Wireshark自定义协议解析器插件C语言开发一

已于 2024-04-02 23:48:36 修改
阅读量1.7k 收藏 13
点赞数 30
文章标签: 网络协议 计算机网络
于 2024-03-28 23:25:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/import_new/article/details/137092554
版权

文章目录

一、概要

Wireshark是一款全球使用与开发维护人数最多的遵循GPL协议开源的网络协议分析软件,全球开发者为Wireshark编写了数千种协议的解析插件。
在实际的工作中,往往需要分析某些私有协议的报文,或者用到官方wireshark没有提供的某些功能,或者需要将Wireshark的报文解析功能移植到自己的特定应用场景中……这一切,都需要我们在理解Wireshark工作原理的基础上,对其进行二次开发。
Wireshark的两大特点使二次开发比较容易:
● 代码是遵循GPL协议开源的,任何人无论出于私人还是商业目的,都可以下载并且使用 Wireshark。
● 提供了插件plugins机制,可基于C或Lua语言进行二次开发

本文编写于2024年3月,参考版本wireshark-4.2.3,QT6.6.3 community ,cmake3.29.0

二、Wireshark 软件整体架构

wireshark的基本软件框架如下。
软件框架
其中有几个重要的依赖库,
● glib, libpcap, Qt 是 Wireshark 的重要第三方依赖库
● wiretap, wsutil, epan 实现为动态库, epan 的库文件名是 libwireshark.so
● tshark 和 wireshark 是可执行程序, 其中 wireshark 带有图形界面, 它是通过 Qt 实现的, 而 tshark 为命令行程序

三、基本概念

  • C 解析器可分为内置解析器和插件(plugins)解析器
  • 注册register
  • 交接handoff
  • 解析dissector

四、解析器实现逻辑

Wireshark 协议解析器dissector负责解析报文中与当前协议相关的部分,然后把后面数据的解析权交给下一个解析器subdissector。解析器流程总是先从一个名为"Frame"的伪协议解析器开始,之后根据像 TCP/IP 这样的协议层依次推进解析, 直到表示协议数据的"Data"解析器,然后解析过程又回退,最后又回到 Frame 解析器,基本上就是一个解嵌套字节过程。下图演示了一个以太网典型报文的解析过程.
在这里插入图片描述
要与 Wireshark 主框架交互, 解析器插件必须要做三件事:
● 注册(register). 声明要处理的协议名, 要处理的协议字段等
● 交接(handoff). 声明与其他解析器如何交接
● 解析(dissect). 对协议数据的解析
注册和交接发生在 Wireshark 启动阶段,当某一插件存在异常wireshark都将崩溃无法打开,而解析发生在用户打开离线报文, 抓包, 或者点击报文列表(Packet List)中某一项等时候。
协议解析器的解析结果存放在协议树(Proto Tree)中,在Wireshark UI 正是通过一个树型控件来展示的:

五、解析器编译环境搭建

● 阅读 Wireshark 开发手册
https://www.wireshark.org/docs/wsdg_html_chunked/index.html
● 准备一份 Wireshark 代码, 官方仓库是 https://gitlab.com/wireshark/wireshark/-/tree/master
● 在你所需的系统上成功编译 WIreshark 原始代码,至少一次。
● 了解 Wireshark 编码规范, 协议解析器的基本原理, 解析器插件的实现方法. 这三个文档分别位于 Wireshark 源码的 doc/README.developer, doc/README.dissector 和 doc/README.plugins. doc 目录下的其他 README 文件也对你的开发很有帮助。这些文件都很长, 如果急于开发功能, 可以简要阅读,直接使用example。
● Wireshark 使用 EditorConfig 来规范代码格式, 如果用 VSCode 可以安装 EditorConfig for VS Code插件来让自己的代码符合规范。

必要的安装环境:

  • Micosoft Visual Studio 2019/2022
  • QT6或QT5.12版本以上
  • Cmake
  • python3
  • winflexbison

六、软件编译过程

把从github上下载的Wireshark 4.2.3 源码放在文件夹D:\wiresharkdev\wireshark-4.2.3, 新建一个空文件夹在 D:\wiresharkdev\wireshark-build目录中存放CMAKE编译内容, 并把编译过程中下载的依赖项放在新建文件夹D:\wiresharkdev\wireshark-win64-libs-4.2目录
在这里插入图片描述
为了便于设置环境变量, 在编译路径文件夹建立一个批处理文件 setenv.bat, 内容如下
在这里插入图片描述
若安装的是QT5,在执行CMAKE编译过程需要进行说明。具体在下面补充。

1.当前环境切换到环境设置脚本路径,设置环境变量

在这里插入图片描述
2.执行cmake生成解决方案,结果在编译路径。
若使用QT5,则需执行下面这句禁掉QT6。

cmake -G "Visual Studio 16 2019" -A x64 -DUSE_qt6=OFF ..\wireshark

在这里插入图片描述

3.执行cmake 构建生成exe及插件dll
在这里插入图片描述
4.插件dll结果路径
在这里插入图片描述

以上步骤完成后,已经准备好wireshark插件开发的前期准备工作,那么开始充满创造性的自定义插件开发吧。

兄弟李德胜
关注
Lua脚本编写Wireshark插件解析第三方私有协议
悦分享
07-25 4417
echo_500.lua”),通过这样的方式加载自定义插件。目前对于Wireshark来说,C/C语言和Lua脚本是编写插件的主流语言,对于C/C语言这类语言来说,不可否认它具有非常高的性能,但是其编译配置较为麻烦,每次修改都要重新编译,而Lua脚本虽然解析效率没前者那么高,但是它的语法和修改都非常简单,可以提高了开发效率。当然,有些工控流量可能比本文的例子相对复杂一些,可能包含加密和签名等字段,这就需要更长的逆向分析时间,只要把协议数据的报文格式了解清楚了,那么编写插件也是水到渠成的事情。......
wireshark插件开发 - 自定义协议
Jeffrey.chu的专栏
09-20 2141
虽然wireshark自带了很多知名协议的解析插件,譬如HTTP、DHCP等等,然而在实际应用环境中,有不少软件之间的通信协议都是私有的,如游戏客户端和服务器之间的交互协议通常都是私有的,wireshark无法具体解析出各种字段之间的含义,只能显示接收到的二进制数据,给协议的分析和问题的排查带来了一定的困难,尤其是协议内容比较复杂时。 本文一个自定义的简单协议入手,分析如何基于wireshark...
Wireshark解析自定义协议
02-20
利用Wireshark解析自定义协议,以portal协议为实例,并利用LUA脚本进行解释。
wireShark自定义lua插件编写教程基础篇
最新发布
工大小汪的博客
09-23 441
wireShark的lua插件编写
wireshark插件开发
comhaqs的专栏
02-07 1万+
最近在弄wireshark,网上资料很少,不过找到了一篇不错的,翻译过来,方便大家查看。不过设置编译环境那章写的不怎么好,可以参考下官网或其他人写的经验贴。   原文地址:http://www.codeproject.com/Articles/19426/Creating-Your-Own-Custom-Wireshark-Dissector 相关例子源代码地址:http://www.cod
wireshark插件开发(五):C插件
dengdi8115的博客
09-29 762
1. Wireshark对C插件的支持 每个解析器解码自己的协议部分, 然后把封装协议的解码传递给后续协议。 因此它可能总是从一个Frame解析器开始, Frame解析器解析捕获文件自己的数据包细节(如:时间戳), 将数据交给一个解码Ethernet头部的Ethernet frame解析器, 然后将载荷交给下一个解析器(如:IP), 如此等等. 在每一步, 数据包的细节会被解码并显示...
Wireshark插件开发小结
qgw_2000的专栏
02-25 8164
以下是针对Windows平台的插件开发,其它平台非常类似。 1.开发环境准备    1).下载Source code      使用TortoiseSVN,checkout代码(http://anonsvn.wireshark.org/wireshark/trunk)      TortoiseSVN还是相当好用的,直接和windows exploer集成,操作对象就是exploer中的文
Wireshark添加自定义协议解析
lishuangquan1987的博客
12-10 3207
最终效果如下:参考文档:https://mika-s.github.io/topics/此参考文档中7个例子教我们如何编写lua脚本去识别我们自定义协议
wireshark自定义协议插件开发
XXX的博客
11-29 1274
ip_protocol:add(0xff, test_proto) --抓到的0xffff端口的数据,按test_proto的规则来解析。-- 根据flag字段,判断显示info信息 todo。--显示在protocol列的名字。-- pinfo: 显示的信息。-- buffer:包的数据。-- tree:包结构的关系。-- cn 字段解析。-- sn 字段解析。
wireshark插件开发 - C插件解析
Jeffrey.chu的专栏
09-20 1319
相比较而言,C语言就比较麻烦,需要准备一堆开发环境和第三方库,不够简洁,不过C语言的一个优点就是快。然而,Lua语言在脚本语言也是出了名的快,除非报文的流量非常大。   C语言这部分内容相对多些, 主要涉及编译环境的构建,更多更完整的内容,请移步百度阅读: https://yuedu.baidu.com/ebook/ca33e60d3a3567ec102de2bd960590c69ec3d8
Wireshark数据包分析C语言代码qt-master.zip
05-24
Wireshark是一款强大的网络封包分析软件,广泛用于网络故障排查、网络安全分析和协议开发等领域。这个名为"Wireshark数据包分析C语言代码qt-master.zip"的压缩包,很可能包含了一个使用C语言编写的Wireshark插件或...
wireshark_development.rar_wireshark_wireshark开发
09-22
插件可以让你添加新的协议解析器或者自定义显示过滤器。开发插件涉及创建捕获文件、解析函数、UI元素和控制逻辑。指南会详细介绍如何编写插件模块,以及如何与Wireshark主程序进行交互。这一步通常需要对Wireshark的...
Wireshark LUA脚本分析自定义帧格式
qq_40878398的博客
12-06 1068
Wireshark LUA脚本分析自定义帧格式 1. 帧格式 ​ 该帧格式由课设要求引出,本次课设要求在eth0网络接口与Linux内核TCP/IP间串接一个虚拟网络接口vni0,如下图所示: ​ 此报文格式修改为下图所示: 以太帧头部: ​ 目的MAC地址(6字节) = 广播MAC地址; ​ 源MAC地址(6字节) = 发送方eth0的MAC地址; ​ 类型(2字节) = 0xF4F0(即VNI的协议编号); VNI头部: ​ VNI类型(4字节) = 学号后4位数,每个数1个字节; ​ 分组
Wireshark插件开发
Kali与编程
12-18 2008
本文将介绍如何使用Python编写自定义Wireshark插件,包括插件的基本结构和API,以及一个简单的示例。本文将介绍如何使用C编写自定义Wireshark插件,包括插件的基本结构和API,以及一个简单的示例。Python插件与Lua插件类似,可以通过对数据包进行解析和修改、协议分析树的操作、输出过滤等,同时还可以使用Python提供的丰富的库和工具。在Linux操作系统上,可以使用命令行界面。Wireshark插件的结构包括插件名称、插件类型、插件版本、插件描述、插件作者和插件初始化函数等。
wireshark插件开发详细流程(含源码)
热门推荐
yang_chen_shi_wo的博客
06-28 1万+
原文地址:http://www.cnblogs.com/LittleHann/p/3751595.html                                          IM通信协议逆向分析、Wireshark自定义数据包格式解析插件编程学习 相关学习资料 http://hi.baidu.com/hucyuansheng/item/bf2b
使用Lua脚本为wireshark编写自定义通信协议解析器插件
11-29 5663
在网络通信应用中,我们往往需要自定义应用层通信协议,例如基于UDP的Real-Time Transport Protocol以及基于TCP的RTP over HTTP。鉴于RTP协议的广泛性,wireshark(ethereal)内置了对RTP协议的支持,调试解析非常方便。RTP over HTTP作为一种扩展的RTP协议,尚未得到wireshark的支持。在《RTP Payload Form
wireshark 用LUA二次开发插件 解析器(Dissector)
weixin_45939263的博客
06-11 1598
Wireshark是一款流行的网络协议分析工具,它支持多种协议的解析,并且允许用户通过编写插件来扩展其功能。Lua是一种轻量级的编程语言,它被集成到Wireshark中,允许用户编写脚本来自定义协议解析逻辑。创建Lua文件:在文件夹中创建一个新的Lua文件,例如。定义协议:在Lua文件中定义一个新的协议,例如: 编写解析函数:定义一个函数来解析数据包,例如: 绑定协议到端口:如果需要将你的协议绑定到一个特定的端口,可以使用以下代码:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值