如何在wireshark里用lua脚本编写dissector解析HTTP BODY (after TCP reassembled)

最新推荐文章于 2024-08-14 17:11:11 发布
最新推荐文章于 2024-08-14 17:11:11 发布
阅读量1w 收藏 7
点赞数
分类专栏: Web Wireshark 文章标签: lua 脚本 tcp table 文本编辑 plugins
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jasonhwang/article/details/5526383
版权

本文讲述如何用wireshark支持的lua脚本语言编写解析器(dissector)来解析HTTP Body部分的内容。Wireshark本身提供的HTTP Body(MIME)媒体内容的解析有限,多为直接显示文本内容,但有时我们在查看抓包时希望能看到进一步的协议解析结果。本文介绍的内容可以帮助有这方面需要的朋友直接编写解析器,进一步解析HTTP Body部分(无论是GET/POST的HTTP Body,还是应答消息的Body)。另外,用lua的好处是不需要用C编译器来写解析器,只要用户文本编辑器写一个lua脚本就可以用了。

 

我尝试了几种方法,最后在看了wireshark http相关源代码后才找到了比较理想的解析方法。中间走了一些弯路:

1. 刚开始可能认为用postdissectors可以,但是post-dissector解析器本身只能得到一个个独立的当前包的数据,而在HTTP Body媒体内容跨多个TCP包时post-dissector方式就不行了(所谓的reassemble PDU问题)。

2. 直接写dissector来替换http协议的dissector,在自己写的dissector里调用http后再解析http body的方式也不合适。

 

最后看到wireshark http解析代码里创建了一个media_type的dissector table,专门用于解析媒体内容的,我们只用编写dissector注册到media_type表里,而不是tcp.port表里。

 

具体dissector代码样例如下:

从以上代码可以看出,当我们希望解析那种HTTP Body媒体类型时,就在media_type里注册这种类型。以上代码的含义是自己编写的dissector替换原来的HTTP Body媒体类型Content-Type为"application/x-www-form-urlencoded"、"text/html"和"image/jpeg"的解析器(实际上例子只是自己加了一个节点,然后再在这个节点下用原来的解析器再解析了一下)。

 

在实践中建议大家还是针对每种媒体类型编写一个dissector,然后用类似以下代码注册到media_type:

         local media_type_table = DissectorTable.get("media_type")

         media_type_table:add("application/x-www-form-urlencoded", your_dissector)

 

一个实际的例子请参考《用Wireshark lua编写的协议解析器查看Content-Type为application/x-www-form-urlencoded的HTTP抓包》(http://blog.csdn.net/jasonhwang/archive/2010/04/25/5525700.aspx),该例子是在wireshark抓包界面树里进一步解析Content-Type为"application/x-www-form-urlencoded"的form提交的HTTP请求包。

 

注:wireshark版本为1.2.7

 

 

jasonhwang
关注
专栏目录
Lua脚本编写Wireshark插件解析第三方私有协议
悦分享
07-25 4303
echo_500.lua”),通过这样的方式加载自定义的插件。目前对于Wireshark来说,C/C语言和Lua脚本是编写插件的主流语言,对于C/C语言这类语言来说,不可否认它具有非常高的性能,但是其编译配置较为麻烦,每次修改都要重新编译,而Lua脚本虽然解析效率没前者那么高,但是它的语法和修改都非常简单,可以提高了开发效率。当然,有些工控流量可能比本文的例子相对复杂一些,可能包含加密和签名等字段,这就需要更长的逆向分析时间,只要把协议数据的报文格式了解清楚了,那么编写插件也是水到渠成的事情。......
wireshark Lua脚本编写
vegeta852的博客
11-02 855
wireshark Lua脚本编写 Lua语言是脚本语言,只需要编写相关协议解析脚本内容,然后由wireshark加载即可(Wireshark自带Lua解析器),wireshark封装丰富的接口给Lua使用,一些有用的docs: https://www.wireshark.org/docs/wsdg_html_chunked/index.html 第十章: 10. Lua Support in Wireshark 第十一章: 11. Wireshark’s Lua API Reference Manual
使用lua编写Wireshark(Ethereal)的dissector插件
路人甲的专栏
04-27 3865
使用lua编写Wireshark(Ethereal)的dissector插件 dissector插件可以用来对特定的协议内容进行分析展示,在分析自己实现的应用层协议时还是很有用的。dissector插件一般用C来实现,具体如何实现可以参考Wireshark代码目录下面的/epan/dissectors中的源代码和plugins目录下面的源代码。 一些简单的对性能要求不高的dissect
wireshark使用Lua编写dissector
05-21
本文介绍了如何使用Lua编写wiresharkdissector,通过Lua可以快速写出我们自己的dissector,从而可以分析网络数据包。
配置WSL-windows系统保姆级教程:还在安装虚拟机?快来试试WSL!轻松使用Linux在Windows上开发和运行应用。
最新发布
weixin_53028400的博客
08-14 3058
适用于 Linux 的 Windows 子系统 (WSL) 是 Windows 操作系统的一项功能。WSL 所需的资源(CPU、内存和存储)少于完整虚拟机所需的资源。 WSL 还允许结合 Windows 命令行、桌面和 Store 应用运行 Linux 命令行工具与应用,并允许从 Linux 内部访问 Windows 文件。 这样,你便可以根据需要针对相同的文件集使用 Windows 应用和 Linux 命令行工具。
wireshark】插件开发(三):Lua插件 Dissector
dengdi8115的博客
09-26 269
// TODO: 部分内容需要修改 1. 骨架 首先新建一个文件,命名为foo.lua,注意此文件的编码方式不能是带BOM的UTF8,否则wireshark加载它时会出错(不识别BOM): -- @brief Foo Protocol dissector plugin -- @author zzq -- @date 2015.08.12 -- create a new...
wiresharkLUA二次开发插件 解析器(Dissector)
weixin_45939263的博客
06-11 1272
Wireshark是一款流行的网络协议分析工具,它支持多种协议的解析,并且允许用户通过编写插件来扩展其功能。Lua是一种轻量级的编程语言,它被集成到Wireshark中,允许用户编写脚本来自定义协议解析逻辑。创建Lua文件:在文件夹中创建一个新的Lua文件,例如。定义协议:在Lua文件中定义一个新的协议,例如: 编写解析函数:定义一个函数来解析数据包,例如: 绑定协议到端口:如果需要将你的协议绑定到一个特定的端口,可以使用以下代码:
OpenResty下通过lua获取http请求body
码者人生的技术博客
05-21 1856
调试openresty时候发现lua下经常获取不到http请求的body,现在经过验证有了解决方法
bmp-dissector:由lua编写的用于wireshark的BGP监控协议(BMP)解析
06-23
lua 编写的用于wireshark的BGP监控协议(BMP)解析器。 参考 用法 视窗 注释掉“%WIRESHARK%\init.lua”中的“disable_lua=true”。 (大概配置) bmp.lua 复制到“%WIRESHARK%\plugins\<version>\”或“%APP...
使用Lua脚本wireshark编写自定义通信协议解析器插件
10-08
使用Lua脚本wireshark编写自定义通信协议解析器插件 .
使用lua编写Wiresharkdissector插件
janeeyer的专栏
06-26 1512
使用lua编写Wiresharkdissector插件Dissector插件可以用来对特定的协议内容进行分析展示,在分析自己实现的应用层协议时还是很有用的。dissector插件一般用C来实现,具体如何实现可以参考Wireshark代码目录下面的/epan/dissectors中的源代码和plugins目录下面的源代码。一些简单的对性能要求不高的dissector插件也可以使用Lua来实现。Wireshark已经嵌入了对Lua的支持。下面就是一个简单的例子:  Java代码 -- 定义协议,可以在wire
Wireshark基本使用(1)
diaohubie5623的博客
12-19 1115
原文出处: EMC中文支持论坛 按照国际惯例,从最基本的说起。 抓取报文: 下载和安装好Wireshark之后,启动Wireshark并且在接口列表中选择接口名,然后开始在此接口上抓包。例如,如果想要在无线网络上抓取流量,点击无线接口。点击Capture Options可以配置高级属性,但现在无此必要。 点击接口名称之后,就可以看到实时接收的报文。Wireshark会捕...
自定义协议_Wireshark 如何分析自定义协议 - Lua Dissector
weixin_39765209的博客
12-23 705
一篇陈年旧文,记录开发中使用Wireshark Lua Dissector解析自定义协议的经历。当前版本Wireshark支持lua吗?从官方下载的版本都是支持Lua的(5.2.4),如果是自己从源码编译,可以通过查看 "帮助" -> "关于" 出现的弹窗中,编译信息中是否包含LuaDissector 放在哪查看 "帮助" -> "关于" 窗口中的"文件夹"选项夹,可以看到当前使用...
wireshark抓包看post请求的body是什么样子
peony的博客
02-05 9985
今天在发送请求时遇到了formdata的格式问题,就突然想到,我每天发送的post请求,他的body是什么样子的,所以用wireshark抓包看了一下,记录下来 本文章主要针对两种格式的post请求,JSON和formdata。两个测试的样例代码就不提供了,很简单。 JSON格式的post 向后台发送了一个简单的JSON { "name": "zhangsan", "age": "12" } 下面看wireshark: 上面是wireshark帮我们翻译过的,便于我们看,下面是真实在网.
如何用Wireshark lua编写的协议解析器,查看HTTP包的URI/URL的Query String的参数
雕虫小技
07-02 1万+
<br />Wireshark解析HTTP GET方法不会解析URIQuery字符串的参数(通常由GET方式提交form数据),本文介绍用lua编写一个简单的协议解析器,让这些参数解析出来,并显示在wireshark协议解析窗口。<br /> <br />首先编写以下解析lua脚本(用文本编辑器编辑即可),取文件名为my_http_querystring_decoder.lua:<br />-- Decode param=value from query string of http request
Wireshark lua编写的协议解析器查看Content-Type为application/x-www-form-urlencoded的HTTP抓包
热门推荐
雕虫小技
04-25 2万+
一、问题:用Wireshark抓包查看HTTP POST消息,Content-Type为application/x-www-form-urlencoded(对应HTML为那种提交后的网络包)时不太方便,因为抓包只显示了原始的param1=value1&param2=value2这样的数据,没有把参数提出出来,并对参数进行url decode,如下图所示: 二、问题解决过程及心得
WireShark使用lua接口截获网络数据
john_crash的专栏
04-01 4909
wireshark可以使用lua来扩展wireshark的功能。 例如你可以用wireshark结合lua来做一个截获http传输并存储到磁盘的脚本。 首先定义一个监听器用来监听http数据包。local tap = Listener.new("http")然后定义需要截获的分析好的数据,这需要使用Field对象。 例如local host = Field.new("http.host")-
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值