WireShark Lua Example

最新推荐文章于 2024-05-22 01:33:34 发布
原创 最新推荐文章于 2024-05-22 01:33:34 发布 · 182 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Lua #Go

本文介绍 Wireshark 中使用 Lua 脚本进行协议注册、文件转储、列编辑、对话框创建及包计数等功能的具体实现方法。

From: http://wiki.wireshark.org/Lua/Examples


 

 

Using Lua to register protocols to more ports

 

 

-- register http to handle ports 4888-4891
do
        local tcp_port_table = DissectorTable.get("tcp.port")
        local http_dissector = tcp_port_table:get_dissector(80)
        for port in {4888,4889,4890,4891} do
                tcp_port_table:add(port,http_dissector)
        end
end

 

 

dumping to multiple files

 

 

-- Create a file named by_ip/''ip_addess''.cap with all ip traffic of each ip host. (works for tshark only)
-- Dump files are created for both source and destination hosts
do
        local dir = "by_ip"
        local dumpers = {}
        local function init_listener()
                local tap = Listener.new("ip")
                -- we will be called once for every IP Header.
                -- If there's more than one IP header in a given packet we'll dump the packet once per every header
                function tap.packet(pinfo,tvb,ip)
                        local ip_src, ip_dst = tostring(ip.ip_src), tostring(ip.ip_dst)
                        local src_dmp, dst_dmp
                        src_dmp = dumpers[ip_src]
                        if not src_dmp then
                                src_dmp = Dumper.new_for_current( dir .. "/" .. ip_src .. ".pcap" )
                                dumpers[ip_src] = src_dmp
                        end
                        src_dmp:dump_current()
                        src_dmp:flush()
                        dst_dmp = dumpers[ip_dst]
                        if not dst_dmp then
                                dst_dmp = Dumper.new_for_current( dir .. "/" .. ip_dst .. ".pcap"  )
                                dumpers[ip_dst] = dst_dmp
                        end
                        dst_dmp:dump_current()
                        dst_dmp:flush()
                end
                function tap.draw()
                        for ip_addr,dumper in pairs(dumpers) do
                                 dumper:flush()
                        end
                end
                function tap.reset()
                        for ip_addr,dumper in pairs(dumpers) do
                                 dumper:close()
                        end
                        dumpers = {}
                end
        end
        init_listener()
end

 

 

editing columns

 

/!\ Inacurate and outdated, to be refactored to reflect current state of WSLUA API.

 

-- The following exaple inverts the src and dst columns in wireshark extracting the values with FieldExtractor
do
    local ip_src = FieldExtractor.new("ip.src")
    local ip_dst = FieldExtractor.new("ip.dst")
    local stupid_joke_tap = Tap.new("stupid_joke")
    stupid_joke_tap:use_fields(ip_src,ip_dst)
    stupid_joke_tap:register()
        function per_packet.stupid_joke(pinfo)
                col_src = pinfo:col.src
                col_dst = pinfo:col.dst
                col_src:set(ip_dst:get())
                col_dst:set(ip_src:get())
        end
end

 

 

dialogs an TextWindows

 

/!\ Inacurate and outdated, to be refactored to reflect current state of WSLUA API.

 

--  This Example will add a menu "Lua Dialog Test" that when selected will pop a dialog prompting the user for input that when accepted will pop a window with a result.

if gui_enabled() then
   local splash = TextWindow.new("Hello!");
   splash:set("This time wireshark has been enhanced with an useles feature.\n")
   splash:append("Go to Statistics->Useless Feature and check it out!")
end
function dialog_menu()
    function dialog_func(person,eyes,hair)
        local win = TextWindow.new("The Person");
        win:set(person)
        win:append(" with " .. eyes .." eyes and")
        win:append(" " .. hair .. " hair.");
    end

    new_dialog("Dialog Test",dialog_func,"A Person","Eyes","Hair")
end
register_menu("Useless Feature",dialog_menu)

 

 

Packet counter

 

 

do
    packets = 0;
    local function init_listener()
        local tap = Listener.new("frame","ip.addr == 10.0.0.0/8")
        function tap.reset()
            packets = 0;
        end
        function tap.packet(pinfo,tvb,ip)
            packets = packets + 1
        end
        function tap.draw()
            print("Packets to/from 10.0.0./8",packets)
        end
    end
    init_listener()
end
Wireshark Lua 插件教程
一些C++相关的技术笔记或者教程.
02-27 2449
本文深入探讨了如何在Wireshark中使用Lua脚本进行自定义协议的解析和数据导出. 通过详细的代码示例和步骤说明, 读者可以学习如何编写Dissector来解析Wireshark不支持的协议, 以及如何利用Dumper导出特定协议字段. 文章还涵盖了TCP包重组, 调试技巧等高级主题, 帮助开发者高效处理网络数据包分析任务, 提升工作效率.
wireshark Lua脚本编写
vegeta852的博客
11-02 965
wireshark Lua脚本编写 Lua语言是脚本语言,只需要编写相关协议解析的脚本内容,然后由wireshark加载即可(Wireshark自带Lua解析器),wireshark封装丰富的接口给Lua使用,一些有用的docs: https://www.wireshark.org/docs/wsdg_html_chunked/index.html 第十章: 10. Lua Support in Wireshark 第十一章: 11. Wireshark’s Lua API Reference Manual
wireshark capture filter example
javalfx的专栏
09-13 1947
CaptureFilters An overview of the capture filter syntax can be found in the User's Guide. A complete reference can be found in the expression section of thetcpdump manual page. Wireshark use
Wireshark解析器(Dissector)插件-Lua
heusunduo88的博客
03-30 2904
Wireshark解析器(Dissector)插件-Lua
使用Lua编写whireshark插件
lyhDream的专栏
05-25 699
whireshark支持Lua、C、C++编写的插件 在这里,我简单介绍如何使用Lua编写whireshark插件。 一、插件的存放位置 whireshark插件分为个人插件和全局插件,在windows平台上,个人插件的存放位置在: #%APPDATA%是window下的一个环境变量,通过在cmd窗口输入echo %APPDATA% 即可查看具体的信息 %APPDATA%\Wiresha...
使用Wireshark抓包工具
xiaowenliuwen的博客
07-03 660
//网络数据包结构头 struct NetMessageHead { UINT uMessageSize; ///数据包大小 UINT uMainID; ///处理主类型 UINT uAssistantID; ...
Wireshark的一些使用经验
一把菜刀行江湖
08-05 2152
Wireshark可以使用wireshark支持的lua语言进行定制或扩充。 注:本文所测试脚本以Wireshar2.0.4为准 # 工作中经常会遇到需要将某些UDP报文固定解析为RTP协议,这个操作通过在init.lua中扩充分析器 local rtp_dissector  = Dissector.get("rtp") DissectorTable.get("udp.port")
利用wireshark lua扩展能力增加自定义解析器[注释解读版]
一把菜刀行江湖
01-20 1869
利用wireshark lua扩展能力增加自定义解析器,固化重复动作,非常方便。对于官网的解析器例子采用详尽注释的方式,以利于理解
Wireshark+lua插件方式抓包及解析OMCI协议报文详细信息
binfeng1987的专栏
04-04 7730
GPON协议的网络设备的功能测试,数据流分析是必不可少的,为了方便分析数据流及问题定位,采用Wireshark+lua插件方式抓包及解析OMCI协议报文详细信息。(Wireshark官网已有开源omci的lua插件),后续自研开发GPON协议中GTCd帧、GTCu(Burst)、PLOAM解析插件等。、然后重新启动Wireshark或者点击【分析】-【重新载入Lua插件】,就可以启用omci的lua插件了。要能解析OMCI报文,需要两个插件脚本支持,一个是OMCI,另外一个是BinDecHex。
wireshark如何写一个lua脚本解析自定义报文字段?(Proto、DissectorTable.get、function .dissector、dissector_table:add)
最新发布
技术札记
05-22 808
【代码】wireshark如何写一个lua脚本解析自定义报文字段?
wireshark插件编程总结
yang_chen_shi_wo的博客
07-08 1207
/*     hf_register_info:可以一个子类型一个这个结构体。     此结构是一个用于代表协议中用于解析各个字段信息的结构。使用的时候,通常使用数组方式来代表协议中的诸多字段     我们定义了3个结构,用于表示协议的3个字段,这个数组的结构解释如下     1) 元素1: 保存标识的引用变量     赋值列表中,&hf_foo_pdu_type代表取得hf_foo_p
WireShark首选项设置
qq_43776408的博客
10-14 3285
修改软件底层的一些设置 编辑---首选项 以下都是系统级别的设置 1.修改默认打开目录 Apperance----打开文件夹中的文件-----该文件夹 2.Apperance-----clo可以修改列 3.Name Resolution:之前只显示IP,修改之后可显示MAC和域名等等 就是解析的结果变多了,更详细了 4.Apperance-----Layout:设置布局 5.protoc...
Wireshark lua插件
junlon2006的博客
03-26 4456
源地址:https://www.zybuluo.com/natsumi/note/77991 参考:  http://yoursunny.com/t/2008/Wireshark-Lua-dissector/  http://yoursunny.com/study/IS409/ScoreBoard.htm  http://www.360doc.com/content/13/1021
{开源项目}wireshark lua插件解析协议包
拒绝黑盒,享受开源
11-28 1502
{开源项目}之wireshark lua插件列子{开源项目}之wireshark lua插件websocket内容分析jsonlua解析websockets内容为json {开源项目}之wireshark lua插件websocket内容分析json lua解析websockets内容为json -- wireshark lua 分析websocket协议内容为json数据 -- local cj......
Lua编写wireshark插件初探——解析Websocket上的MQTT协议
weixin_30892763的博客
04-10 1240
一、背景 最近在做物联网流量分析时发现, App在使用MQTT协议时往往通过SSL+WebSocket+MQTT这种方式与服务器通信,在使用SSL中间人截获数据后,Wireshark不能自动解析出MQTT语义,只能解析到WebSocket层,如图所示。虽然在Data域中显示了去掉mask的WebSocket数据,但分析起来mqtt仍然很难受。所以打算写一个插件,利用wireshark自带的MQT...
基于Lua语言的wireshark插件编写
一条二哈
12-12 4415
一、两种语言开发插件的对比 想要开发wireshark插件,我们可以使用C语言也可以使用Lua语言。如下图,是使用两种语言开发插件的对比。 如上图,我最后选择使用Lua语言进行开发wireshark插件。 二、插件功能 目前我有一个任务,需要解析RTP包的payload,这个payload前三个字节是自定义的字节,后面的才是H264的数据、或者OPUS的数据。 因此我需要在RTP包的上层进行...
学习wiresharklua插件(写一个lua脚本来解析协议)
wesley2005的专栏
04-10 7290
http://blog.youkuaiyun.com/wiker_yong/article/details/51568032 参考资料【wireshark 使用lua解析自定义包】 例子代码如下: do --创建一个新的协议结构 local wesley_proto= Proto("WESLEY", "Wesely Protocol") --下面定义字段,其中w
Wireshark实战经验
hjphy的博客
05-23 1926
每次我跟精英说:糟了,Fiddler抓不到包,怎么办? 精英总是狠狠地吸了一口烟,再慢慢地吐出来:用Wireshark !!! 我很迷茫:什么是Wireshark ? 精英的脸隐藏在烟雾之后,悠悠的说:神器一样存在的东西。 于是开始接触Wireshark的一些功能,深深的被它的强大所折服,不得不写一篇博客来纪念一下。 Wireshark(前称Ethereal)是一个网络封包分析软
下载各种网络包的示例(wireshark
云淡风轻
04-20 8807
概要 想看下某个协议的包,但是又不想自己抓,想起wireshark网站有示例包的下载,找半天才找见,记下来方便以后使用 下载地址 https://wiki.wireshark.org/SampleCaptures/ ...
wireshark lua插件 ProtoField.uint32 使用
08-03
### 回答1: 非常感谢您的问题。我了解到您对于wireshark lua插件 ProtoField.uint32的使用有疑问。 首先,ProtoField.uint32是wireshark lua插件中的一个函数,用于指定字段的类型为32位的无符号整数。它的使用方法是在wireshark的脚本中调用该函数,并传递相关参数,如字段名称、描述、偏移量等,以便wireshark能够正确地解析协议中的数据。 如果您在使用ProtoField.uint32时遇到问题,建议您查看wireshark官方文档或相关的开发者社区,以获取更详细的帮助和支持。如果您需要更具体的技术指导或解决方案,可以向相关专业人士或开发者咨询,或者寻找更详细的教程和示例。 再次感谢您的提问,希望我的回答能够对您有所帮助。如果您有其他问题或需要进一步的帮助,请随时联系我。 ### 回答2: Wireshark是一款开源的网络协议分析工具,可以用于抓取和分析网络数据包。它支持使用Lua语言编写插件来扩展其功能。 Wireshark提供了一个名为ProtoField.uint32的函数,它用于创建一个新的网络协议字段,该字段的类型为无符号32位整数。ProtoField.uint32函数的语法如下: ```lua ProtoField.uint32(name, abbreviation, base, mask, [display]) ``` 其中参数的含义如下: - name:字段的名称,用于在显示过滤器和面板中标识该字段。 - abbreviation:字段的缩写,用于在协议分析结果中显示。 - base:字段的进制表示方式,可以为2、10、16之一,分别代表二进制、十进制和十六进制。 - mask:字段的掩码,用于提取关键信息。可以留空或者设置为nil,表示不使用掩码。 - display:字段的显示格式,可选参数。 使用ProtoField.uint32创建的字段可以在协议解析器脚本中使用,通过访问协议分析树中的相应字段对象获取字段的值。例如,可以通过以下方式获取字段值: ```lua local field = ProtoField.uint32("my_protocol.field_name", "My Field", base.DEC) -- ... function my_protocol.dissector(buffer, pinfo, tree) -- ... local field_value = buffer(0, 4):uint() local field_item = tree:add(field, buffer(0, 4)) -- ... end ``` 在上述例子中,我们定义了一个名为"my_protocol.field_name"的字段,缩写为"My Field",进制表示方式为十进制。然后在协议解析器的dissector函数中,使用buffer(0, 4):uint()获取前4个字节的无符号32位整数值,并将其添加到协议分析树中。 通过WiresharkLua插件和ProtoField.uint32函数,我们可以轻松地创建和使用自定义的网络协议字段,以满足特定协议的分析需求。 ### 回答3: Wireshark是一款开源的网络协议分析工具,它支持使用Lua编写插件来扩展其功能。在Wireshark中,ProtoField.uint32是一种用于表示无符号32位整数的数据类型,可以在Lua插件中使用它来定义和访问协议字段。 使用ProtoField.uint32,我们可以在Lua插件中定义一个协议字段,并指定其名称、显示的标题、描述等属性。例如,下面是一个使用ProtoField.uint32定义的示例: local my_protocol_field = ProtoField.uint32("myprotocol.field", "My Protocol Field", "This is an example protocol field") 在上面的示例中,我们定义了一个名为"myprotocol.field"的协议字段,显示标题为"My Protocol Field",描述为"This is an example protocol field"。 我们还可以通过ProtoField.uint32创建的字段来访问和解析捕获的数据包。 当我们使用ProtoField.uint32定义协议字段后,我们可以通过调用Field对象的相应方法来访问和解析数据包中的该字段的值。例如,我们可以使用"my_protocol_field"字段对象的方法来访问和解析数据包中的协议字段: local my_protocol_field_extractor = my_protocol_field() 在上面的示例中,我们创建了一个名为"my_protocol_field_extractor"的字段提取器,它可以用于从捕获的数据包中提取和解析"my_protocol_field"字段的值。 通过使用ProtoField.uint32和相应的字段提取器,我们可以在Wireshark中编写更复杂的Lua插件,用于解析和分析各种不同的网络协议。这使得我们能够更好地理解和调试网络通信,并从中获取有用的信息。 总结起来,Wireshark Lua插件中的ProtoField.uint32可以让我们定义和访问无符号32位整数类型的协议字段,并通过字段提取器提取和解析数据包中的该字段的值。这为我们分析网络通信提供了便利,同时也为定位和解决网络问题提供了有力的工具。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值