使用 lua 编写 wireshark 协议解析插件
一、平台
操作系统:windows 7
wireshark:1.10.3
lua:5.1
二、准备
lua 语言基本语法,特别是关于表操作和循环
wireshark 文档,包括用户使用文档和开发者文档,这些在 wireshark 官方网站都能找到
三、开始
我们首先定义一个简单的协议,我们使用 C 语言的语法描述,
1 struct foo 2 { 3 char protocol_type[16]; /* request response notify */ 4 char service_type[16]; /* 我们定义的各种服务类型 */ 5 unsigned int msg_len; /* 消息体的长度 */ 6 char msg_content[0]; /* 消息体的内容,由于是变长的所以采用此方法定义 */ 7 };
现在可以让我们使用 lua 定义一个最基本的框架
1 do 2 --[[ 3 创建一个新的协议结构 foo_proto 4 第一个参数是协议名称会体现在过滤器中 5 第二个参数是协议的描述信息,无关紧要 6 --]] 7 local foo_proto = Proto("foo", "Foo Protolcol") 8 9 --[[ 10 下面定义字段 11 --]] 12 local foo_protocol_type = ProtoField.string("foo.prototype", "Protocol Type", base.NONE) 13 local foo_service_type = ProtoField.string("foo.servicetype", "Service Type", base.NONE) 14 local foo_msg_len = ProtoField.uint32("foo.msglen", "Message Length", base.DEC) 15 local foo_msg_content = ProtoField.string("foo.msgcontent", "Message Content", base.NONE) 16 17 -- 将字段添加都协议中 18 foo_proto.fields = { 19 foo_protocol_type, 20 foo_service_type, 21 foo_msg_len, 22 foo_msg_content 23 } 24 25 --[[ 26 下面定义 foo 解析器的主函数,这个函数由 wireshark调用 27 第一个参数是 Tvb 类型,表示的是需要此解析器解析的数据 28 第二个参数是 Pinfo 类型,是协议解析树上的信息,包括 UI 上的显示 29 第三个参数是 TreeItem 类型,表示上一级解析树 30 --]] 31 function foo_proto.dissector(tvb, pinfo, treeitem) 32 33 -- 设置一些 UI 上面的信息 34 pinfo.cols.protocol:set("FOO") 35 pinfo.cols.info:set("Foo Protocol") 36 37 local offset = 0 38 local tvb_len = tvb:len() 39 40 -- 在上一级解析树上创建 foo 的根节点 41 local foo_tree = treeitem:add(foo_proto, tvb:range(offset)) 42 43 -- 下面是想该根节点上添加子节点,也就是自定义协议的各个字段 44 -- 注意 range 这个方法的两个参数的意义,第一个表示此时的偏移量 45 -- 第二个参数代表的是字段占用数据的长度 46 foo_tree:add(foo_protocol_type, tvb:range(offset, 16)) 47 offset = offset+16 48 foo_tree:add(foo_service_type, tvb:range(offset, 16)) 49 offset = offset+16 50 foo_tree:add(foo_msg_len, tvb:range(offset, 4)) 51 offset = offset+4 52 53 -- 计算消息内容的长度 54 local foo_content_len = tvb_len-offset 55 foo_tree:add(foo_msg_content, tvb:range(offset, foo_content_len)) 56 offset = offset+foo_content_len 57 58 end 59 60 -- 向 wireshark 注册协议插件被调用的条件 61 local tcp_port_table = DissectorTable.get("tcp.port") 62 tcp_port_table:add(12345, foo_proto) 63 end
四、扩展
(1)单 TCP 分节多应用 PDU
这种情况可以在我们的协议解析函数中使用循环解决,但是应用层 PDU 一般都需要有我们自定义的分割标识符,不然无法区分,这里我们使用协议尾端标记的方式,采用0xFF分割,这里我们假设我们的协议体中不会出现这个值,也就是我们的消息体长度字段的值不会出现这个值。
(2)单应用 PDU 多 TCP 分节
这种情况就需要 wireshark 为我们重新拼接被 TCP 协议栈拆分的数据,不过这已经有接口可用了,下面是处理两种情况的框架
1 do 2 -- 这里便于运算需要将数据类型进行转换 3 local tvbrange = tvb:range(0) 4 local bytearray = tvbrange:bytes() 5 local offset = pinfo.desegment_offset or 0 6 7 while true do 8 local pdu_flg = false 9 local pdu_end_index = 0 10 11 -- ByteArray 类型的索引与 C 类似 12 -- 这与 lua 本身处理表的方式有所区别 13 for i = offset, tvb_len do 14 if 0xFF == bytearray:get_index(i) then 15 pdu_flg = true 16 pdu_end_index = i 17 end 18 end 19 20 -- 如果没有找到 PDU 的结束符,进行合包延迟解析 21 if false == frame_end_flg then 22 -- 如果明确知道这个应用协议还需要多少字节 23 -- 可以明确地将需要的值填上,而不是使用下面的值 24 -- 只是表示需要更多的分节 25 pinfo.desegment_len = DESEGMENT_ONE_MORE_SEGMENT 26 return 27 end 28 29 -- 下面是正常的处理流程,在上面的代码中已经有体现了 30 -- 不过此时协议最大边界为 pdu_end_index 31 32 end 33 end
五、完善
(1)谈到网络协议,如果涉及到整数必然会有字节序的问题,如果 wireshark 默认使用的是大端字节序,如果协议中的整数采用的是小端字节序,那么请考虑使用 TreeItem 类型的 le_add() 方法替代 add() 方法。
(2)在 add 和 le_add 方法中,我们可以显式设定我们自己的值,可以给 add 方法传递第三个值,例如,
1 local protocol_type = tvb:range(offset, 16):string() 2 foo_tree:add(foo_protocol_type, tvb:range(offset, 4), protocol_type)
这样显示的就是 protocol_type 的内容,另外这里的 protocol_type 类型一定要与上面定义 foo_protocol_type 让 wireshark 解析的一致,不然这个值是无效的,也就是说这个地方 protocol_type 如果是整数,就是无效,反过来也是一样。
(3)在协议解析树上增加节点不一定要提前定义字段,也就是字段的定义不是必须的,例如,
1 local protocol_type = tvb:range(offset, 16):string() 2 foo_tree:add(tvb:range(offset, 16), "Protocol Type: " .. protocol_type)
效果是一样的,但是在过滤器中无法使用此字段。
(4)pinfo.cols.info:set 方法可以延迟调用,也就说可以在确定了消息的各种属性之后在调用,这样可以更清晰的显示协议的摘要。
六、参考
(1)wireshark 用户手册,在 wireshark 的安装目录下有 chm 的版本,最值得参考的是第11章的数据类型和各种方法的解释。
(2)重组被拆分的 TCP 分节,http://stackoverflow.com/questions/13138088/how-do-i-reassemble-tcp-packet-in-lua-dissector
(3)处理一个分节多应用 PDU,http://stackoverflow.com/questions/14387426/reassembling-packets-in-a-lua-wireshark-dissector
(4)调用子协议的方法,http://blog.csdn.net/phunxm/article/details/5972904
转载于:https://www.cnblogs.com/wendellyi/p/3475461.html
使用 lua 编写 wireshark 协议解析插件相关推荐
- wireshark协议解析器原理与插件编写
工作原理 每个解析器解码自己的协议部分, 然后把封装协议的解码传递给后续协议. 因此它可能总是从一个Frame解析器开始, Frame解析器解析捕获文件自己的数据包细节(如:时间戳), 将数据交给一个 ...
- wireshark协议解析器 源码分析 封装调用
源码分析 Wireshark启动时,所有解析器进行初始化和注册.要注册的信息包括协议名称.各个字段的信息.过滤用的关键字.要关联的下层协议与端口(handoff)等.在解析过程,每个解析器负责解析自己 ...
- 串口调试助手源代码 qt编写 带协议解析 帧判断 通信数据保存等功能
串口调试助手源代码 qt编写 带协议解析 帧判断 通信数据保存等功能 使用说明介绍 1.功能介绍: 采用Qt编写的串口调试助手工具,功能齐全,除了具备十六进制收发及文件保存等基本功能外,还具有以下功能 ...
- 修改wireshark协议解析规则
不同的协议有不同的解码器,wireshark尝试为每个包尝试找到正确的解码器,特定的情况有可能会选择错误的解码器. 1.使用了其它协议的标准端口,被错误解码,使用udp的80端口发送数据被当作QUIC ...
- wireshark协议解析错误解决方法
起因: 由于wireshark能解析的协议太多,某些数据包会被错误的解析成别的协议 解决: 在被错误解析的分组上右键,选择协议首选项,disable 错误的协议,直至以正确的协议进行解析. 也要到上面 ...
- 调用wireshark(二):调用协议解析器
上文[调用wireshark(一):初次尝试 http://www.cnblogs.com/zzqcn/archive/2013/05/11/3072362.html ]已经介绍了调用wireshar ...
- 用Lua语言编写Wireshark dissector插件
from: http://yoursunny.com/t/2008/Wireshark-Lua-dissector/ Wireshark是一款著名的网络协议分析工具,基于GPLv2协议开源,支持Lin ...
- wireshark添加h264解析插件
1.下载h264解析插件rtp_h264_extractor.lua https://github.com/volvet/h264extractor 2.将插件rtp_h264_extractor.l ...
- 使用Lua编写whireshark插件
whireshark支持Lua.C.C++编写的插件 在这里,我简单介绍如何使用Lua编写whireshark插件. 一.插件的存放位置 whireshark插件分为个人插件和全局插件,在window ...
最新文章
- Web App、Hybrid App与Native App的设计差异
- 干货|深度!“人工智能+制造”产业发展研究报告
- POJ 3761:Bubble Sort——组合数学
- 有关oracle数据库中的日期显示问题
- 《笨办法学python》6_笨办法学Python 习题 25: 更多更多的练习
- 吕述望 计算机网络专家,特稿: 中科院吕述望教授:互联网名不符实
- MyBatis查询,返回值Map或ListMap
- 有关Oracle最大连接数的问题
- 如何用 Visual Studio 2017 开发 Arduino 应用程序
- [BZOJ2339][HNOI2011]卡农
- 基于ELMO Composer的MAXON RE40电机增益调节
- Pspice的文本输入方法
- 计算机主机hdmi接口是什么意思,什么是hdmi接口?
- python xy 3_python(3):文件操作/os库
- 网页加速器1.0.5.6 免费版
- linux定时任务生效_Linux 定时任务不生效的问题
- Codeforces 949A Zebras(构造)
- 永久短网址生成 可以永久使用的短链接推荐
- 查找数字的下标--二分法
- map和multimap的用法详解