wireshark如何写一个lua脚本解析自定义报文字段?(Proto、DissectorTable.get、function .dissector、dissector_table:add)

于 2024-05-22 01:33:34 发布
阅读量333 收藏 3
点赞数 6
分类专栏: 软件工具使用 文章标签: wireshark lua
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/essencelite/article/details/139105784
版权

步骤

  • 定义私有protocol:local myprotocol = Proto("my proto", "My proto"),需要Proto的类来定义
  • 获取DissectorTable:local dissector_table = DissectorTable.get("udp.port") 获取解析表,并且用udp.port去获取
  • 定义解析函数 function myprotocol.dissector(buffer, pinfo, tree), 这里的myprotocol是定义的协议的类实体,然后实现它的成员函数dissector,以便解析。 这里还包括定义myprotocol的fields字段,方便function中将fields加入到tree中
  • 最后将udp的端口和私有proto加入到dissector_table中。dissector_table:add(udpport, myprotocol)

实操效果


```c
local p_multi = Proto("multi", "MultiProto");

local vs_protos = {
        [2] = "mtp2",
        [3] = "mtp3",
        [4] = "alcap",
        [5] = "h248",
        [6] = "ranap",
        [7] = "rnsap",
        [8] = "nbap"
}

local f_proto = ProtoField.uint8("multi.protocol", "Protocol", base.DEC, vs_protos)
local f_dir = ProtoField.uint8("multi.direction", "Direction", base.DEC, { [1] = "incoming", [0] = "outgoing"})
local f_text = ProtoField.string("multi.text", "Text")

p_multi.fields = { f_proto, f_dir, f_text }

local data_dis = Dissector.get("data")

local protos = {
        [2] = Dissector.get("mtp2"),
        [3] = Dissector.get("mtp3"),
        [4] = Dissector.get("alcap"),
        [5] = Dissector.get("h248"),
        [6] = Dissector.get("ranap"),
        [7] = Dissector.get("rnsap"),
        [8] = Dissector.get("nbap"),
        [9] = Dissector.get("rrc"),
        [10] = DissectorTable.get("sctp.ppi"):get_dissector(3), -- m3ua
        [11] = DissectorTable.get("ip.proto"):get_dissector(132), -- sctp
}

function p_multi.dissector(buf, pkt, tree)

        local subtree = tree:add(p_multi, buf(0,2))
        subtree:add(f_proto, buf(0,1))
        subtree:add(f_dir, buf(1,1))

        local proto_id = buf(0,1):uint()

        local dissector = protos[proto_id]

        if dissector ~= nil then
                -- Dissector was found, invoke subdissector with a new Tvb,
                -- created from the current buffer (skipping first two bytes).
                dissector:call(buf(2):tvb(), pkt, tree)
        elseif proto_id < 2 then
                subtree:add(f_text, buf(2))
                -- pkt.cols.info:set(buf(2, buf:len() - 3):string())
        else
                -- fallback dissector that just shows the raw data.
                data_dis:call(buf(2):tvb(), pkt, tree)
        end

end

local wtap_encap_table = DissectorTable.get("wtap_encap")
local udp_encap_table = DissectorTable.get("udp.port")

wtap_encap_table:add(wtap.USER15, p_multi)
wtap_encap_table:add(wtap.USER12, p_multi)
udp_encap_table:add(7555, p_multi)```

其他

  • 需要3种主体:
    • Proto定义私有协议(类似IP),然后定义Proto的field和dissector解析函数(入参固定)
    • DissectorTable类,能够从解析树中获取某个tree的node,然后使用这个node的add,将协议添加到table中
    • tree,作为dissector入参传入,后面add会作为subtree添加到tree上
  • 关键3点:1. Proto定义协议;2. 定义Proto的dissector函数; 3. DissectorTable 4. 将Proto挂到DissectorTable是哪个
  • 最核心:定义Protocol,然后dissector解析函数,函数挂到tree中,父tree从DisectorTable上

参考:
https://www.wireshark.org/docs/wsdg_html_chunked/wslua_dissector_example.html

北冥有鱼被烹
关注
  • 6
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wireshark Lua插件自定义
jjxojm的专栏
06-20 2721
近期工作中刚好有实现自定义的UDP相关协议,用Wireshark时只能给出原始的字节流,观察起来确实十分不便,为此研究了一下WiresharkLua插件实现,在此记录一下。 一、配置执行Lua脚本 首先通过菜单中的"About Wireshark"查看一下Wireshark对应Lua引擎的支持情况,如下图所示: 默认安装路径下会有一个init...
Lua学习之路-1
小渣渣的博客
01-05 843
Lua Lua 是一种轻量小巧的脚本语言,用标准C语言编并以源代码形式开放, 其设计目的是为了嵌入应用程序中,从而为应用程序提供灵活的扩展和定制功能。 Lua 特性 轻量级: 它用标准C语言编并以源代码形式开放,编译后仅仅一百余K,可以很方便的嵌入别的程序里。 可扩展: Lua提供了非常易于使用的扩展接口和机制:由宿主语言(通常是C或C++)提供这些功能,Lua可以使用它们,就像是本来
Wireshark内嵌解析协议的LUA脚本
weixin_46946968的博客
11-22 3015
Wireshark官网对lua插件的API介绍英文的,看起来很头疼,小编这里是下载个网易有道翻译截图翻译的。最头疼的还不是这个,而是怎么调用这些API,从何下手才是最头疼的,只能通过代码边用边熟悉了。下面我给的是一些常用的API以及在网址的位置。
Wireshark使用Lua脚本解析报文
最新发布
文石_2009的博客
04-25 1278
WiresharkLua
通过lua语言编WireShark脚本插件解析自定义报文(完整版)
09-07 9493
0、前言 在ICT人员用于网络分析的兵器库中,wireshark无疑是倚天剑,虽历史悠久,其锋利程度丝毫不减,由于开源,便于用户二次开发,这就使得此剑的颜值、功能都近乎完美。如果能够熟练的使用此剑,对于行走江湖也是百利而无一害。 对于当下的主流协议wireshark都有自带解析插件,如IP、ARP、TCP、UDP、HTTP、DHCP等。但是实际应用中,这些协议通...
Lua语言编Wireshark dissector插件
行风
12-15 4008
from: http://yoursunny.com/t/2008/Wireshark-Lua-dissector/ Wireshark是一款著名的网络协议分析工具,基于GPLv2协议开源,支持Linux、Windows、MacOS等多个操作系统。 Wireshark is the world's foremost network protocol analyzer, and is
Lua中的table函数库
小枫的专栏
03-09 6224
Lua中的table函数库 table库由一些操作table的辅助函数组成。他的主要作用之一是对Lua中array的大小给出一个合理的解释。另外还提供了一些从list中插入删除元素的函数,以及对array元素排序函数。 table.concat(table, sep, start, end) concat是concatenate(连锁, 连接
wireshark_lua:用于wiresharkLUA脚本
05-31
lua文件WiresharkLUA 扩展,用于打印服务器处理 NFS 请求所花费的时间。 用法: # for life capture$ tshark -q -X lua_script:nfs.lua -f " port 2049 "# or if nfs trafic is not on a standard port ( pNFS ...
wireguard-dissector:Wireshark解剖器(用Lua),用于解剖WireGuard隧道协议
02-03
用于WireGuard隧道协议的Wireshark解剖器 Wireshark解剖器(用Lua),用于解剖隧道... 当前的开发版本(git master,2.9.x)包含一个改进的版本。 安装及使用 在安装 (通常是~/.config/wireshark/plugins/或~/.wir
RNDIS Wireshark解析插件(rndis.lua)
01-24
RNDIS数据在原生Wireshark只能解析到USB URB层,后面是RAW DATA;为了调研方便,于是用lua语言开发了rndis解析插件。 20210806: 更新了脚本中的一些解析bug。 20220315: 支持linux控制头的rndis处理
Wireshark解析自定义协议
02-20
利用Wireshark解析自定义协议,以portal协议为实例,并利用LUA脚本进行解释。
bmp-dissector:由lua的用于wireshark的BGP监控协议(BMP)解析
06-23
lua的用于wireshark的BGP监控协议(BMP)解析器。 参考 用法 视窗 注释掉“%WIRESHARK%\init.lua”中的“disable_lua=true”。 (大概配置) bmp.lua 复制到“%WIRESHARK%\plugins\<version>\”或“%APP...
ethereum_devp2p_wireshark_dissector:这是Wireshark的以太坊devp2p协议解剖器插件
02-05
以太坊DevP2P Wireshark解剖器插件是一个强大的工具,它允许网络分析专业人士和区块链开发者深入理解以太坊网络中的节点通信。这个插件是专门为Wireshark设计的,Wireshark是一款广泛使用的网络封包分析软件,能够...
使用LuaWiresharkDissector插件
cbbbc
04-19 1705
使用LuaWiresharkDissector插件是本文要介绍的内容,Dissector 插件可以用来对特定的协议内容进行分析展示,在分析自己实现的应用层协议时还是很有用的。 dissector 插件一般用 C 来实现,具体如何实现可以参考 Wireshark 代码目录下面的 \epan\dissectors 中的源代码和 plugins 目录下面的源代码。 一些简单的对性能要求不高的
wireshark应用lua解析自定义协议
游青的博客
02-11 2114
wireshark应用lua解析自定义协议
使用Lua脚本wireshark自定义通信协议解析器插件
11-29 5577
在网络通信应用中,我们往往需要自定义应用层通信协议,例如基于UDP的Real-Time Transport Protocol以及基于TCP的RTP over HTTP。鉴于RTP协议的广泛性,wireshark(ethereal)内置了对RTP协议的支持,调试解析非常方便。RTP over HTTP作为一种扩展的RTP协议,尚未得到wireshark的支持。在《RTP Payload Form
Wiresharklua脚本介绍
Little_Eyelash的博客
03-26 8363
Wiresharklua脚本介绍 概述 Wireshark是非常强大的报文解析工具,是网络定位中不可缺的使用工具,在物联网中很多为自定义协议,wireshark无法解析,此时lua脚本就有了用武之地。Lua一个脚本语言,不需要编译可以直接调用,完美解决了自定义报文解析。 代码框架 -- create a new dissector local NAME = "Doip" local PORT = 13400 local Doip = Proto(NAME, " Doip Protocol")
使用Lua编程Wireshark dissector教程
Wireshark结合Lua提供了一个强大的工具,让网络工程师和开发者能够深入到网络通信的细节中,进行故障排查、性能分析和协议开发。掌握这一技能,将极大地提升在网络安全和网络优化领域的专业能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值