使用Lua脚本对pcap文件进行切流操作

最新推荐文章于 2023-07-07 15:34:38 发布
最新推荐文章于 2023-07-07 15:34:38 发布
阅读量1.7k 收藏 4
点赞数 1

  本文主要讲述如何使用Lua以及wireshark提供的API接口,来实现切流的操作。本质是利用wireshark的强大功能快速的实现报文级操作。

  在这篇文章中说了如何使用tshark写切流的脚本。总的来说效率低下,主要原因是使用tshark我无法做到报文级操作(如果你知道,请告诉我),只能整个整个数据包的读取,然后根据过滤条件整个报文输出。对于一个pcap文件需要多次遍历,pcap报文中有几条流,就要读取遍历报文几次,时间复杂度高。如遇p2p报文,耗时太长。

  使用C语言libpcap解析pcap报文,加上glib实现流管理,也是可以做到只历一遍报文。这里面使用Lua,其一是因为wireshark提供了强大的报文、流管理以及过滤器的功能,可以加以利用;其二是因为使用Lua脚本能够快速的构建和实现特定的小功能。

  在网站https://www.wireshark.org/docs/wsdg_html_chunked/的第11章中说明了wireshark给Lua提供的API接口。本次主要应用到里面的Dumper,Field,Listener三个类。Dumper主要作用是写文件,Field主要作用是获取wireshark提供的各种报文属性,Listenser是一个监听器,监听符合过滤规则的报文。具体的用法参考网站的说明。以下便是完成的Lua脚本:

[python]  view plain  copy
  1. local getTcpStream =Field.new("tcp.stream")  
  2. local getSrcIp =Field.new("ip.src")  
  3. local getDstIp =Field.new("ip.dst")  
  4. local getSrcPort =Field.new("tcp.srcport")  
  5. local getDstPort =Field.new("tcp.dstport")  
  6. local getIpVersion =Field.new("ip.version")  
  7.    
  8. local tcpStreamTable = {}--每一条流的索引哈希表  
  9. local dataWriterTable = {}--每一条流的dumper  
  10.    
  11. do  
  12.     local function packet_listener()  
  13.         local tap =Listener.new("frame""tcp.port == 443")  
  14.         --frame是监听器的名称,tcp是wireshark过滤器规则  
  15.                
  16.         function tap.reset()  
  17.             print("tap reset")  
  18.         end  
  19.                
  20.         function tap.packet(pinfo,tvb)  
  21.             --回调函数,每收到一个包执行一次。  
  22.                      local tcpStream = getTcpStream()  
  23.                      local srcIp = getSrcIp()  
  24.                      local dstIp = getDstIp()  
  25.                      local srcPort = getSrcPort()  
  26.                      local dstPort = getDstPort()  
  27.                      local ipVersion = getIpVersion()  
  28.                      local tcpStreamNumber =tonumber(tostring(tcpStream))  
  29.                       
  30.                      if(tcpStreamTable[tcpStreamNumber])  
  31.                      then  
  32.                             dataWriterTable[tcpStreamNumber]:dump_current()  
  33.                      else  
  34.                             local packetTuple4 =tostring(tcpStream).."_"..tostring(srcIp).."_"..tostring(srcPort).."_"..tostring(dstIp).."_"..tostring(dstPort).."_"..tostring(ipVersion)..".pcap"  
  35.                             tcpStreamTable[tcpStreamNumber] =tcpStream  
  36.                             dataWriterTable[tcpStreamNumber] =Dumper.new(packetTuple4)  
  37.                             dataWriterTable[tcpStreamNumber]:dump_current()  
  38.                      --print(type(tcpStreamTable[tcpStreamNumber]),type(tcpStreamNumber),type(dataWriterTable[tcpStreamNumber]),type(tcpStreamTable))  
  39.                      end  
  40.         end  
  41.                
  42.         function tap.draw()  
  43.             --结束执行  
  44.             print("tap.draw")  
  45.         end  
  46.     end  
  47.        --监听报文  
  48.     packet_listener()  
  49.        --tcpStreamTable =nil  
  50. end  

  我是在windows上面执行上述写好的lua脚本的,将lua脚本放到C:\ProgramFiles\Wireshark目录下面,然后cmd到该目录下面,执行命令tshark-X lua_script:cut_flow.lua -r file_name.pcap,Linux上面的话是需要安装lua,重新编译wireshark的。最终切出的pcap报文名称是以流号+四元组+IP版本号命名的。

卜大伟
关注
专栏目录
使用 wireshark lua 脚本pcap文件进行切流操作
村中少年的专栏
01-20 3364
本文主要讲述如何使用Lua以及wireshark提供的API接口,来实现切流操作
Wireshark lua 插件实现切流操作
村中少年的专栏
01-13 2379
利用wireshark lua 插件实现切流操作,比之tshark命令更加的高效
tshark+lua 实现解析 xxx.pcapng报文数据,并写入到文件
最新发布
qq_42969422的博客
07-07 537
tshark+lua 解析 xxx.pcapng生成csv文件
使用 wireshark lua 插件对报文进行修改
村中少年的专栏
08-31 4701
wireshark被称为报文分析界的一哥,本文着眼于使用层次的,抛砖引玉,介绍一下wireshark在批量增删改查方面的应用。
基于Lua插件化的Pcap流量监听代理
weixin_34364135的博客
09-13 200
1.前言 我们在实际工作中,遇到了一个这样的用例,在每天例行扫描活动中,发现有些应用系统不定期的被扫挂,因为我们不是服务的制造者,没有办法在不同的系统里打印日志,所以我们就想用一个工具来获取特定服务的输入数据流。我们如果不在IDS上看应用的服务,可以直接针对服务所在服务位置,针对应用端口进行,有针对性的监听分析。 Tshark和tcpdump、windump这些监听工具提供了比较丰富的命令行参数来...
lua 字节流操作
10-22
非常方便的字节操作插件 可用于网络消息解包压包,字节组装 流协议传输
分割pcap数据包
weixin_34037173的博客
09-30 716
wireshark app目录下的editcap工具可以分割,命令如下: editcap.exe -c 10000 test.pcap small.pcap 转载于:https://blog.51cto.com/weber213/677745
Wireshark lua 插件提取PCAP报文中文件,图片,视频
村中少年的专栏
01-08 6853
Wireshark提取离线包数据中的文件图片、视频等信息,通过wireshark lua插件来实现
使用tsharkpcap报文进行批量切流
村中少年的专栏
09-03 5481
通过一个具体的切流示例介绍一下tshark命令行的一些参数
使用lua脚本进行报文修改
weixin_44275663的博客
03-17 1238
1. lua脚本进行报文修改 local getTCPStream=Field.new("tcp.stream); -- 通过Field类,来创建tcp.stream的类对象 local getSrcIp=Field.new("ip.src"); local getDatIp=Field.new("ip.dst"); local getSrcPort=Field.new("tc...
wireshark lua 插件 解析提取网络报文传输内容(文本,多媒体,等信息)
12-14
1. windows 下 安装 wiresshark (2.2.6测试没有问题)版本最好是最新的版本 老版本好像会报一个tshark错误 2. 安装好wiresshark后的目录(**/**/Wireshark)下创建一个 lua 文件夹。把root3.0放在当前文件夹下 并解压 3. 在wiresshark目录下 init.lua 文件目录添加上一行 dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 4. 最好用tshark 命令读包。 tshark.exe -q -r 报文路径 注意: windows 下最好是不用的时候把 init.lua dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 这行注释掉。要不然会产生很多文件拖延文件打开速度 {liunx 下也可以 不过要加上一个环境变量。否则会报找不到文件。具体的太久了忘记了!!}
wireshark_lua:用于wiresharkLUA脚本
05-31
lua文件 WiresharkLUA 扩展,用于打印服务器处理 NFS 请求所花费的时间。 用法: # for life capture $ tshark -q -X lua_script:nfs.lua -f " port 2049 " # or if nfs trafic is not on a standard port ( pNFS DS ) $ tshark -q -X lua_script:nfs.lua -f " port 32049 " -d tcp.port==32049,rpc # for read from existing capture file capture file $ tshark -q -r nfs.dump -X lua_script:nfs.lua # or if you need to avoid temp files $ dumpca
pcap包解析
08-04
该资源供大家免费下载,如果有更多的资源请您和大家分享
C语言将IP保存为pcap程序,使用Lua脚本pcap文件进行切流操作
weixin_39956036的博客
05-25 363
本文主要讲述如何使用Lua以及wireshark提供的API接口,来实现切流操作。本质是利用wireshark的强大功能快速的实现报文级操作。在这篇文章中说了如何使用tshark切流脚本。总的来说效率低下,主要原因是使用tshark我无法做到报文级操作(如果你知道,请告诉我),只能整个整个数据包的读取,然后根据过滤条件整个报文输出。对于一个pcap文件需要多次遍历,pcap报文中有几条流,就...
linux上使用tshark运行lua脚本
村中少年的专栏
08-02 3885
linux上使用tshark运行lua脚本一些注意点
Lua 流程控制(学习笔记)
小麦大大博客
08-21 243
流程控制 Lua 编程语言流程控制语句通过程序设定一个或多个条件语句来设定。在条件为 true 时执行指定程序代码,在条件为 false 时执行其他指定代码。 要注意的是Lua中 0 为 true: --[ 0 为 true ] if(0) then print("0 为 true") end 以上代码输出结果为: 0 为 true a if…else 语句语法格式如下...
lua脚本写的一个读取pacap抓包的user_agent位的脚本
lxblghds的专栏
12-06 1890
do local f_user_agent = Field.new("http.user_agent") local file = io.open("luawrite.txt", "w") --local function init_listener() local tap = Listener.new("http") local counter = 0 local ua_
Lua FFI 简单封装 libpcap
Dawnworld
06-26 1630
最近在 LuaJit 的 FFI 封装已有功能,期间用到libpcap,这里共享一下我的简单封装
tshark----wireshark的命令行工具
aecuhty88306453的博客
10-15 483
tshark - 转储和分析网络流 概要 tshark的[-2] [-a<捕捉自动停止条件>] ... [-b<捕捉环形缓冲区选项>] ... [-B<捕获缓冲区大小>] [-c<捕获分组计数>] [- ?<配置文件>] [-d<层型> == <...
使用 Redis 的 Lua 脚本进行事务性操作
05-20
以下是一个使用Lua脚本进行事务性操作的例子: ``` redis-cli > MULTI OK > EVAL "redis.call('SET', 'foo', 'bar')" 0 QUEUED > EVAL "redis.call('SET', 'baz', 'qux')" 0 QUEUED > EXEC 1) OK 2) OK ``` 在这个...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值