Wireshark lua 插件批量查询报文中指定内容

最新推荐文章于 2025-04-03 20:50:52 发布
最新推荐文章于 2025-04-03 20:50:52 发布
阅读量3.5k 收藏 9
点赞数 3
CC 4.0 BY-SA版权
分类专栏: Wireshark从入门到精通 文章标签: wireshark插件 lua wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/javajiawei/article/details/103840828
本文介绍了如何使用Wireshark的Lua插件来批量提取HTTP协议中的HOST和UA信息。通过Lua API接口,可以在单片数据包粒度上进行操作,弥补了Tshark在精细化操作上的不足。文章详细讲解了Listener类和Field类的使用,并展示了如何在匹配过滤条件时执行自定义处理逻辑。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

从本小节开始,我的专栏《wireshark从入门到精通》会正式跟大家介绍wireshark lua插件部分的实战内容,会通过一个个场景示例将wireshark所提供的lua API 接口进行一一的讲解,相信在阅读完本专栏的这部分内容之后,你一定会对于wireshark的使用和理解达到一个新的层次。

为什么要介绍wireshark lua接口呢,原因在于wireshark的官方访文档只提供了对外接口的说明,而且说明极为的简洁。对于没有使用过该接口的同学来说,根本无从下手,不信你去查看官方文档。我是在不断在一些使用需求的驱动中的尝试各种接口方法,才有了一些经验之谈。本节所要介绍的场景是批量的提取 HTTP 协议中的 HOST 和 UA。如果仅仅是实现这样一个需求,如下命令就可以实现:

提取HTTP host字段

tshark -r xx.pcap -T fields -e http.host -E header=y -E separator=, | sort | uniq -c >> host.txt

同理提取UA命令如下:

tshark -r  xx.pcap -T fields -e http.user_agent -E header=y -E
了解本专栏 订阅专栏 解锁全文 超级会员免费看
使用tshark对pcap文进行批量切流
村中少年的专栏
09-03 5754
通过一个具体的切流示例介绍一下tshark命令行的一些参数
Wireshark lua 插件提取PCAP文中文件,图片,视频
村中少年的专栏
01-08 7165
Wireshark提取离线包数据中的文件图片、视频等信息,通过wireshark lua插件来实现
使用lua脚本进行对wireshark的抓包解析(入门教学篇)
m0_59010509的博客
02-13 2002
解析脚本采用基于 LuaWireshark 自定义协议解析架构。通过定义 Protocol 对象与字段,结合 dissector 函数实现对特定 UDP 端口文的精准识别与解析。该脚本利用协议字段定义和格式化函数,确保解析结果的准确性和可读性,并借助 Wireshark 的动态加载与模块化设计,满足开发者对特定协议深入分析需求,助力网络通信技术提升,使用户能够便捷地追踪和分析网络交互中的关键数据
使用WireShark抓取并分析
m0_73097474的博客
04-03 1218
(仅供参考)
通过lua语言编写WireShark脚本插件解析自定义文(完整版)
热门推荐
09-07 1万+
0、前言 在ICT人员用于网络分析的兵器库中,wireshark无疑是倚天剑,虽历史悠久,其锋利程度丝毫不减,由于开源,便于用户二次开发,这就使得此剑的颜值、功能都近乎完美。如果能够熟练的使用此剑,对于行走江湖也是百利而无一害。 对于当下的主流协议wireshark都有自带解析插件,如IP、ARP、TCP、UDP、HTTP、DHCP等。但是实际应用中,这些协议通...
wirshark解析自定义协议,并且从自定义协议截取部分字段保存文件
zhuxian2009的专栏
10-31 731
2.通过在工具菜单下,加入一个菜单项目,将自定义协议中的payload提取后,保存为原始数据。1.将自定义协议由wirshark解析
国产编辑器EverEdit - 扩展脚本:让EverEdit支持“批量查找”功能
tyysoft的专栏
04-03 1149
界面主要分为两个区:①,输入待查找文本;②,选项区查找方式仅输出是否命中:只输出待查找的内容是否出现在目标文档中,建议与“输出位置”结合使用。输出匹配内容:输出与查找内容匹配的文字部分,特别是正则表达式查找时,会输出更有用的信息。输出匹配行:如果目标文档中某行与查找字串匹配,则输出该行完整文本。区分大小写:如字面意思,查找文字只有大小写完全匹配时字符串才算匹配。正则表达式:使用正则表达式方式查找。输出位置:输出窗口会显示匹配字符串在目标文档中的行号,双击鼠标可以跳转到目标文档对应行。
lua的效率对比测试_以太网测试中的实用解析插件
weixin_28711397的博客
01-14 365
如果有人问,在车载以太网测试中,遇到最头痛的问题是什么,那我肯定会说:是TCP/IP测试结果分析。庞大的测试条目,浇灭我的激情,穿插的Upper Tester文,消磨我的斗志。不过自从用了这款基于Wireshark的Upper Tester解析插件,小编垂死病中惊坐起,一头扎进工作里。接下来就让我们直入主题,来看一下这款插件是怎么帮助我解决问题的。首先我们来了解一下TCP/IP协议一致性测试...
Wireshark lua 插件简介
村中少年的专栏
01-05 3628
简单介绍在使用lua插件过程中可能会遇到的一些问题以及解决办法
Wireshark中实用的设置和使用技巧汇总
村中少年的专栏
12-19 2181
Wireshark中实用的设置和使用技巧汇总
Wireshark自带的命令行工具使用之capinfos,dumpcap,editcap
村中少年的专栏
01-02 5366
Wireshark自带的命令行工具的使用举例,包括capinfos,dumpcap,editcap.
wireshark lua 插件 解析提取网络文传输内容(文本,多媒体,等信息)
12-14
1. windows 下 安装 wiresshark (2.2.6测试没有问题)版本最好是最新的版本 老版本好像会一个tshark错误 2. 安装好wiresshark后的目录(**/**/Wireshark)下创建一个 lua 文件夹。把root3.0放在当前文件夹下 并解压 3. 在wiresshark目录下 init.lua 文件目录添加上一行 dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 4. 最好用tshark 命令读包。 tshark.exe -q -r 文路径 注意: windows 下最好是不用的时候把 init.lua dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 这行注释掉。要不然会产生很多文件拖延文件打开速度 {liunx 下也可以 不过要加上一个环境变量。否则会找不到文件。具体的太久了忘记了!!}
手闲 用Lua写了个批量修改文件后缀名的小工具
dicuolu4266的博客
10-18 387
1 --[[-- 2 - renameFilePostfix_: 统一重命名文件的后缀名 3 - @param: param1 - 原文件后缀名 4 - @param: param2 - 目的文件后缀名 5 - @param: param3 - 目的文件前缀名 6 - @param: param4 - 目的文件文件夹路径 7 - @...
【006】 Wireshark抓包内容:中文名为“.....“及如何查看真实的内容
Postgres 数据库内核开发工程师
04-18 7771
1.本次项目中,进程服务是放到容器环境里,当webserver模块向存储模块发起一个请求的时候,发现存储响应的内容不正确。所谓“不正确”,即抓包看到的响应文中,其所有的中文名都显示不出来,为:“name”:"…"等形式,而且后面该中文名后面的文也给忽略掉了。但是我发出去的文中,log日志打印,是没有问题的。如下: 而抓包看到的内容却是这样的,如下图所示: Wirshark抓包文...
lua跨平台文件夹遍历匹配查找
weixin_34393428的博客
09-03 156
require"lfs" --[[Desc:在B路径D文件中下 搜寻A路径下的没用到的C类文件;      并且将没用到的B类文件名称打印出来; 设置好路径拖到lua自带编辑器中即可运行之;]] --目标所在路径(A)(eg:png所在路径) PNG_FILE_PATH = "E:/Resource/images" --目标所寻路径(B)(eg:lua所在路径) ...
wireshark提取保存部分文特定字段之tshark
weixin_33811961的博客
11-14 1492
  由于研究需要,用wireshark抓取了大量的modbus-tcp的数据包。由于需要对这些数据进行分析,而要分析的数据包又非常多,所以想要只分析每个文的特定字段。 于是在网上找wireshark如何保存文的特定字段。有部分人的做法是“自己动手,丰衣足食” (winpcap/libpcap抓包,用程序抽取出特定字段进行分析),当然也有更简单的方法——用tshark。 tshark相当于是...
一站式学习Wireshark(八):应用Wireshark过滤条件抓取特定数据
DEBUG的blog
07-22 1290
原文出处: EMC中文支持论坛    应用抓包过滤,选择Capture | Options,扩展窗口查看到Capture Filter栏。双击选定的接口,如下图所示,弹出Edit Interface Settints窗口。 下图显示了Edit Interface Settings窗口,这里可以设置抓包过滤条件。如果你确知抓包过滤条件的语法,直接在Capture Filter
Wireshark lua 插件实现切流操作
村中少年的专栏
01-13 2464
利用wireshark lua 插件实现切流操作,比之tshark命令更加的高效
基于wireshark lua 插件文按需切割方法
村中少年的专栏
03-02 1833
本文简单说明一下基于wireshark的大文的按需切割方法,主要说明的是如何将一个很大的文按照需求变成一个较小的文。
wireshark兼容性测试
最新发布
05-09
<think>好的,我需要回答用户关于Wireshark兼容性测试方法或要求的问题。首先,我应该整理用户提供的引用内容,看看有没有相关的信息。引用[1]提到Wireshark从2013年开始迁移到Qt框架,耗时数年进行重构和测试,这说明兼容性测试可能需要分阶段进行,包括不同平台的测试。引用[2]指出Wireshark 4.4.1增强了对多种捕获文件格式的支持,这可能涉及文件格式兼容性测试。引用[3]比较了Linux和Windows版tshark的性能,说明测试时要考虑不同操作系统的生态和性能差异。引用[4]提到安装win10pcap兼容包,可能涉及驱动兼容性测试。 用户想了解具体的测试方法、版本要求等。我需要将这些信息整合成结构清晰的步骤,可能包括测试环境搭建、文件格式兼容性、跨平台测试、协议解析测试等。同时需要提到版本要求,比如不同系统的最低版本支持,或者特定功能需要的Wireshark版本。可能还要引用用户提供的例子,比如BLF、CLLOG等文件格式的测试,以及不同系统下的工具链整合。 另外,用户之前的提问可能涉及Wireshark的使用和性能比较,所以需要确保回答涵盖测试方法和要求,而不仅仅是兼容性概述。可能需要分点说明测试方法,每个方法下具体步骤和注意事项,再列出版本要求。还要注意使用正确的中文术语,确保LaTeX格式正确,但用户问题中可能不涉及数学公式,所以可能不需要使用太多数学表达式,但如果有性能数据的话可能需要用行内格式。 最后,生成相关问题时要围绕兼容性测试扩展,比如测试工具、自动化测试、版本差异等。确保引用标记正确,比如引用[2]提到的文件格式支持,引用[3]的跨平台差异等。整个回答需要逻辑清晰,步骤明确,帮助用户实际进行兼容性测试。</think>### Wireshark兼容性测试方法与要求 #### 一、兼容性测试核心方法 1. **多平台环境验证** - 需覆盖Windows/Linux/macOS系统,测试GUI功能与命令行工具(如`tshark`)的可用性 - 重点验证网络驱动差异: - Windows需测试Npcap/Win10pcap驱动兼容性[^4] - Linux验证内核级抓包与eBPF支持[^3] - 示例测试项:$$ \text{抓包延迟} = \frac{\text{实际捕获数据量}}{\text{理论带宽}} \times 100\% $$ 2. **文件格式兼容性测试** - 支持格式清单测试(BLF/CLLOG/ERF/pcap等)[^2] - 版本回溯验证:确保新版Wireshark解析旧版保存的抓包文件 - 交叉工具测试:与其他抓包工具(tcpdump、Fiddler)生成文件的互操作性 3. **协议解析器验证** - 通过$RFC$标准文档生成测试用例 - 边界值测试:超长文、异常字段值、分片重组场景 - 私有协议测试:需加载自定义Lua插件验证解析能力 #### 二、版本要求基准 | 测试维度 | Windows要求 | Linux要求 | |----------------|----------------------|-------------------------| | 操作系统 | Win10 1809+ | RHEL 8+/Ubuntu 20.04+ | | 依赖库 | Npcap 1.70+ | libpcap 1.10.0+ | | 图形框架 | Qt 5.15+ | Qt 5.15+ (X11/Wayland) | | 处理器架构 | x86_64/ARM64 | x86_64/ARM64/POWER | #### 三、测试工具链 1. **自动化测试框架** - 使用`testcapture.py`脚本批量验证文件解析 ```python import subprocess def test_pcap(file): result = subprocess.run(["tshark", "-r", file], capture_output=True) return "File format error" not in result.stderr.decode() ``` 2. **流量生成工具** - TCpreplay:回放流量验证解析准确性 - Ostinato:构造异常协议字段测试健壮性 3. **性能监控** - Windows:通过PerfMon监控`NPF.sys`驱动资源占用 - Linux:使用`perf`工具分析内核态抓包开销[^3]
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

村中少年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值