如何使用wireshark分析mongodb协议,windows 源码编译 wireshark-3.4.7

最新推荐文章于 2024-03-28 23:25:40 发布
最新推荐文章于 2024-03-28 23:25:40 发布
阅读量4k 收藏 6
点赞数
分类专栏: 网络协议 wireshark 文章标签: wireshark 网络安全 mongodb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/impossble_2017/article/details/124234856
版权

项目需要解析mongodb协议,需分析协议格式,以便编码。

因mongodb中使用bson格式来表述一个文件,略复杂,仅通过mongodb协议标准并不能对该协议格式有一个直观且清晰的认识,而在wireshark中看到的mongodb 报文是被加密的。

故想要通过修改wireshark代码、重新编译wireshark,看到被tls/ssl加密前的mongodb报文,以便对mongodb协议格式有更多的了解,方便编码。

二、获取wireshark-mongodb

链接:https://pan.baidu.com/s/1DNSEOKG6xBL2w1BXMi8Qlg

提取码:ve70

运行wireshark-mongodb目录下的Wireshark.exe即可

效果如下:

三、修改wireshark代码

在wireshark-{version}\epan\dissectors\packet-mongodb.c中,将proto_reg_handoff_m

ongo函数里的ssl_dissector_add(TCP_PORT_MONGO, mongo_handle);注释掉即可

四、编译wireshark

1、编译环境准备

 (1) 准备

操作系统: Windows 10 专业版

Wireshark:  Wireshark-3.4.7

在C盘根目录下创建Development,将Wireshark-3.4.7源码放到Development目录下,修改文件夹名Wireshark-3.4.7为wireshark

 (2) 安装 Chocolatey

管理员身份运行cmd.exe

输入:@"%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe" -NoProfile -InputFormat None -ExecutionPolicy Bypass -Command "[System.Net.ServicePointManager]::SecurityProtocol = 3072; iex ((New-Object System.Net.WebClient).DownloadString('https://community.chocolatey.org/install.ps1'))" && SET "PATH=%PATH%;%ALLUSERSPROFILE%\chocolatey\bin"

验证choco是否安装成功 

(3) 安装VS2022

下载地址:

https://c2rsetup.officeapps.live.com/c2r/downloadVS.aspx?sku=community&channel=Release&version=VS2022&source=VSLandingPage&cid=2030:6d37154b-8fa9-4a8d-979c-dcffc54413d8

选择“使用 C++ 进行桌面开发”,点击安装

(4) 安装perf

下载地址:

https://strawberryperl.com/download/5.32.1.1/strawberry-perl-5.32.1.1-64bit.msi

一路下一步即可

(5) 安装cmake

管理员身份运行cmd.exe

输入:  choco install -y cmake

 添加cmake环境变量

验证cmake是否安装成功

cmake --version

(6) 安装Asciidoctor

管理员身份运行cmd.exe

输入:choco install -y zulu  (安装Asciidoctor需要一java runtime)

输入 :choco install -y asciidoctorj

 验证 asciidoctor是否安装成功

 where asciidoctorj

(7) 安装Xsltproc

管理员身份运行 cmd.exe

输入 choco install -y xsltproc

验证 xsltproc是否安装成功

where xsltproc

(8) 安装 DocBook

管理员身份运行 cmd.exe

输入 choco install -y docbook-bundle

(9) 安装 winflexbison

管理员身份运行 cmd.exe

输入choco install -y winflexbison

(10) 安装qt

Qt下载页面https://iso.mirrors.ustc.edu.cn/qtproject/archive/qt/5.9/5.9.5/qt-opensource

-windows-x86-5.9.5.exe,选择Go open source,注册下载qt-opensource-windows-x86-5.14.1.exe

默认安装即可

2、编译wireshark

(1)、生成wireshark build files

打开vs2022,右键属性页>链接器>优化>链路时间代码生成>使用链接时间代码生成 (/LTCG)

       

打开Visual Studio Command Prompt

      

 设置环境变量

  set WIRESHARK_BASE_DIR=C:\Development

  set CMAKE_PREFIX_PATH=C:\Qt\5.15.2\msvc2019_64

  set PLATFORM=X64

  set WIRESHARK_VERSION_EXTRA=-MasterCom-x64

  

生成wireshark构建文件

cd 到 C:\Development\wireshark目录下

cmake -G "Visual Studio 17 2022" -A x64 ..\wireshark  

(2)、编译wireshark

msbuild /m /p:Configuration=RelWithDebInfo Wireshark.sln

3、测试

运行 C:\Development\wireshark\run\RelWithDebInfo\Wireshark.exe,打开一个mongodb pcap

李江林
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Linux编译wireshark3.0.1.doc
05-27
在linux64位操作系统下编译通过最新版wireshark3.0.1码,保证编译绝对通过!
Windows系统编译Wireshark
kingwan560的专栏
12-17 649
根据官方文档在windows10环境下编译wireshark
Wireshark自定义协议解析器插件C语言开发一
最新发布
@evan_wu163
03-28 895
● 了解 Wireshark 编码规范, 协议解析器的基本原理, 解析器插件的实现方法. 这三个文档分别位于 Wireshark 码的 doc/README.developer, doc/README.dissector 和 doc/README.plugins. doc 目录下的其他 README 文件也对你的开发很有帮助。在实际的工作中,往往需要分析某些私有协议的报文,或者用到官方wireshark没有提供的某些功能,或者需要将Wireshark的报文解析功能移植到自己的特定应用场景中……
Wireshark编译开发
weixin_41697061的博客
01-02 2066
Wireshark编译开发一、搭建开发环境1、说明2、安装Visual Studio 20193、安装Qt4、安装巧克力Chocolatey工具5、使用Choco安装第三方软件6、下载Wireshark使用“Visual Studio 2019”编译使用NSIS制作安装包三、所遇问题1、 Microsoft.CppCommon.target:error MSB6006: “cmd.exe”已退...
wireshark编译
abc19abc91的专栏
01-28 2061
开发环境: 主机:mac pro  虚拟机:virtural box 5.0.14 编译环境:ubuntu14.04(64位) 1.配置环境 1.1安装virtural box最新版本及增强包 1.2安装ubuntu14.04虚拟机 2.下载码 https://www.wireshark.org/download/src/all-versions/wire
Windows编译Wireshark代码 .
lxchsw的专栏
06-10 823
Wireshark最近需要开发Wireshark插件,分析一套协议,于是首先要解决的问题就是如何在windows环境下编译Wireshark编译过程中也借鉴了一些网上的资料,但是基本都有问题,在经历无数次的失败之后的摸索,最终在Wireshark编译成功。 在编译过程中需要一下软件:Visual Studio,Python,Cygwin以及Wireshark代码。1. Visual Studi
计算机网络原理实验报告---Wireshark实验:HTTP协议分析
01-20
使用Wireshark工具对自己电脑的WLAN端口进行抓包,分析其访问一个网站(如www.baidu.com)的过程及所使用协议,并对HTTP客户请求报文和HTTP服务器响应报文格式进行分析。完成如下任务: 1. 给出HTTP请求报文和响应...
C#使用TCP/UDP协议通信并用Wireshark抓包分析数据
02-24
使用Wireshark抓包软件抓取发送的包并分析数据结构,由于涉及到客户端和通信端,可以使用两台电脑,一台电脑编写客户端代码,一台电脑编写服务器端代码,也可以在一台电脑上开两个VS2019同时编译两个端,看自己的...
Wireshark-win64-3.4.7.exe
08-03
Wireshark安装包
Wireshark分析协议数据包
10-11
1.包含IP、UDP 的报文格式和数据包协议,各个字段的含义。 2.包含TCP、ARP、ICMP、DNS 的报文格式和数据包协议,各个字段的含义、双方交互过程。 3.包含SMTP、HTTP的报文格式和数据包协议,各个字段的含义。
wireshark
06-10
wireshark分析问题这几天在看wireshark(ethereal)代码。看代码的主要兴趣点是它的分析模块(dissect)。分析之后他的数据存在哪儿,怎么打印的(-V参数)。我想把分析后的数据,提取出来,存在自己定义的数据结构里面,或者按我自己的格式写入文本中。 看了几天,对一些数据结构,似懂非懂,一些流程也是似懂非懂。可能由于经验不足的原因,搞来搞去就在几个函数,结构体里面打转。好几次以为找到切入点,发现又回来原来的起点。 这两天看晕了。有点打击,水平太差劲了。。呵呵。先这边问问,看看有没有熟悉的朋友。指点一下。先谢谢了。 这样问问题可能太细了。感觉也不大合适。 1. 我应该如何来看代码?如何找到突破点? 2. 有wireshark有了解的朋友,说说你们关于码剖析的体会。 3. 说什么都可以,朋友觉得对我有用,有启发就好。千万别 “我顶,UP啊”。呵呵:emn23:我觉得重要的是看 pcap库 本帖最后由 peidright 于 2010-04-02 16:36 编辑 楼上说得对!。 看代码之前,问下你自己,看代码的目的是什么? 对于 wireshark 来说,你是想学他写界面? 还是抓包? 还是业务逻辑? 界面的话,wireshark 还行 抓包的话,应该看pcap库 业务逻辑的话。不应该看wireshark,看tcpdump.看下啊,:em03:看看这个也许对你有帮助 添加一个基础的RDP解析器 下面我们将循序渐进地设计一个基础的RDP解析器。它依次包含如下构成要素: 包类型字段(占用8比特位,可能的值为:1,初始;2,终结;3,数据); 标志集字段(占用8比特位:0x01,开始包;0x02,结束包;0x04先包); 序列号字段(占用16比特位); 1. 创建解析器 首先您需要选择解析器的类型:内置型(包含在主程序中)或插件型。 插件是容易编写的,先做一个插件型解析器吧。 例1. 解析器初始设定. #ifdef HAVE_CONFIG_H #include "config.h" #endif #include #include void proto_register_rdp(); void proto_reg_handoff_rdp(); static void dissect_rdp(tvbuff_t *tvb,packet_info *pinfo,proto_tree *tree); static int proto_rdp=-1; static dissector_handle_t rdp_handle; static gint ett_rdp = -1; define TCP_PORT_RDP 3389 void proto_register_rdp(void) { proto_rdp=proto_register_protocol( "RDP Protocol", "RDP", "rdp"); } 现在来逐一分析这段代码。首先我们有一些常规的包含文件,最好依惯例在文件开始包含进来。随后是一些函数的前置声明,我们稍后定义它们。 接下来我们定义了一个整型变量"proto_rdp"用于记录我们的协议注册信息。它被初始化为"-1",当解析器注册到主程序中后,其值便会得到更新。这样做可保证我们方便地判断是否已经做了初始工作。将所有不打算对外输出的全局变量和函数声明为"static"是一个良好的习惯,因为这可以保证命名空间不被污染。通常这是容易做到的,除非您的解析器非常庞大以致跨越多个文件。 之后的模块变量"TCP_PORT_RDP"则包含了协议使用的TCP端口号,我们会对通过该端口的数据流进行解析。 solaris10下proc编译问题 >紧随其后的是解析器句柄"rdp_handle",我们稍后对它进行初始化。 至此我们已经拥有了和主程序交互的基本元素,接下来最好再把那些预声明的函数定义一下,就从注册函数"proto_register_rdp"开始吧。 首先调用函数"proto_register_protocol"注册协议。我们能够给协议起3个名字以适用不同的地方。全名和短名用在诸如"首选项(Preferences)"和"已激活协议(Enabled protocols)"对话框以及记录中已生成的域名列表内。缩略名则用于过滤器。 下面我们需要一个切换函数。 例2. 解析器切换. void proto_reg_handoff_rdp(void) { static gboolean initialized=FALSE; if(!initialized) { rdp_handle = create_dissector_handle(dissect_rdp, proto_rdp); dissector_add("tcp.port", TCP_PORT_RDP, rdp_handle); initialized=TRUE; } } 这段代码做了什么呢?如果解析器尚未初始化,则对它进行初始化。首先创建解析器。这时注册了了函数"dissect_rdp"用于完成实际的解析工作。之后将该解析器与TCP端口号相关联,以使主程序收到该端口的UDP数据流时通知该解析器。 至此我们终于可以写一些解析代码了。不过目前我们仅写点儿基本功能占个位置。 例3.解析 static void dissect_rdp(tvbuff_t *tvb,packet_info *pinfo,proto_tree *tree) { if(check_col(pinfo->cinfo, COL_PROTOCOL)) { col_set_str(pinfo->cinfo, COL_PROTOCOL, "RDP"); } if(check_col(pinfo->cinfo,COL_INFO)) { col_clear(pinfo->cinfo,COL_INFO); } } 该函数用于解析传递给它的数据包。包数据由"tvb"参数指向的特殊缓冲区保管。现在我们已深入到协议的细节,对它们您肯定是了若指掌。包信息结构参数"pinfo"包含了协议的基本数据,以供我们更新。参数"tree"则指明了详细解析发生的地方。 这里我们仅做了保证通过的少量工作。前两行检查UI中"协议(Protocol)"列是否已显示。如果该列已存在,就在这儿显示我们的协议名称。这样人们就知道它被识别出来了。另外,如果"信息(INFO)"列已显示,我们就将它的内容清除。 至此我们已经准备好一个可以编译和安装的基本解析器。不过它目前只能识别和标示协议。 为了编译解析器并创建插件,还需要在解析器代码文件"packet-rdp.c"所在目录下创建一些提供支持的文件: - Makefile.am - UNIX/Linux的makefile模板 - Makefile.common - 包含了插件文件的名称 - Makefile.nmake - 包含了针对Windows平台的Wireshark插件makefile - moduleinfo.h - 包含了插件版本信息 - moduleinfo.nmake - 包含了针对Windows平台的DLL版本信息 - packet-rdp.c - 这是您的解析器原代码文件 - plugin.rc.in - 包含了针对Windows平台的DLL资模板 "Makefile.common"和"Makefile.am"文件中涉及到相关文件和解析器名称的地方一定要修改正确。"moduldeinfo.h"和"moduleinfo.nmake"文件中的版本信息也需要正确填充。一切准备妥善后就可以将解析器编译为DLL或共享库文件了(使用nmake工具)。在wireshark文件夹下的"plugins"文件夹中,建立"rdp"文件夹。将修改过的Makefile.common,Makefile.am,moduleinfo.nmake,moduldeinfo.h,Makefile.nmake及packet-rdp.c文件考到"rdp"文件夹下,然后进行编译,rdp插件自动生成完整,就可以正常工作了。 1. 解析协议细节 现在我们已经有了一个可以运用的简单解析器,让我们再为它添点儿什么吧。首先想到的应该就是标示数据包的有效信息了。解析器在这方面给我们提供了支持。 首先要做的事情是创建一个子树以容纳我们的解析结果。这会使协议的细节显示得井井有条。现在解析器在两种情况下被调用http://www.boomss.com:其一,用于获得数据包的概要信息;其二,用于获得数据包的详细信息。这两种情况可以通过树指针参数"tree"来进行区分。如果树指针为NULL,我们只需要提供概要信息;反之,我们就需要拆解协议完成细节的显示了。基于此,让我们来增强这个解析器吧。 例4 static void dissect_rdp(tvbuff_t *tvb,packet_info *pinfo,proto_tree *tree) { proto_item *ti=NULLV; if(check_col(pinfo->cinfo,COL_PROTOCOL)) { col_set_str(pinfo->cinfo,COL_PROTOCOL,"RDP"); } if(check_col(pinfo->cinfo,COL_INFO)) { col_clear(pinfo->cinfo,COL_INFO); } if(tree) { ti = proto_tree_add_item(tree, proto_rdp, tvb, offset, -1, FALSE);} } 这里我们为解析添加一个子树。它将用于保管协议的细节,仅在必要时显示这些内容。 我们还要标识被协议占据的数据区域。在我们的这种情况下,协议占据了传入数据的全部,因为我们假设协议没有封装其它内容。因此,我们用"proto_tree_add_item"函数添加新的树结点,将它添加到传入的协议树"tree"中,用协议句柄"proto_rdp"标识它,用传入的缓冲区"tvb"作为数据,并将有效数据范围的起点设为"0",长度设为"-1"(表示缓冲区内的全部数据)。至于最后的参数"FALSE",我们暂且忽略。 做了这个更改之后,在包明细面板区中应该会出现一个针对该协议的标签;选择该标签后,在包字节面板区中包的剩余内容就会高亮显示。 现在进入下一步,添加一些协议解析功能。在这一步我们需要构建一组帮助解析的表结构。这需要对"proto_register_rdp"函数做些修改。首先定义一组静态数组。 例5 定义数据结构 static hf_register_info hf[]= { { &hf;_rdp_version, { "TPKT Header:Version", "rdp.version",
windowswireshark编译方法
03-10
有想在Windows编译wireshark的,该手册可以帮助你,我就是用这个手册进行编译的,然后进行了一点修改。
mongodb wireshark显示
YW
05-16 220
mongodb wireshark展示为ssl,只需要禁用tls,然后把当前会话解码为mongo就可以。
Wondow10 编译 Wireshark 码(Windows10 + Vs2019 +Qt5.12)
刘洋_heaven的博客
06-11 2061
1.编译环境 Windows10 + Vs2019 Qt5.12 Python3 2.官方教程 wireshark提供windows平台的编译方法,点此查看 3.遇到的问题 理论上安装官方教程基本不会出错,但是在 2.2.12.Generate the build files中的第一步 cmake -G "Visual Studio 16 2019" -A x64 ..\wireshark 就出现报错。 cmake命令会输出很长一串输出,如果cmake失败,关键是区别定位哪些是导致c.
wireshark编译安装
rclijia的专栏
10-09 1282
想在linux系统下使用高版本的tshark,其实就是wireshark使用yum安装,最新版本只有1.10.14,太旧了,有些功能不支持。 还是下载码,自己编译吧, ​​​​​​https://github.com/wireshark/wireshark/releasesj​​​​​​​j 最后下载了个2.xx版本, 3.xx使用cmake编译,暂时没编译过,以后再更新。 下载代码包,解压,执行如下命令: ./autogen.sh ./configure --with-qt=no
windows编译wireshark代码
angus521521的博客
01-27 491
终于在windows上成功编译wireshark代码,个中酸辛,都是泪。。只能说要多试! windows编译wireshark共用到三个东西:wireshark代码、python、cygwin 下面是编译成功所用的三种软件的版本: wireshark代码: 我用1.12.7和1.12.8都成功了,各种版本可以从https://www.wireshark.org/downloa...
WireShark编译心得
李永亮的专栏
01-11 3676
WireShark是Ethereal的后续版本,我的编译工作从0.99.4版本开始。编译首先从Linux开始,Linux比较简单。编译前需要安装Glib,GTK等开发包。一般的工具Linux都会有,然后运行configure,接着Make。一般来说,问题不是很大。编译的时候需要用到Perl,Python等脚本语言。可能会遇到问题的地方是SNMP。建议如果不需要就不安转NetSnmp。如果出现S
Wireshark使用教程:第2章 编译/安装Wireshark
自有贵人相助
01-21 3786
2.1. 须知 万事皆有开头,Wireshark也同样如此。要想使用Wireshark,你必须: · 获得一个适合您操作系统的二进制包,或者 · 获得文件为您的操作系统编译。 目前,只有两到三种Linux发行版可以传送Wireshark,而且通常传输的都是过时的版本。至今尚未有UNIX版本可以传输Wireshark . Windows的任何版本都不能传输Wireshark
使用 Wireshark 分析 TCP 协议
12-21
Wireshark是一个开的网络封包分析软件,可以用于分析和监控网络流量。下面是使用Wireshark分析TCP协议的步骤: 1. 打开Wireshark软件,并选择要进行抓包的网络接口。 2. 在过滤器中输入"tcp",以便只捕获TCP协议的数据包。 3. 点击开始捕获按钮,Wireshark将开始捕获网络流量。 4. 进行一些TCP通信操作,例如访问网页或发送电子邮件。 5. 停止捕获,Wireshark将显示捕获到的数据包列表。 6. 选择一个TCP数据包,并查看其详细信息,包括IP地址、目标IP地址、端口、目标端口、序列号、确认号等。 7. 可以进一步分析TCP数据包的内容,例如查看TCP头部信息、载荷数据等。 8. 根据捕获到的数据包,可以分析TCP连接的建立过程、数据传输过程以及连接的关闭过程。 使用Wireshark分析TCP协议可以帮助我们深入了解TCP连接的建立、数据传输和连接的关闭过程,以及检测和解决网络通信中的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值