WireShark使用lua接口截获网络数据

最新推荐文章于 2025-10-08 17:58:37 发布
原创 最新推荐文章于 2025-10-08 17:58:37 发布 · 5.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#lua #wireshark #网络 #抓包

本文介绍了如何使用Wireshark的Lua接口扩展其功能,以捕获和存储HTTP传输数据。通过创建监听器和定义Field对象,可以获取并分析HTTP包的各个层次,包括Frame、IP、TCP、HTTP及数据内容。提供了一个简单的Lua脚本示例,该脚本可以在tshark中运行以执行包截取。Field类用于提取包中的特定字段信息,与Wireshark协议栈显示的信息相同。

wireshark可以使用lua来扩展wireshark的功能。
例如你可以用wireshark结合lua来做一个截获http传输并存储到磁盘的脚本。
首先定义一个监听器用来监听http数据包。

local tap = Listener.new("http")

然后定义里需要截获的分析好的数据,这需要使用Field对象。
例如

local host = Field.new("http.host")--用来获得http协议的host字段
local location = Field.new("http.location")--用来获得http协议的location字段
local dst_ip = Field.new("ip.dst")
local src_ip = Field.new("ip.src")--获得包的目的ip地址与源ip地址
local dst_port = Field.new("tcp.dstport")--获得tcp协议的目的端口号

可以使用Field.list()函数来获得可用Field的完整列表。你也可以在wireshark的Filter Expression列表中找到这些字段。
然后可以为tap定义一个回调函数packet,每当有http协议的报文时wireshark将调用这个函数,参数tvb是报文的二进制缓冲区。在该函数中调用Field变量可以取得分析好的字段,如果不存在返回nil。
我们要截获的http协议包就包括这几层协议Frame,IP,TCP,HTTP,data-text-lines(这个是http内容),这些上层协议的字段你都可以通过Field字段取得。
下面这一个截获框架,你可以使用tshark -X lua_script:tap.lua来执行这个例子,当然它什么都不做。tshark -Q 可以关闭多余的打印,-i 2 选择设备2。
tap.lua

local tap = Listener.new("http")

local http = Field.new("http")
local host = Field.new("http.host")
local location = Field.new("http.location")
local dst_ip = Field.new("ip.dst")
local src_ip = Field.new("ip.src")
local dst_port = Field.new("tcp.dstport")
local src_port = Field.new("tcp.srcport")

local text = Field.new("data-text-lines")

function tap.packet(pinfo,tvb,tapinfo)
    --获取对应的字段
    local dst = dst_ip()
    local src = src_ip()
    local h = host()
    local dstp = dst_port()
    local srcp = src_port()
    --这里可以对截获的数据做存储打印等处理
    print(tostring(dst))
    print("host : "..tostring(h))
end

function tap.draw()
    print("draw called")
end

function tap.reset()
    print("reset called")
end

Field就是用来提取俘获包中的相应字段的,和WireShark界面中的协议栈中的信息等价。

详细的API说明

如何用wireshark加载自定义.lua脚本
笔者从事电信媒体开发多年,愿意将多年的开发经验分享给同行
03-18 1万+
指导wireshark加载自定义的lua脚本文件
lua语言学习之自定义wireshark插件来解析自定义协议
lobmo的博客
04-11 1822
lua语言学习之自定义wireshark插件来解析自定义协议关于wireshark这个抓包工具关于lua使用luawireshark插件wireshark接口文档如何在wireshark使用自己写的lua脚本检查是否可以运行lua导入脚本使用教程及完整代码 关于wireshark这个抓包工具 wireshark工具的功能十分强大,它可以抓取你想抓取的主机的所有网络封包。并且对于一般的网络协议,w...
wireshark lua 插件 解析提取网络报文传输内容(文本,多媒体,等信息)
12-14
1. windows 下 安装 wiresshark (2.2.6测试没有问题)版本最好是最新的版本 老版本好像会报一个tshark错误 2. 安装好wiresshark后的目录(**/**/Wireshark)下创建一个 lua 文件夹。把root3.0放在当前文件夹下 并解压 3. 在wiresshark目录下 init.lua 文件目录添加上一行 dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 4. 最好用tshark 命令读包。 tshark.exe -q -r 报文路径 注意: windows 下最好是不用的时候把 init.lua dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 这行注释掉。要不然会产生很多文件拖延文件打开速度 {liunx 下也可以 不过要加上一个环境变量。否则会报找不到文件。具体的太久了忘记了!!}
Wireshark 网络分析工具(超详细教程):从零基础入门到精通,看这篇就够
最新发布
2301_79455190的博客
10-08 2191
WireShark是非常流行的网络封包分析工具,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程中各种问题定位。本文主要内容包括:1、Wireshark软件下载和安装以及Wireshark主界面介绍。2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。3、Wireshark过滤器使用。通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。
Wireshark自定义Lua插件
shengyu
06-08 8196
常见的抓包工具有tcpdump和wireshark,二者可基于网卡进行抓包:tcpdump用于Linux环境抓包,而wireshark用于windows环境。抓包后需借助包分析工具对数据进行解析,将不可读的二进制数转换为可读的数据结构。 wireshark不仅可以作为抓包工具,还可以作为包解析工具。Wireshark针对常见协议都提供了对应的解析插件, 如: TCP、UDP、HTTP、SIP等;同时提供了自定义插件机制,用户可以基于此解析自定义消息。至于插件,wireshark支持C语言插件和Lua插件,L
wireshark Lua
cffishappy的专栏
10-22 1976
抓取一个包含H.264 Payload RTP包的SIP会话或RTSP会话后,用Wireshark的Play功能只能播放声音,不能播放视频。把RTP payload直接导出成文件后也是不能直接播放的,因为H.264 over RTP封包是符合RFC3984规范的,必须按照该规范把H.264数据取出来后,组成NALU,放到avi/mp4或裸码流文件等容器里后才能播放。      本人写了一个wir
Lua编写wireshark插件初探——解析Websocket上的MQTT协议
weixin_30892763的博客
04-10 1240
一、背景 最近在做物联网流量分析时发现, App在使用MQTT协议时往往通过SSL+WebSocket+MQTT这种方式与服务器通信,在使用SSL中间人截获数据后,Wireshark不能自动解析出MQTT语义,只能解析到WebSocket层,如图所示。虽然在Data域中显示了去掉mask的WebSocket数据,但分析起来mqtt仍然很难受。所以打算写一个插件,利用wireshark自带的MQT...
Ethereal抓包工具简介及使用说明
它能够通过网卡驱动程序(如WinPcap或Libpcap)直接访问底层网络接口,监听并截获流经该接口的所有网络数据帧,无论这些数据是否是发往本机的。这种能力使得Ethereal可以实现所谓的“混杂模式”(Promiscuous Mode)...
wireshark omci
02-18
启动Wireshark应用程序之后,选择对应的网络接口来开始监控通信流。如果目标设备正在发送或接收基于GPON技术的数据,则这些交互中的管理控制信息将以OMCI的形式存在。此时可以设置过滤器以便专注于感兴趣的流量类型...
网络协议异常分析手册:Wireshark在协议分析中的关键作用
网络协议是确保数据有效、可靠传输的规则和约定集合。它们定义了信息的格式、传输方式、寻址策略及错误处理机制。了解这些基础有助于我们在遇到网络问题时,能够快速定位并分析问题所在。 ## 异常分析的重要性 网络...
网络视频流分析必修课】:Wireshark抓包分析与实战演练
[【网络视频流分析必修课】:Wireshark抓包分析与实战演练](https://i0.wp.com/dfirmadness.com/wp-content/uploads/2020/10/wireshark-export-http.png?resize=935%2C588&ssl=1) # 摘要 随着互联网技术的迅猛发展...
lua_Console lua解析器
08-28
简单lua脚本解析器,可以解析简单的lua脚本命令。
wireshark抓包数据提取
04-24
wireshark导出日志中DATA提取工具代码。过滤掉多余信息,只提取出数据包里面的data数据
基于LUA listenerwireshark插件
04-27
基于LUAwireshark插件,利用listener搭建一个对esp协议包的包序号连续性检验的提示器
使用Lua脚本为wireshark编写自定义通信协议解析器插件
11-29 5895
网络通信应用中,我们往往需要自定义应用层通信协议,例如基于UDP的Real-Time Transport Protocol以及基于TCP的RTP over HTTP。鉴于RTP协议的广泛性,wireshark(ethereal)内置了对RTP协议的支持,调试解析非常方便。RTP over HTTP作为一种扩展的RTP协议,尚未得到wireshark的支持。在《RTP Payload Form
wirshark lua: 横跨多包解析方法,混搭tap与postdissector解析器(RTP timestamp差值为例)
雕虫小技
03-04 5955
在分析抓包时,有时需要横跨多个包计算,比如计算所有RTP包的timestamp与之前RTP包的timestamp的差值,这样可以一目了然看出timestamp是否有异常波动。 理想方式是把这个计算出来的差值直接放到RTP信息后面,但wireshark lua目前没有提供可以在某协议dissector解析完后调用自己lua写的dissector的方法,除了http body可借助一些特殊的tabl
使用lua作为wireshark的私有协议解析插件
qq_41718404的博客
03-04 2899
--定义协议(第一个参数体现在过滤器中,第二个参数描述信息) local hss_proto=Proto("Hss","Hss Protocol") --定义字段(第一个参数为过滤条件,第二个参数为Tree列表中显示的名字, --后面可以指定不同的进制显示方式:HEX为16进制,DEC为10进制) --uint8,uint16,uint24,uint32分别表示1,2,3,4字节,即该字段的长...
lua wireshark 数据报解析
weixin_30595035的博客
11-04 169
http://www.360doc.com/content/13/1226/15/15257968_340284574.shtml http://www.360doc.com/userhome.aspx?userid=15257968&cid=9 http://www.360doc.com/content/13/1226/15/15257968_340276830.shtml htt...
使用lua脚本编写wireshark协议插件
alusc的专栏
01-06 418
使用wireshark做协议分析,自定义协议可以编写Dissector插件进行分析,开始考虑使用c语言编写插件,了解了一下,发觉太麻烦,在效率要求不高的情况下,可以使用lua脚本编写插件: 要使用lua脚本,先使wireshark支持lua脚本,编辑init.lua(在wireshark目录下),找到"disable_lua = true; do return end;"行,在最前面添加"--"将此行注释掉; 编写lua脚本文件,GZTP.lua 文件 do local p_GZ
WireBait工具:无需Wireshark测试Lua解剖器和数据捕获
在现代网络技术领域中,Wireshark是一个广泛使用网络协议分析工具,它允许用户捕获和交互式地浏览网络数据流。Wireshark的捕获文件通常以pcap格式存在,而对这些文件的解剖分析工作往往通过Wireshark插件中的Lua...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值