使用lua脚本编写wireshark协议插件

最新推荐文章于 2024-06-08 17:36:05 发布
最新推荐文章于 2024-06-08 17:36:05 发布
阅读量1k 收藏 2
点赞数
文章标签: lua 脚本 buffer function tree table

使用wireshark做协议分析,自定义协议可以编写Dissector插件进行分析,开始考虑使用c语言编写插件,了解了一下,发觉太麻烦,在效率要求不高的情况下,可以使用lua脚本编写插件:

  1. 要使用lua脚本,先使wireshark支持lua脚本,编辑init.lua(在wireshark目录下),找到"disable_lua = true; do return end;"行,在最前面添加"--"将此行注释掉;


       2.  编写lua脚本文件,


GZTP.lua 文件 lua

    

  

  do  
        local p_GZTP = Proto("GZTP","GZTP")
        local f_identifier = ProtoField.bytes("GZTP.identifier","Identifier")
        local f_frametype = ProtoField.uint8("GZTP.frametype","FrameType",base.HEX,{ [1] = "up-data", [129] = "resp-up", [2] = "request-data", [130] = "down-data"})
        local f_len = ProtoField.uint8("GZTP.length","Data Length",base.DEC)
        local f_address = ProtoField.uint16("GZTP.address","Address",base.HEX)
        local f_control = ProtoField.uint16("GZTP.Control","Control",base.HEX)
  local f_data = ProtoField.bytes("gztp.data","Data")
        p_GZTP.fields = { f_identifier, f_frametype, f_len,f_address,f_control,f_data}
        
        local data_dis = Dissector.get("data")
        local function GWData_dissector(buf,pkf,root)
                local buf_len = buf:len();
                if buf_len < 6 then return false end
    if(buf(0,1):uint()~=255) then
      return false
    end
                local t = root:add(buf(0,buf_len),"GWData")
    local f_sym = ProtoField.uint8("GWData.Sym","Sym",base.HEX)
    t:add(f_sym,buf(0,1))
    return true
  end
        local function GZTP_dissector(buf,pkt,root)
                local buf_len = buf:len();
                if buf_len < 8 then return false end
                local v_identifier = buf(0,2)
                if ((buf(0,1):uint()~=254) or (buf(1,1):uint()~=254))
                        then return false end
                local v_frametype = buf(2,1)
                local i_operator = v_frametype:uint()
                
    local v_len = buf(3,1)
    local v_address = buf(4,2)
    local v_control = buf(6,2)  --控制字
                local t = root:add(p_GZTP,buf(0,buf_len))
                pkt.cols.protocol = "GZTP"
                t:add(f_identifier,v_identifier)
                t:add(f_frametype,v_frametype)
                t:add(f_len,v_len)
                t:add(f_address,v_address)
                t:add(f_control,v_control)
    local i_len = v_len:uint()
    if i_len > 0 then
      local deal = false
      local dissector = Dissector.get("gwdata")
      if dissector ~= nil then
        local databuf = buf(8,i_len):tvb()
        if dissector:call(databuf,pkt,root) then
          deal = true
        end
      else
        t:add(buf(8,i_len),"Data:")
      end
                end
                return true
        end
        
        function p_GZTP.dissector(buf,pkt,root)
                if GZTP_dissector(buf,pkt,root) then
                        --valid GZTP diagram
                else
                        data_dis:call(buf,pkt,root)
                end
        end
        
        local udp_encap_table = DissectorTable.get("udp.port")
        udp_encap_table:add(10110,p_GZTP)
end

GWData.lua文件 

do
  function GetTimeOfMinVal(Value)
    local val = Value
    local minVal = val % 60
    val = val / 60
    local hour = val % 24
    val = val / 24
    local day = val % 32
    val = val / 32
    local month = val % 12 + 1
    local year = val / 12    
    return string.format("%04d-%02d-%02d %02d:%02d",year,month,day,hour,minVal)
  end
end
do
  runinfo_proto = Proto("runinfo","RUNINFO","RunInfo Protocol")
  function runinfo_proto.dissector(buffer,pinfo,tree)
    pinfo.cols.info = "GWData run info"
    local t = tree:add(runinfo_proto,buffer(),"Run Info Protocol Data")
  end
end

--雨量分钟数据
do
  raindata_proto = Proto("raindata","RAINDATA","Rain Data Protocol")
  local f_ctype = ProtoField.uint8("RAINDATA.ctype","CType",base.DEC,{ [0] = "sample",[1] = "compress"})
  raindata_proto.fields = {f_ctype}
  function raindata_proto.dissector(buffer,pinfo,tree)
    local str_minutes = string.format("%d",buffer(2,2):le_uint())   --分钟数
    local str_time = GetTimeOfMinVal(buffer(4,4):le_uint())         --时间
    pinfo.cols.protocol = "RAIN DATA"
    pinfo.cols.info = "Time: "..str_time .. " Minutes: " .. str_minutes
                --local buf_len = buffer:len();
    local t = tree:add(raindata_proto,buffer(),"Rain Data Protocol Data")
    t:add(f_ctype,buffer(0,1))
    t:add(buffer(1,1),"Res: " .. string.format("0x%02X",buffer(1,1):uint()))
    t:add(buffer(2,2),"Minutes: " .. str_minutes)
    t:add(buffer(4,4),"Time: ".. str_time)
    t:add(buffer(8),"Data: ")
  end
end
do
    -- declare our protocol
    gwdata_proto = Proto("gwdata","GWDATA","GWDATA Protocol")
    local f_datatype = ProtoField.uint8("GWDATA.datatype","DataType",base.HEX,{ [0x02] = "run info",[0x12] = "rain data",  [3] = "gprs"})
    local f_trantype = ProtoField.uint8("GWDATA.trantype","TranType",base.HEX,{ [1] = "net", [2] = "modem", [3] = "gprs"})
    gwdata_proto.fields = {f_datatype,f_trantype}
    local protos ={
      [0x02] = Dissector.get("runinfo"),
      [0x12] = Dissector.get("raindata"),
    }
    -- create a function to dissect it
    function gwdata_proto.dissector(buffer,pinfo,tree)
        pinfo.cols.protocol = "GWDATA"
        if (buffer(0,1):uint()~=255) then
          return false
        end
        local subtree = tree:add(gwdata_proto,buffer(),"GWData Protocol Data")
        subtree:add(buffer(0,1),"Sym: " .. string.format("0x%02X",buffer(0,1):uint()))
        subtree:add(buffer(1,1),"Length: " .. buffer(1,1):uint())
        subtree:add(f_datatype,buffer(2,1))
        subtree:add(f_trantype,buffer(3,1))
        subtree:add(buffer(4,2),"Addr: " .. buffer(4,2):le_uint())
        
        local data_len = buffer(1,1):uint()
        local proto_id = buffer(2,1):uint()
        local dissector = protos[proto_id]
        if dissector ~= nil then
          dissector:call(buffer(6,data_len):tvb(),pinfo,tree)
        end
      return true
    end
end


3.    在init.lua文件最后添加:


dofile("GWData.lua")
dofile("GZTP.lua")

4. 将抓包文件*.pcap重新打开就可以了

cchao
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何用wireshark加载自定义.lua脚本
笔者从事电信媒体开发多年,愿意将多年的开发经验分享给同行
03-18 1万+
指导wireshark加载自定义的lua脚本文件
wireshark_lua:用于wiresharkLUA脚本
05-31
lua文件 WiresharkLUA 扩展,用于打印服务器处理 NFS 请求所花费的时间。 用法: # for life capture $ tshark -q -X lua_script:nfs.lua -f " port 2049 " # or if nfs trafic is not on a standard port ( pNFS DS ) $ tshark -q -X lua_script:nfs.lua -f " port 32049 " -d tcp.port==32049,rpc # for read from existing capture file capture file $ tshark -q -r nfs.dump -X lua_script:nfs.lua # or if you need to avoid temp files $ dumpca
Wireshark内嵌解析协议LUA脚本
weixin_46946968的博客
11-22 3200
Wireshark官网对lua插件的API介绍英文的,看起来很头疼,小编这里是下载个网易有道翻译截图翻译的。最头疼的还不是这个,而是怎么调用这些API,从何下手才是最头疼的,只能通过代码边用边熟悉了。下面我给的是一些常用的API以及在网址的位置。
Wiresharklua脚本介绍
Little_Eyelash的博客
03-26 8676
Wiresharklua脚本介绍 概述 Wireshark是非常强大的报文解析工具,是网络定位中不可缺的使用工具,在物联网中很多为自定义协议wireshark无法解析,此时lua脚本就有了用武之地。Lua是一个脚本语言,不需要编译可以直接调用,完美解决了自定义报文解析。 代码框架 -- create a new dissector local NAME = "Doip" local PORT = 13400 local Doip = Proto(NAME, " Doip Protocol")
wireshark应用lua解析自定义协议
游青的博客
02-11 2208
wireshark应用lua解析自定义协议
Wireshark使用Lua脚本解析报文
文石_2009的博客
04-25 1454
WiresharkLua
使用Lua脚本wireshark编写自定义通信协议解析器插件
10-08
使用Lua脚本wireshark编写自定义通信协议解析器插件 .
lua语言编写Wireshark插件解析自定义协议.doc
10-07
本文主要介绍了使用 Lua 语言编写 Wireshark 插件来解析自定义协议的方法。Wireshark 是一个功能强大且广泛使用的网络协议分析软件,但是它默认情况下只支持大量的通用协议,对于自定义协议则无能为力。本文介绍了一...
lua语言编写Wireshark插件解析自定义协议
08-03
### 使用Lua语言编写Wireshark插件解析自定义协议 #### 深入理解与实践 **Wireshark**作为一款强大的网络数据包捕获和分析工具,支持大量的网络协议,其内置的协议解析功能覆盖了从常见的TCP/IP、HTTP到专业领域的...
wireshark Lua脚本插件源码
09-22
在这个压缩包文件中,包含了一个使用Lua编写的Wireshark插件源码,以及一个相关的.pcap抓包文件,让我们来深入探讨一下这些内容。 首先,`ScoreBoard.lua`是Lua脚本文件,很可能用于解析特定的私有协议。在...
Wireshark+lua插件方式抓包及解析OMCI协议报文详细信息
03-26
8. **分享和使用omci插件**:如果你的Lua插件实现了功能并经过测试,可以将其打包成Wireshark插件形式,供其他人使用。这通常涉及创建一个`.lua`文件,并可能需要创建配套的`.dissector`文件来定义插件Wireshark中...
使用Lua编写Wireshark解析ProtoBuf插件
Kayn_Liu的博客
03-16 1788
使用Lua编写插件解析Wireshark中的ProtoBuf协议
wireshark-lua解析自定义协议
quniyade0的博客
03-29 5221
wireshark-lua解析自定义协议 前言 wireshark支持使用lua脚本来解析自定义的协议。 最近因工作需要接触了一下。我的需求是不用细抠lua的语法,而要快速的使用上,将我的协议数据解析出来,显示各项信息方便我分析数据。 现稍作整理,分享给和我有相似需要的小伙伴。 一、Lua概览 和其他语言可能不太一样的: 以行分割,不需要分号 注释符号为 --(两个减号) 不等于是 ~= 没有++和+=,需要显示写 i = i + 1 变量有两种,全局和local,带local声
Wireshark自定义Lua插件
最新发布
Sheng_Q的博客
06-08 4480
常见的抓包工具有tcpdump和wireshark,二者可基于网卡进行抓包:tcpdump用于Linux环境抓包,而wireshark用于windows环境。抓包后需借助包分析工具对数据进行解析,将不可读的二进制数转换为可读的数据结构。 wireshark不仅可以作为抓包工具,还可以作为包解析工具。Wireshark针对常见协议都提供了对应的解析插件, 如: TCP、UDP、HTTP、SIP等;同时提供了自定义插件机制,用户可以基于此解析自定义消息。至于插件wireshark支持C语言插件Lua插件,L
Wireshark解析器(Dissector)插件-Lua
heusunduo88的博客
03-30 2098
Wireshark解析器(Dissector)插件-Lua
Wireshark工具中加入lua脚本
09-09 4943
Wireshark工具中加入lua脚本,增加该工具对某些数据报的识别,便于阅读。 参考:http://www.wireshark.org/docs/wsug_html_chunked/wsluarm.html 加入方式: 1、编写lua脚本, xx.lua 2、在Wireshark启动快捷方式上,鼠标右键-->属性中加入:-X lua_script: 即可,多个Lua脚本,重复该
Wireshark LUA脚本分析自定义帧格式
qq_40878398的博客
12-06 1001
Wireshark LUA脚本分析自定义帧格式 1. 帧格式 ​ 该帧格式由课设要求引出,本次课设要求在eth0网络接口与Linux内核TCP/IP间串接一个虚拟网络接口vni0,如下图所示: ​ 此报文格式修改为下图所示: 以太帧头部: ​ 目的MAC地址(6字节) = 广播MAC地址; ​ 源MAC地址(6字节) = 发送方eth0的MAC地址; ​ 类型(2字节) = 0xF4F0(即VNI的协议编号); VNI头部: ​ VNI类型(4字节) = 学号后4位数,每个数1个字节; ​ 分组
wireshark lua插件 ProtoField.uint32 使用
08-03
Wireshark是一款开源的网络协议分析工具,它支持使用Lua编写插件来扩展其功能。在Wireshark中,ProtoField.uint32是一种用于表示无符号32位整数的数据类型,可以在Lua插件使用它来定义和访问协议字段。 使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值