雕虫小技

Wireshark从2.6.0版本开始支持解析Protobuf和gRPC协议，但到3.3.0/3.4.0版本相关功能才比较完备，目前已支持根据.proto文件里的定义解析Protobuf消息等功能。本文以几个示例说明Wireshark Protobuf和gRPC内置解析器的使用方法。

本文讲述如何用wireshark支持的lua脚本语言编写解析器（dissector)来解析HTTP Body部分的内容。Wireshark本身提供的HTTP Body（MIME）媒体内容的解析有限，多为直接显示文本内容，但有时我们在查看抓包时希望能看到进一步的协议解析结果。本文介绍的内容可以帮助有这方面需要的朋友直接编写解析器，进一步解析HTTP Body部分（无论是GET/POST的HTTP B

在用wireshark lua编写自己的协议解析器dissector时，是可以在包字节面板（Packet Bytes pane）上加入自己的tab的，就像HTTP跨越多个TCP包时，会加上一个Reassembled TCP面板到字节面板里，用于显示整个完整的HTTP消息。 样例代码如下：--Test add new tab to "Packet Bytes" pane (just li

1. Lua script can not get "data-text-lines" protocol data:for example, local dataline = Field.new("data-text-lines")local data = dataline()tostring(data.value)       is not ok "FT_" error 

本文介绍如何用wireshark lua编写解析RTP Payload的解析器（dissector）。

在分析抓包时，有时需要横跨多个包计算，比如计算所有RTP包的timestamp与之前RTP包的timestamp的差值，这样可以一目了然看出timestamp是否有异常波动。理想方式是把这个计算出来的差值直接放到RTP信息后面，但wireshark lua目前没有提供可以在某协议dissector解析完后调用自己lua写的dissector的方法，除了http body可借助一些特殊的tabl

一、问题：用Wireshark抓包查看HTTP POST消息，Content-Type为application/x-www-form-urlencoded（对应HTML为那种提交后的网络包）时不太方便，因为抓包只显示了原始的param1=value1&param2=value2这样的数据，没有把参数提出出来，并对参数进行url decode，如下图所示： 二、问题解决过程及心得

抓取一个包含H.264 Payload RTP包的SIP会话或RTSP会话后，用Wireshark的Play功能只能播放声音，不能播放视频。把RTP payload直接导出成文件后也是不能直接播放的，因为H.264 over RTP封包是符合RFC3984规范的，必须按照该规范把H.264数据取出来后，组成NALU，放到avi/mp4或裸码流文件等容器里后才能播放。     本人写了一个wir

<br />Wireshark解析HTTP GET方法不会解析URI里Query字符串里的参数（通常由GET方式提交form数据），本文介绍用lua编写一个简单的协议解析器，让这些参数解析出来，并显示在wireshark协议解析窗口里。<br /> <br />首先编写以下解析器lua脚本（用文本编辑器编辑即可），取文件名为my_http_querystring_decoder.lua：<br />-- Decode param=value from query string of http request