Wireshark Lua插件自定义

最新推荐文章于 2024-03-16 16:25:55 发布
最新推荐文章于 2024-03-16 16:25:55 发布
阅读量2.6k 收藏 16
点赞数 3
分类专栏: 开发工具 协议 文章标签: Wireshark lua plugin
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjxojm/article/details/92760062
版权

       近期工作中刚好有实现自定义的UDP相关协议,用Wireshark时只能给出原始的字节流,观察起来确实十分不便,为此研究了一下Wireshark的Lua插件实现,在此记录一下。

一、配置执行Lua脚本

       首先通过菜单中的"About Wireshark"查看一下Wireshark对应Lua引擎的支持情况,如下图所示:

        默认安装路径下会有一个init.lua(Mac环境下的路径在/Applications/Wireshark.app/Contents/Resources/share/wireshark),它是Wireshark启动过程中执行的第一个lua脚本,一般来说我们可以在此文件中添加dofile函数调用其它lua脚本,从而实现lua扩展插件,dofile是lua基础库提供函数,用于调用执行其它lua脚本,例如init.lua默认最后一句是:

dofile(DATA_DIR.."console.lua")

        该console.lua的功能是在主菜单中Tool下创建一个Lua子菜单,提供一些Lua Console等功能。

二、解析前的准备

       在解析开始前,要先理清一下要解析的协议编码方式。以UDP承载的TLV消息为例,消息格式如下所示:

      而TLV字段顾名思义包含Tag、Length和Value三个部分:

       我们定一个Tag为1的TLV代表一个value参数,其值为4字节整数, Tag为2的TLV代表一个content参数,其值为UTF字符串。使用UDP消息固定向2555端口发送,抓包的示例如下所示:

三、Wireshak Lua API

         Wireshark的Lua API可以参考其用户手册的第10章和第11章,在写具体脚本时需要不时地进行查询。

         主要需要了解的基本对象和方法包括:

         1. Proto表示协议

         2. ProtoField表示协议对应字段

         3. Proto的dissector方法用于实际的解析工作,包含三个入参buffer(Tvb)、pinfo(Pinfo)和tree(TreeItem),其中buffer表示原始的数据字节缓存、pinfo和tree代表的显示区域如下:

         4. DissectorTable协议解析表

         5. Dissector协议解析器

         了解上述概念后可以查一下对应用户手册详细了解一下,后续就可以开始实际的Lua脚本编写。

四、Lua脚本

-- 协议声明
local dream_proto = Proto("Dream-Proto","UDP Protocol for Test","Dream UDP Protocol")
-- 协议字段定义
local f_msg_type = ProtoField.uint16("dream.msg_type","MsgType",base.DEC, {[1] = "DemoMessage"})
local f_msg_len = ProtoField.uint16("dream.msg_length", "MsgLength", base.DEC)
local f_msg_id = ProtoField.uint32("dream.msg_id","MsgId", base.DEC)
local f_value = ProtoField.uint32("dream.value", "TLVValue", base.DEC)
local f_content = ProtoField.string("dream.content", "TLVContent")
-- 协议字段注册
dream_proto.fields = {f_msg_type,f_msg_len,f_msg_id,f_value,f_content}

local arr_msg_type = {
    [1] = "DemoMessage"
}

-- 协议解析逻辑
function dream_proto.dissector(buffer,pinfo,tree)
    -- 设置Wireshark包列表中Protocol列所对应的该协议名称
    pinfo.cols.protocol:set("Dream-UDP")

    local buffer_len = buffer:len()
    -- 在具体包信息创建下新建Dream UDP Message协议项根节点
    local proto_tree = tree:add(dream_proto, buffer(0, buffer_len), "Dream UDP Message")

    local offset = 0

    local msg_type = buffer(offset, 2):uint()
    -- 在协议项根节点中增加解析后的MsgType字段
    proto_tree:add(f_msg_type, buffer(offset, 2))
    offset = offset + 2

    -- 在协议项根节点中增加解析后的MsgLength字段
    proto_tree:add(f_msg_len, buffer(offset,2))
    offset = offset + 2

    local msg_id = buffer(offset, 4):uint()
    -- 在协议项根节点中增加解析后的MsgId字段
    proto_tree:add(f_msg_id, buffer(offset,4))
    offset = offset + 4

    -- 设置Wireshark包列表中Info列所对应的该协议包的描述信息
    pinfo.cols.info:set(arr_msg_type[msg_type].." with id="..msg_id)

    while(offset < buffer_len)
    do
        local tag = buffer(offset, 2):uint()
        offset = offset + 2

        local len = buffer(offset, 1):uint()
        offset = offset + 1

        if tag == 1 then
           -- 在协议项根节点中增加解析后的Value字段
           proto_tree:add(f_value, buffer(offset, len))
        elseif tag == 2 then
           -- 在协议项根节点中增加解析后的Content字段
           proto_tree:add(f_content, buffer(offset, len))
        end
        offset = offset + len
    end
end

-- 将协议分析脚本注册至UDP 2555端口
DissectorTable.get("udp.port"):add(2555,dream_proto)

有了之前的基础和上面注释,相信上面的代码不难理解,在init.lua中dofile调用该脚本,重启wireshark后,解析结果如下所示:

除了内容展示外,根据字段过滤的功能实际也已经加上,如下图所示:

例如根据dream.msg_id过滤如下所示:

五、端口复用

        在实际的过程中,我们很有可能希望通过消息的某些特征进行协议的解析,例如UDP消息以某固定字节数组开始,而不是通过上述的绑定2555端口的方式。对于这种需求的实现,很遗憾没有目前我暂时没有找到合适的方式,有线索说可以通过heuristic dissector来实现,但是试验了一下似乎没有什么效果,具体可以参照一下stackoverflow中的问题how-to-get-wireshark-heuristic-dissector-work

        除了上述这种需求外,还可能遇到端口复用的情况,比如在实际过程中,2555端口除了接收上述定义的这种TLV包之外,还接收了其它协议的包,我们以SIP协议为例子,如何处理这种状况呢?可以在dissector函数中调用其它dissector来进行,示例如下:

local sip_dissector = Dissector.get("sip")
......
if .....
else
   sip_dissector:call(buffer,pinfo,tree)
end
.......

         具体可以参照How wireshark dissect correctly with two lua dissectors on the same port

六、其它技巧

        在Wireshark Tools菜单的Lua子菜单中打开Console和Evaluate,可以在Evaluate中输入lua进行一定的试验和打印(使用debug函数),示例如下所示:

 

DreamerJ
关注
  • 3
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wireshark_lua:用于wiresharkLUA脚本
05-31
lua文件 WiresharkLUA 扩展,用于打印服务器处理 NFS 请求所花费的时间。 用法: # for life capture $ tshark -q -X lua_script:nfs.lua -f " port 2049 " # or if nfs trafic is not on a standard port ( pNFS DS ) $ tshark -q -X lua_script:nfs.lua -f " port 32049 " -d tcp.port==32049,rpc # for read from existing capture file capture file $ tshark -q -r nfs.dump -X lua_script:nfs.lua # or if you need to avoid temp files $ dumpca
wireshark编写lua插件并调试打印
sun007700的专栏
11-28 761
wireshark
使用lua作为wireshark的私有协议解析插件
qq_41718404的博客
03-04 2593
--定义协议(第一个参数体现在过滤器中,第二个参数描述信息) local hss_proto=Proto("Hss","Hss Protocol") --定义字段(第一个参数为过滤条件,第二个参数为Tree列表中显示的名字, --后面可以指定不同的进制显示方式:HEX为16进制,DEC为10进制) --uint8,uint16,uint24,uint32分别表示1,2,3,4字节,即该字段的长...
使用Lua编写Wireshark解析ProtoBuf插件
最新发布
Kayn_Liu的博客
03-16 1217
使用Lua编写插件解析Wireshark中的ProtoBuf协议
lua语言编写Wireshark插件解析自定义协议
08-03
lua语言编写Wireshark插件解析自定义协议
pcapng-test-generator:Wireshark Lua插件可生成pcapng测试捕获文件
05-12
pcapng-test-generator Wireshark Lua插件可生成测试捕获文件 概述 这是tshark(Wireshark的命令行版本)的Lua插件,生成可用于测试pcapng文件读取器/解析器的捕获文件。 创建该文件是为了为Wireshark的测试套件提供测试捕获文件,但也可能对其他pcapng文件读取软件很有用。 该插件在该存储库的“ output_le”和“ output_be”目录中生成文件。 第一个是小字节序格式的测试捕获,第二个是大字节序格式的测试(即,就像大字节序捕获设备已生成文件一样)。 您无需使用Lua插件即可在输出目录中使用测试捕获文件-我仅包括Lua代码,以防有人想要添加更多测试或检查其功能。 每个测试捕获文件都会自动记录在同名的“ .txt”文件中。 注意事项 您将需要Wireshark / tshark版本1.12或更高版本才能使用Lua插件
Wireshark内嵌解析协议的LUA脚本
weixin_46946968的博客
11-22 2001
Wireshark官网对lua插件的API介绍英文的,看起来很头疼,小编这里是下载个网易有道翻译截图翻译的。最头疼的还不是这个,而是怎么调用这些API,从何下手才是最头疼的,只能通过代码边用边熟悉了。下面我给的是一些常用的API以及在网址的位置。
如何用wireshark加载自定义.lua脚本
热门推荐
笔者从事电信媒体开发多年,愿意将多年的开发经验分享给同行
03-18 1万+
指导wireshark加载自定义lua脚本文件
Wiresharklua脚本介绍
Little_Eyelash的博客
03-26 7813
Wiresharklua脚本介绍 概述 Wireshark是非常强大的报文解析工具,是网络定位中不可缺的使用工具,在物联网中很多为自定义协议,wireshark无法解析,此时lua脚本就有了用武之地。Lua是一个脚本语言,不需要编译可以直接调用,完美解决了自定义报文解析。 代码框架 -- create a new dissector local NAME = "Doip" local PORT = 13400 local Doip = Proto(NAME, " Doip Protocol")
wireshark应用lua解析自定义协议
游青的博客
02-11 1969
wireshark应用lua解析自定义协议
wireshark自定义协议解析插件实现
Crazy177的博客
07-30 1503
如何使用lua实现私有协议在wireshark的解析插件编写
Wireshark解析自定义协议
02-20
利用Wireshark解析自定义协议,以portal协议为实例,并利用LUA脚本进行解释。
wireshark lua 插件 解析提取网络报文传输内容(文本,多媒体,等信息)
12-14
1. windows 下 安装 wiresshark (2.2.6测试没有问题)版本最好是最新的版本 老版本好像会报一个tshark错误 2. 安装好wiresshark后的目录(**/**/Wireshark)下创建一个 lua 文件夹。把root3.0放在当前文件夹下 并解压 3. 在wiresshark目录下 init.lua 文件目录添加上一行 dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 4. 最好用tshark 命令读包。 tshark.exe -q -r 报文路径 注意: windows 下最好是不用的时候把 init.lua dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 这行注释掉。要不然会产生很多文件拖延文件打开速度 {liunx 下也可以 不过要加上一个环境变量。否则会报找不到文件。具体的太久了忘记了!!}
解决wireshark打开错误
weixin_30736301的博客
10-08 781
错误提示如下:    Lua: Error during loading: [string "/usr/share/wireshark/init.lua"]:44: dofile has been disabled due to running Wireshark as superuser. See https://wiki.wireshark.org/CaptureSetup...
Wireshark LUA脚本分析自定义帧格式
qq_40878398的博客
12-06 873
Wireshark LUA脚本分析自定义帧格式 1. 帧格式 ​ 该帧格式由课设要求引出,本次课设要求在eth0网络接口与Linux内核TCP/IP间串接一个虚拟网络接口vni0,如下图所示: ​ 此报文格式修改为下图所示: 以太帧头部: ​ 目的MAC地址(6字节) = 广播MAC地址; ​ 源MAC地址(6字节) = 发送方eth0的MAC地址; ​ 类型(2字节) = 0xF4F0(即VNI的协议编号); VNI头部: ​ VNI类型(4字节) = 学号后4位数,每个数1个字节; ​ 分组
wireshark协议解析器 源码分析 封装调用
whatday的专栏
04-22 7089
源码分析 Wireshark启动时,所有解析器进行初始化和注册。要注册的信息包括协议名称、各个字段的信息、过滤用的关键字、要关联的下层协议与端口(handoff)等。在解析过程,每个解析器负责解析自己的协议部分, 然后把上层封装数据传递给后续协议解析器,这样就构成一个完整的协议解析链条。 解析链条的最上端是Frame解析器,它负责解析pcap帧头。后续该调用哪个解析器,是通过上层协议注册han...
wireshark自定义lua插件学习记录
wc_12345654321的博客
08-23 241
1.对自定义UDP报文解析的Lua插件 使用WiresharkLua脚本解析自定义协议 2.对自定义TCP报文解析的Lua插件 wireshark插件开发 - 自定义协议 3.TCPdump 抓包 wireshark进行解析的相关操作 tcpdump抓包,并保存为文件 tcpdump抓包结合wireshark进行分析 tcpdump抓包与Wireshark分析 网络抓包分析–tcpdump及Wireshark的使用
Wireshark解析器(Dissector)插件-Lua
heusunduo88的博客
03-30 1631
Wireshark解析器(Dissector)插件-Lua
wireshark lua插件不按端口解析,解析任何字段
qq_30310551的博客
07-26 167
以上定义一个名为myproto的解剖器(Dissector),并且将myprot注册到解剖器表(DissectorTable)中,通过端口进行关联,但是如果协议不指定端口的时候,解析起来就需要手动指定协议,比较麻烦。
wireshark lua插件 ProtoField.uint32 使用
08-03
### 回答1: 非常感谢您的问题。我了解到您对于wireshark lua插件 ProtoField.uint32的使用有疑问。 首先,ProtoField.uint32是wireshark lua插件中的一个函数,用于指定字段的类型为32位的无符号整数。它的使用方法是在wireshark的脚本中调用该函数,并传递相关参数,如字段名称、描述、偏移量等,以便wireshark能够正确地解析协议中的数据。 如果您在使用ProtoField.uint32时遇到问题,建议您查看wireshark官方文档或相关的开发者社区,以获取更详细的帮助和支持。如果您需要更具体的技术指导或解决方案,可以向相关专业人士或开发者咨询,或者寻找更详细的教程和示例。 再次感谢您的提问,希望我的回答能够对您有所帮助。如果您有其他问题或需要进一步的帮助,请随时联系我。 ### 回答2: Wireshark是一款开源的网络协议分析工具,可以用于抓取和分析网络数据包。它支持使用Lua语言编写插件来扩展其功能。 Wireshark提供了一个名为ProtoField.uint32的函数,它用于创建一个新的网络协议字段,该字段的类型为无符号32位整数。ProtoField.uint32函数的语法如下: ```lua ProtoField.uint32(name, abbreviation, base, mask, [display]) ``` 其中参数的含义如下: - name:字段的名称,用于在显示过滤器和面板中标识该字段。 - abbreviation:字段的缩写,用于在协议分析结果中显示。 - base:字段的进制表示方式,可以为2、10、16之一,分别代表二进制、十进制和十六进制。 - mask:字段的掩码,用于提取关键信息。可以留空或者设置为nil,表示不使用掩码。 - display:字段的显示格式,可选参数。 使用ProtoField.uint32创建的字段可以在协议解析器脚本中使用,通过访问协议分析树中的相应字段对象获取字段的值。例如,可以通过以下方式获取字段值: ```lua local field = ProtoField.uint32("my_protocol.field_name", "My Field", base.DEC) -- ... function my_protocol.dissector(buffer, pinfo, tree) -- ... local field_value = buffer(0, 4):uint() local field_item = tree:add(field, buffer(0, 4)) -- ... end ``` 在上述例子中,我们定义了一个名为"my_protocol.field_name"的字段,缩写为"My Field",进制表示方式为十进制。然后在协议解析器的dissector函数中,使用buffer(0, 4):uint()获取前4个字节的无符号32位整数值,并将其添加到协议分析树中。 通过WiresharkLua插件和ProtoField.uint32函数,我们可以轻松地创建和使用自定义的网络协议字段,以满足特定协议的分析需求。 ### 回答3: Wireshark是一款开源的网络协议分析工具,它支持使用Lua编写插件来扩展其功能。在Wireshark中,ProtoField.uint32是一种用于表示无符号32位整数的数据类型,可以在Lua插件中使用它来定义和访问协议字段。 使用ProtoField.uint32,我们可以在Lua插件中定义一个协议字段,并指定其名称、显示的标题、描述等属性。例如,下面是一个使用ProtoField.uint32定义的示例: local my_protocol_field = ProtoField.uint32("myprotocol.field", "My Protocol Field", "This is an example protocol field") 在上面的示例中,我们定义了一个名为"myprotocol.field"的协议字段,显示标题为"My Protocol Field",描述为"This is an example protocol field"。 我们还可以通过ProtoField.uint32创建的字段来访问和解析捕获的数据包。 当我们使用ProtoField.uint32定义协议字段后,我们可以通过调用Field对象的相应方法来访问和解析数据包中的该字段的值。例如,我们可以使用"my_protocol_field"字段对象的方法来访问和解析数据包中的协议字段: local my_protocol_field_extractor = my_protocol_field() 在上面的示例中,我们创建了一个名为"my_protocol_field_extractor"的字段提取器,它可以用于从捕获的数据包中提取和解析"my_protocol_field"字段的值。 通过使用ProtoField.uint32和相应的字段提取器,我们可以在Wireshark中编写更复杂的Lua插件,用于解析和分析各种不同的网络协议。这使得我们能够更好地理解和调试网络通信,并从中获取有用的信息。 总结起来,Wireshark Lua插件中的ProtoField.uint32可以让我们定义和访问无符号32位整数类型的协议字段,并通过字段提取器提取和解析数据包中的该字段的值。这为我们分析网络通信提供了便利,同时也为定位和解决网络问题提供了有力的工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值