唯一标识。

2.1.12 Command Code字段

  这个字段占2个字节,其取值由第一个字节表示的大分类和第二个字节表示的子分类复合而成,取值及其含义如下表:

Command Code英文释义中文释义
1st Byte2nd Byte
0x010x01MEMORY AREA READ内存区域读取
0x02MEMORY AREA WRITE内存区域写入
0x03MEMORY AREA FILL内存区域填充
0x04MULTIPLE MEMORY AREA
READ
多内存区域读取
0x05MEMORY AREA TRANSFER内存区域传输
0x020x01PARAMETER AREA READ参数区域读取
0x02PARAMETER AREA WRITE参数区域写入
0x03PARAMETER AREA CLEAR参数区域清除
0x20DATA LINK TABLE READ数据链表读取
0x21DATA LINK TABLE WRITE内存区域传输
0x030x04PROGRAM AREA PROTECT程序区保护
0x05PROGRAM AREA PROTECT CLEAR程序区保护清除
0x06PROGRAM AREA READ程序区读取
0x07PROGRAM AREA WRITE程序区写入
0x08PROGRAM AREA CLEAR程序区清除
0x040x01RUN执行
0x02STOP停止
0x03RESET重置
0x050x01CONTROLLER DATA READ控制器数据读取
0x02CONNECTION DATA READ连接数据读取
0x060x01CONTROLLER STATUS
READ
控制器状态读取
0x02NETWORK STATUS READ网络状态读取
0x03DATA LINK STATUS READ数据连接状态读取
0x20CYCLE TIME READ循环次数读取
0x070x01CLOCK READ时钟读取
0x02CLOCK WRITE 时钟写入
0x080x01LOOP-BACK TEST/
INTERNODE ECHO TEST
环路测试/内部节点响应测试
0x02BROADCAST TEST
RESULTS READ
广播测试/结果读取
0x03BROADCAST TEST DATA
SEND
广播测试数据发送
0x090x20MESSAGE READ消息读取
MESSAGE CLEAR消息清除
FAL/FALS READFAL/FALS读取
0x0C0x01ACCESS RIGHT ACQUIRE 访问权限获取
0x02ACCESS RIGHT FORCED
ACQUIRE
访问权限强制获取
0x03ACCESS RIGHT RELEASE访问权限释放
0x210x01ERROR CLEAR错误清除
0x02ERROR LOG READ错误日志读取
0x03ERROR LOG CLEAR错误日志清除
0x220x01FILE NAME READ文件名读取
0x02SINGLE FILE READ单文件读取
0x03SINGLE FILE WRITE单文件写入
0x04MEMORY CARD FORMAT记忆卡格式化
0x05FILE DELETE文件删除
0x06VOLUME LABEL
CREATE/DELETE
卷标创建/删除
0x07FILE COPY文件复制
0x08FILE NAME CHANGE文件名更改
0x09FILE DATA CHECK文件数据校核
0x0AMEMORY AREA FILE
TRANSFER
内存区域文件传输
0x0BPARAMETER AREA FILE
TRANSFER/td>
参数区域文件传输
0x0CPROGRAM AREA FILE
TRANSFER
程序区域文件传输
0x0FFILE MEMORY INDEX READ文件内存索引读取
0x10FILE MEMORY READ 文件内存块读取
0x11FILE MEMORY WRITE文件内存块写入
0x230x01FORCED SET/RESET强制设置/重置
0x02FORCED SET/RESET
CANCEL
取消强制设置/重置
0x0AMULTIPLE FORCED STATUS
READ
多强制状态读取
0x260x01NAME SET名称设置
0x02NAME DELETE 名称删除
0x03NAME READ名称读取

  合计:14个大类,57个子类,共57Command Code

2.2 Fins Over TCP

  基于TCP的FINS报文结构也不复杂,无非就是一个FINS/TCP头部(必选),加上FINS/UDP报文(可选),如下所示:

1
2
3
4
5
6
7
8
               Fins over TCP
+----------------------------------------+
| Fins/TCP Header |
+----------------------------------------+
| Fins/UDP Header(not neccessary) |
+----------------------------------------+
| Command Data(not neccessary) |
+----------------------------------------+

2.2.1 Fins/TCP Header

  Fins/TCP的报头与Fins/UDP不同的是,它由4个固定字段和2个可选字段组成,如下所示:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
                   Fins/TCP Header
0 31
+---------+-----------+----------+---------------------+
| Magic Bytes |
+------------------------------------------------------+
| Length |
+------------------------------------------------------+
| Command |
+------------------------------------------------------+
| Error Code |
+------------------------------------------------------+
| Client Node Address(optional) |
+------------------------------------------------------+
| Server Node Address(optional) |
+------------------------------------------------------+

   因此Fins/TCP的头部长度范围为$[16, 24]$字节,每个字段的长度均为固定的4个字节

2.2.2 Magic字段

  第一个字段为Magic Bytes字段,从字面意思看是魔数字段,其ASCII码(0x46494E53)刚好是FINS这个单词,因此可以推测这个字段的值是恒定的。

2.2.3 Length字段

  第二个字段为Length字段,这个字段的值表示其后所有字段(包括可能出现的Fins/UDP包)的总长度,用公式表达为:
$$
\begin{split}
Length &= len(TCP_PAYLOAD) - len(Magic Bytes) - len(Length) \\
&= len(TCP_PAYLOAD) - 4 - 4 \\
&= len(TCP_PAYLOAD) - 8 \\
\end{split}
\tag{2 - 1}
$$

  也就是说,该字段的值等于TCP负载的总长度减去8个字节。

2.2.4 Command字段

  第三个字段为Command字段,这个字段表示消息中随附的命令的类型。这个字段的取值直接决定了后续可选的字段Client Node Address、Server Node Address是否出现,具体情况如下所示:

  • 0x00000000:节点地址数据已发送(C->S),此时仅有Client Node Address字段;
  • 0x00000001:节点地址数据已发送(S->C),此时Client/Server Node Address字段均出现;
  • 其它:不会出现上述两个字段。

2.2.5 Error Code字段

  第四个字段为Error Code字段,这个字段表示错误代码。根据wireshark源代码所提供的信息,错误代码目前共定义了10种类型,如下所示:

错误码 对应含义
0x00000000 Normal
0x00000001 The header is not ‘FINS’ (ASCII code)
0x00000002 The data length is too long
0x00000003 The command is not supported
0x00000020 All connections are in use
0x00000021 The specified node is already connected
0x00000022 Attempt to access a protected node from an unspecified IP address
0x00000023 The client FINS node address is out of range
0x00000024 The same FINS node address is being used by the client and server
0x00000025 All the node addresses available for allocation have been used

2.2.6 Client/Server Node Address字段

  这两个字段是Fins/TCP的客户端/服务器建立连接的时候的类似DHCP协议客户端获取IP地址的时候才会出现的,如下所示:

  由上可以看出,Fins/TCP协议的客户端/服务器在传输有效的命令数据之前,由客户端先向服务器发送一个包含Client Node Address字段的报文申请节点地址,如下图所示:

  类似DHCP协议,由于客户端申请的时候还没有节点地址,因此该字段被置为0x00000000
  服务器收到客户端请求后,给客户端分配相应的节点地址并通告给客户端,同时在报文中包含服务器自己的节点地址信息,如下所示:

  客户端收到服务器的响应报文后,即使用分配的节点地址与服务器进行通信,由此客户端/服务器之间就建立起了有效的长连接。

2.3 Command Data

  这个字段是Fins/UDP、Fins/TCP协议的实际负载部分,鉴于其涵盖内容较多(官方手册就有两百多页),目前未对其进行深入解析,后续根据需要再深入解析。

2.4 参考资料

  1. Omron-Fins官方手册

  2. Wireshark wiki关于Omron的简介

  3. 安全客观与Omron-Fins协议的介绍(非常详细)