Wireshark 协议插件Lua开发 -数据包内嵌协议的解释

已于 2023-12-06 11:10:31 修改
阅读量534 收藏 1
点赞数
分类专栏: 随心记 文章标签: lua wireshark udp
于 2023-12-03 22:05:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38189542/article/details/134770911
版权

概述

因为公司项目涉及的协议打包,协议包内又嵌了一层IP包的奇葩套娃结构,为了方便抓包调试,利用Wireshark的协议插件开发功能,写了一个插件,博文记录以备忘。

环境信息

Wireshark 4.0.3

协议结构体套娃图

在这里插入图片描述

插件安装

将对应的协议解释文件复制到Wireshark安装目录\plugins<版本号>
然后通过菜单按钮【分析】->【重新载入Lua插件】,即可完成插件加载

完整代码

-- @brief XXX Protocol dissector plugin
-- @author XXX
-- @date 2023.12.03

-- create a new dissector
local NAME = "XXX"
local PORT = 2998
local foo = Proto(NAME, "XXX Protocol")

local fields = foo.fields
fields.ss = ProtoField.bytes(NAME .. ".ss", "SS", base.SPACE)
fields.payload = ProtoField.bytes(NAME .. ".payload", "XXX Payload", base.None)
fields.ic = ProtoField.bytes(NAME .. ".ic", "ic", base.SPACE)

-- dissect packet
function foo.dissector (buf, pinfo, tree)
	if buf:len() == 0 or buf:len() < 30 then return end
	local subtree = tree:add(foo)
	subtree:add(fields.ss, buf(0,20))
	subtree:add(fields.ic, buf(buf:len() - 10, 10))
	subtree:add(fields.payload, buf(20,buf:len() - 30))
	-- 提取内嵌的数据
	local raw_data = buf(20,buf:len() - 30)
    -- 内嵌了一层IP协议,所以调用内部的Dissector解释
    Dissector.get("ip"):call(raw_data:tvb(), pinfo, tree)
end

-- 将协议添加到右键Decode As,不写该行,只能根据端口啥的绑定具体的协议
DissectorTable.get("udp.port"):add_for_decode_as(foo)
DissectorTable.get("tcp.port"):add_for_decode_as(foo)
-- register this dissector
DissectorTable.get("udp.port"):add(PORT, foo)

效果图

在这里插入图片描述

后续

在这里插入图片描述这种结构,在插件的实现逻辑如下


fields.flags = ProtoField.uint8(NAME .. ".flags", "Flags", base.HEX)
fields.flags_df = ProtoField.uint8(NAME .. ".flags.df", "DF", base.HEX)
fields.flags_mf = ProtoField.uint8(NAME .. ".flags.mf", "mF", base.HEX)
function foo.dissector (buf, pinfo, tree)
	local flagTree = subtree:add(fields.flags , buf(0,20)) --add函数返回的是子树,直接添加就可以了
	local flags = buf(3,1):uint()
	local v = buf(3,1):bitfield(0,1)
	flagsTree:add(fields.df, buf(3,1),v, v .. "... ...." .. " = Don't fragment: " .. (v == 1 and "Set" or "Not set"))	
	local mf = buf(3,1):bitfield(1,1)
	flagsTree:add(fields.mf, buf(3,1),mf, "." .. mf .. ".. .... = More fragments: " .. (mf == 1 and "Set" or "Not set"))
	...
end

参考链接

实战编写 wireshark 插件解析私有协议
Functions For New Protocols And Dissectors
Wireshark解析器(Dissector)插件-Lua
自己动手编写Wireshark Lua插件解析自定义协议
Mika’s tech blog

wiresharkLUA二次开发插件 解析器(Dissector)
weixin_45939263的博客
06-11 2322
Wireshark是一款流行的网络协议分析工具,它支持多种协议的解析,并且允许用户通过编写插件来扩展其功能。Lua是一种轻量级的编程语言,它被集成到Wireshark中,允许用户编写脚本来自定义协议解析逻辑。创建Lua文件:在文件夹中创建一个新的Lua文件,例如。定义协议:在Lua文件中定义一个新的协议,例如: 编写解析函数:定义一个函数来解析数据包,例如: 绑定协议到端口:如果需要将你的协议绑定到一个特定的端口,可以使用以下代码:
bmp-dissector:由lua编写的用于wireshark的BGP监控协议(BMP)解析器
06-23
lua 编写的用于wireshark的BGP监控协议(BMP)解析器。 参考 用法 视窗 注释掉“%WIRESHARK%\init.lua”中的“disable_lua=true”。 (大概配置) bmp.lua 复制到“%WIRESHARK%\plugins\<version>\”或“%APP...
wireshark插件开发
03-15
里面是我整理搜集的wireshark插件开发资料,因为自己最近要用的这方面,都是实践后整理出来的,保证实用。里面东西很全,有相关文档,scoreboard试例包的模拟器,scoreboard的代码和配置文件,wireshark源代码,还有安装环境过程中要下载的一些东西等等。
Wireshark插件开发实战:扩展网络协议分析的边界
最新发布
blog.jichun29.cn
02-27 626
在网络协议分析领域,Wireshark作为业界标杆工具,其强大的可扩展性常被低估。本文将通过实战案例,揭秘如何通过插件开发突破Wireshark的默认分析能力,打造专属协议解析利器。
Wireshark插件开发小结
qgw_2000的专栏
02-25 8242
以下是针对Windows平台的插件开发,其它平台非常类似。 1.开发环境准备    1).下载Source code      使用TortoiseSVN,checkout代码(http://anonsvn.wireshark.org/wireshark/trunk)      TortoiseSVN还是相当好用的,直接和windows exploer集成,操作对象就是exploer中的文
wireshark插件开发(五):C插件
dengdi8115的博客
09-29 829
1. Wireshark对C插件的支持 每个解析器解码自己的协议部分, 然后把封装协议的解码传递给后续协议。 因此它可能总是从一个Frame解析器开始, Frame解析器解析捕获文件自己的数据包细节(如:时间戳), 将数据交给一个解码Ethernet头部的Ethernet frame解析器, 然后将载荷交给下一个解析器(如:IP), 如此等等. 在每一步, 数据包的细节会被解码并显示...
wireshark protobuf lua插件开发
Freud007的博客
05-13 1627
通过wireshark lua插件支持,使用lua编写针对用户自定义的protobuf协议数据脚本,对用户抓取的自定义数据进行解析;
Wireshark 解析插件lua源码)
10-31
Wireshark 解析插件lua源码) Wireshark 解析插件lua源码) Wireshark 解析插件lua源码) Wireshark 解析插件lua源码) Wireshark 解析插件lua源码) Wireshark 解析插件lua源码) Wireshark 解析插件...
wireshark抓包及分析-网络数据包分析工具Wireshark的使用指南与故障排查
12-19
内容概要:本文介绍了Wireshark这一广泛使用的网络数据包分析工具的抓包及分析步骤。主要内容包括启动Wireshark、选择网络接口、设置抓包过滤器、开始和停止抓包,以及数据包列表视图、详细信息视图和字节视图的使用...
wireshark解析s7comm-plus插件
07-25
wireshark解析s7comm-plus插件
wireshark插件开发完整解决方案
03-14
wireshark插件开发完整解决方案(搭建环境+源代码编写)
lua语言编写Wireshark插件解析自定义协议
08-03
lua语言编写Wireshark插件解析自定义协议
使用Lua脚本为wireshark编写自定义通信协议解析器插件
11-29 5773
在网络通信应用中,我们往往需要自定义应用层通信协议,例如基于UDP的Real-Time Transport Protocol以及基于TCP的RTP over HTTP。鉴于RTP协议的广泛性,wireshark(ethereal)内置了对RTP协议的支持,调试解析非常方便。RTP over HTTP作为一种扩展的RTP协议,尚未得到wireshark的支持。在《RTP Payload Form
wireshark插件开发详细流程(含源码)
热门推荐
yang_chen_shi_wo的博客
06-28 1万+
原文地址:http://www.cnblogs.com/LittleHann/p/3751595.html                                          IM通信协议逆向分析、Wireshark自定义数据包格式解析插件编程学习 相关学习资料 http://hi.baidu.com/hucyuansheng/item/bf2b
LUA插件开发——wireshark插件开发
Something of an idiot
03-16 1121
参考文档: http://www.cnblogs.com/zzqcn/p/4840589.html 该博主针对wiresharkLUA脚本的开发做了一系列的笔记,实测详细并且有效,故转载。 1. 骨架 首先新建一个文件,命名为foo.lua,注意此文件的编码方式不能是带BOM的UTF8,否则wireshark加载它时会出错(不识别BOM): 复制代码 -- @brief Foo P
Wireshark插件开发
Kali与编程
12-18 2387
本文将介绍如何使用Python编写自定义Wireshark插件,包括插件的基本结构和API,以及一个简单的示例。本文将介绍如何使用C编写自定义Wireshark插件,包括插件的基本结构和API,以及一个简单的示例。Python插件Lua插件类似,可以通过对数据包进行解析和修改、协议分析树的操作、输出过滤等,同时还可以使用Python提供的丰富的库和工具。在Linux操作系统上,可以使用命令行界面。Wireshark插件的结构包括插件名称、插件类型、插件版本、插件描述、插件作者和插件初始化函数等。
wireshark lua 插件编写
qq_27718973的博客
04-18 3091
wireshark lua 插件编写 wireshark 目前已经支持数千种协议的解析,但有些用户自定义的协议如需使用wireshark解析有如下两种方法实现: 1.使用c语言开发 集成到wireshark内部(built-in),修改makefile重新编译wireshrk windows生成*.dll,linux下生成*.so加入wireshark安装目录*\plugins\3.x\epan 2.使用lua开发wireshark插件 由于lua语言开发较简单,本文主要以lua编写插件。并附一解析Au
Wireshark内嵌解析协议LUA脚本
weixin_46946968的博客
11-22 4271
Wireshark官网对lua插件的API介绍英文的,看起来很头疼,小编这里是下载个网易有道翻译截图翻译的。最头疼的还不是这个,而是怎么调用这些API,从何下手才是最头疼的,只能通过代码边用边熟悉了。下面我给的是一些常用的API以及在网址的位置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜晓码农

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值