wireshark protobuf 插件

最新推荐文章于 2023-08-23 16:55:54 发布
VIP文章 最新推荐文章于 2023-08-23 16:55:54 发布
阅读量1w 收藏 11
点赞数 1
分类专栏: C/C++/VC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/love_newzai/article/details/8818067
版权

搞网络开发的时候,涉及到很多私有协议。方便是方便,不过抓包分析问题就麻烦了,wireshark是不可能会为我们自己的网络协议开发分析工具的,唯有自己开发协议分析插件。在私有协议方面,google protobuf是一个类似与IDL的语言,用于定义消息接口,并且支持很多语言,原生支持C++、Java和python,而且还有很多第三方的支持,基本上支持C、C#、object-c,AS3,PHP等.目前protobuf的解析并不是wireshark内置支持的,不排除以后的版本会支持。当前网络上有一个工程可以支持protobuf的解析(protobuf-wireshark),但是该插件原生支持的只有linux版本,而且还只支持UDP解析。经本人改造,已经可以支持windows,并且同时支持TCP和UDP解析。TCP时,需要在protobuf之上加上一个4字节的数据长度,用于支持后续的protobuf消息的大小。


_ _ _ _  _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 

消息长度 protobuf二进制消息内容

消息长度的值只包含protobuf消息的大小,不包含自己4个字节的长度。例如protobuf长度为12字节时, 消息长度里面的值,应该是 00 00 00 0c,总的数据长度为16个字节.(如果无法解析数据长度,调换一下网络字节序)

另外对protobuf消息的定义也有一定的限制,必须有一个顶层的消息,例如Message1 和Message2如果是并列的消息,需要有一个Message来包含Message1和Message2.

【配置】

protobuf的配置文件放在C:\Program Files\Wireshark\protobuf目录下面,C:\Program Files\Wireshark\为wireshark在电脑上的安装目录。protobuf文件夹默认是没有的,自己创建。

把附件 *.proto;*.conf放在protobuf目录下面,把dll放在plugins\1.8.6目录下面。

protobuf-wireshark 插件下载, 测试包下载

基于tcp的protobuf包


基于UDP的protobuf包


插件代码:(代码基于google 上面的protobuf-wireshark 修改)

packet-protobuf.h

#ifdef HAVE_CONFIG_H
# include "config.h"
#endif

#include <gmodule.h>
#include <epan/packet.h>
#include <epan/prefs.h>
#include <epan/emem.h>
#include <epan/dissectors/packet-tcp.h>
#include <epan/filesystem.h>
#include <errno.h>
#include <string.h>

/* TCP数据包的固定头大小*/
#define FRAME_HEADER_LEN 4
void proto_register_protobuf();
void proto_reg_handoff_protobuf();
static void dissect_protobuf(tvbuff_t *tvb, packet_info *pinfo, proto_tree *tree);
static void dissect_protobuf_udp(tvbuff_t *tvb, packet_info *pinfo, proto_tree *tree);


/* Define version if we are not building ethereal statically */
#ifndef ENABLE_STATIC
G_MODULE_EXPORT const gchar version[] = "0.0";
#endif


static int proto_protobuf = -1;

static dissector_handle_t protobuf_handle;

// Protocol field variables - START
static int hf_protobuf = -1;
// Protocol field variables - END

int wireshark_pb_process_protobuf(void *tree_root, int srcport, int dstport, int item_id, void *tvb,  void *buf, int buf_size);
void wireshark_pb_process_protobuf_register_proto( int proto, const char* dirname );
void wireshark_pb_process_protobuf_register_ports();
void wireshark_pb_process_protobuf_register_subtree( int proto, const char* name,
                                                int *handle, int ** tree_handle );
void wireshark_pb_process_protobuf_register_field( int proto, int type,
                                                const char* name, const char * fullName,
						int *handle );
/* Register plugin - START */
#ifndef ENABLE_STATIC
G_MODULE_EXPORT void
plugin_register(void) { 
	/* register the new protocol, protocol fields, and subtrees */
	if (proto_protobuf == -1) { /* execute protocol initialization only once */
		proto_register_protobuf();
	}
}
G_MODULE_EXPORT void
plugin_reg_handoff(void){
	proto_reg_handoff_protobuf();
}
#endif
void proto_register_protobuf(void) {

	module_t *protobuf_module;
	char* dirname;
	if (proto_protobuf == -1) {
		proto_protobuf = proto_register_protocol (
				"protobuf ",/* name */
				"protobuf",/* short name */
				"protobuf"/* abbrev */
			);
		}
	protobuf_module= prefs_register_protocol(proto_protobuf, proto_reg_handoff_protobuf);

        /*char**/ dirname = get_persconffile_path("protobuf", FALSE, FALSE);
        if( test_for_directory( dirname ) != EISDIR ) 
	{
            /* Although dir isn't a directory it may still use memory */
            g_free( dirname );

            dirname = get_datafile_path("protobuf");

            if( test_for_directory( dirname ) != EISDIR ) 
            {
                g_free( dirname );
                dirname = NULL;
            }
        }

        wireshark_pb_process_protobuf_register_proto( proto_protobuf, dirname );
}



void proto_reg_handoff_protobuf (void) {
	static int Initialized=FALSE;
	unsigned int i = 0;

	if (!Initialized) {
		protobuf_handle = create_dissector_handle(dissect_protobuf, proto_protobuf);

		wireshark_pb_process_protobuf_register_ports();	  
	}
}
/* Register plugin - END */



/* 解析一个TCP数据包,wireshark会自动做分包和合并处理,此数据是一个完成的数据包,包含包头的内容*/
static void dissect_protobuf_message(tvbuff_t *tvb, packet_info *pinfo, proto_tree *tree)
{
    /* TODO: implement your dissecting code */\
		if (check_col(pinfo->cinfo, COL_PROTOCOL)) {
				col_set_str(pinfo->cinfo, COL_PROTOCOL, "protobuf-tcp");
			}
	
			/* Clear out stuff in the info column */
			if(check_col(pinfo->cinfo,COL_INFO)){
				col_clear(pinfo->cinfo,COL_INFO);
			}
	
	
			if (tree) { /* we are being asked for details */
	
			  /* Always make sure that offset is LESS than maxOffset */
			  gint data_len = tvb_get_ntohl(tvb, 0);
			  proto_item * ti = NULL;
		      tvbuff_t * next_tvb = tvb_new_subset_remaining (tvb,4);
		      gint maxOffset = tvb_length(next_tvb);

			  ti = proto_tree_add_item(tree,proto_protobuf,tvb,0,4,ENC_NA);
			  proto_item_append_text(ti, ", Length %d",data_len);
				  wireshark_pb_process_protobuf((void *) tree, pinfo->srcport, pinfo->destport, hf_protobuf, 
				(void *)next_tvb,  (void *)tvb_get_ptr(next_tvb,0,data_len), data_len);
			}
}

/* TCP数据包的总长度,包含包头长度 */
static guint get_protobuf_message_len(packet_info *pinfo, tvbuff_t *tvb, int offset)
{
    /* TODO:
最低0.47元/天 解锁文章
newzai
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
Wireshark开发人员指南 v2.1
01-08
中文版wireshark开发者指南,如遇到解释不清晰的请去下载英文原版
Wireshark下可用的CMCC Portal插件
Illina的专栏
06-26 3312
wireshark插件是使用lua语言开发的,wireshark并未内置CMCC Portal协议,日常工作会经常分析Portal协议,找到相关资料,开发了一个简单的插件,可解析CMCC Portal协议。   CMCC Portal协议报文头C语言数据结构 struct cmcc_portal_header {     unsigned char version;     unsig
Wireshark的Lua插件
阿群的笔记(同步备份自简书)
02-01 569
填坑
wireshark-forensics-plugin:一款功能强大的Wireshark网络取证分析插件
Karka_的博客
08-03 166
毫无疑问,Wireshark是目前应用最为广泛的网络流量分析工具,无论是实时网络流量分析,还是信息安全取证分析,或是恶意软件分析,Wireshark都是必不可缺的利器。尽管Wireshark为协议解析和过滤提供了极其强大的功能,但它暂时还无法提供任何有关目标网络节点的上下文信息。对于一名安全分析人员来说,TA必须梳理大量的PCAP文件来识别恶意活动,这就有点像大海捞针了。plugin是一个跨平台Wireshark插件,它能够将网络流量数据与威胁情报、资产分类和漏洞数据关联起来,以加速网络取证分析活动。
wireshark自定义协议解析插件实现
Crazy177的博客
07-30 1531
如何使用lua实现私有协议在wireshark的解析插件编写
Wirershark解析自定义协议数据插件
技术杂货铺
06-19 1081
将自己的lua文件拖到wireshark安装目录,然后在init.lua文件最后一行添加:dofile(DATA_DIR…“ml30sp_heart.lua”),重新打开wireshark软件就可以解析自定义格式数据,以便直观的观察调试数据。
wireshark自定义lua插件学习记录
wc_12345654321的博客
08-23 245
1.对自定义UDP报文解析的Lua插件 使用Wireshark的Lua脚本解析自定义协议 2.对自定义TCP报文解析的Lua插件 wireshark插件开发 - 自定义协议 3.TCPdump 抓包 wireshark进行解析的相关操作 tcpdump抓包,并保存为文件 tcpdump抓包结合wireshark进行分析 tcpdump抓包与Wireshark分析 网络抓包分析–tcpdump及Wireshark的使用
Wireshark解析器(Dissector)插件-Lua
heusunduo88的博客
03-30 1635
Wireshark解析器(Dissector)插件-Lua
wireshark dlms插件.7z
05-11
wireshark 2.6 dlms插件wireshark 2.6安装后,将dlms.dll解压到软件目录下\plugins\2.6\espan即可正常使用,支持TCP和UDP格式的dlms报文解析
protobuf-wireshark plugins
04-18
协议分析,可以分析protobuf消息。动态配置文件。 把文件放在(wireshark安装目录)\plugins目录下面。 把配置文件和proto文件放在(wireshark安装目录)\protobuf目录下面 插件基于wireshark 1.8.6 和protobuf 2.4.1版本编译开发
wireshark-win32-1.10.2+数据过滤插件+mqtt过滤文件
10-23
本资源wireshark-32-1.10.2是windows32位版,主要用于网络数据包抓取和分析
CMCC Portal Wireshark 插件
07-20
中国移动Portal协议分析的Wireshark插件,可分析CMCC Portal协议。使用方法:1)将cmccportal.lua放到wireshark的安装根目录,2)修改wireshark根目录下的init.lua,在文件最后增加dofile(DATA_DIR.."cmccportal.lua")
wireshark 包解析插件
03-09
该资源为用脚本编写的适用于wireshark的一个新的协议。即当wireshark不能及时解析一些新的协议时,可以自己动手根据新协议字段编写解析文件。有新协议的话可以基于此脚本改写. 使用方法: 1. 打开wireshark根目录中的init.lua文件, 将disable_lua=false 并在最后添加dofile("map_port_set.lua") 2. 将map_port_set.lua 拷贝到wireshark根目录下 3. 重启wireshark 打开laft6-pcp.pcap观察是否解析成功
wireshark插件开发完整解决方案
03-14
wireshark插件开发完整解决方案(搭建环境+源代码编写)
protobuf wireshark plugins
06-03
协议分析,可以分析protobuf消息。动态配置文件。 把文件放在(wireshark安装目录)\plugins目录下面。 把配置文件和proto文件放在(wireshark安装目录)\...插件基于wireshark 1.8.6 和protobuf 2.4.1版本编译开发
wireshark omci 解析插件
08-28
绝对可以使用
S7comm Plus wireshark 插件
10-16
S7comm Plus wireshark 插件,用于wireshark 解析工控协议S7commen Plus;实测可用
Google Protobuf 使用介绍
热门推荐
Newzai的专栏
10-26 1万+
直接在 www.google.com.hk 上搜索google protobuf 后下载官方版本。 官方版本支持C++\Java\Python三门语言。 还有很多非官方的语言版本支持,如C\NET(C#/Vb.net)\Flex(AS3)等.   要通信,必须有协议,否则双方无法理解对方的码流。在protobuf中,协议是由一系列的消息组成的。因此最重要的就是定义通信时使用到的消息格式。
wireshark trdp插件
最新发布
01-26
Wireshark TRDP插件是为了支持对TRDP协议进行分析而开发的扩展插件。通过安装该插件,我们可以在Wireshark中捕获和解析TRDP协议的数据包。 使用Wireshark TRDP插件,我们可以对TRDP数据包进行详细的分析。插件能够...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值