16.WireShark学习-在WireShark中添加新协议

最新推荐文章于 2023-07-30 21:51:47 发布
最新推荐文章于 2023-07-30 21:51:47 发布
阅读量4.6k 收藏 21
点赞数 7
分类专栏: 安全工具 文章标签: wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36810852/article/details/107368539
版权

16. 在Wireshark中添加新协议

  1. WireShark编程基础
  2. 使用Lua开发简单扩展功能
  3. 使用WireShark开发新的协议解析器
  4. 测试新协议

WireShark支持Lua语言编写的脚本

16.1 WireShark编程基础

在WireShark中添加lua脚本

到WireShark安装目录中init.lua文件中进行配置
1

把需要加载的脚本加进来

2

协议解析

WireShark中主要是靠端口来判断协议的

可以打开视图——内部——解析器表——Integer Tables

3

应用层协议不是属于TCP就是UDP,因此我们找到TCP,可以看到解析是依靠端口

4

proto(name,desc)函数:注册协议,desc是描述

dissector(tvb,pinfo,tree):tvb表示要处理的报文缓存(应用层数据存到tvb中),pinfo表示报文,tree表示报文的解析树。

local foo123=Proto("foo1233","foo123 Protocol")

function foo123.dissector(tvb,pinfo,tree)

end

DissectorTable.get("tcp.port"):add(10005,foo123)
//该函数将协议添加到解析器表中,也就是说凡是发往10005端口的协议都按foo123协议来解析

保存为lua文件,放到WireShark安装目录中

5

编辑init.lua

6

如果脚本有问题的话,会报错

7

打开“视图——内部——解析器表”后会发现已经添加进解析器表了。

8

接下来设计协议 内容

9

10

使用lua构造协议


local foo123=Proto("foo1233","foo123 Protocol")

//注册字段
Trans_ID=ProtoField.uint16("foo123.ID","ID")

Msg_Type=ProtoField.uint16("foo123.Type","Type")

Msg_Data=ProtoField.uint32("foo123.Data","Data")

foo123.fields={Trans_ID,Msg_Type,Msg_Data}





function foo123.dissector(tvb,pinfo,tree)

pinfo.cols.protocol="foo123"//设置显示的协议名字
local subtree=tree:add(foo123,tvb(0))
subtree:add(Trans_ID,tvb(0,2))//添加到协议解析树中
subtree:add(Msg_Type,tvb(2,2))
subtree:add(Msg_Data,tvb(4,4))
end

DissectorTable.get("tcp.port"):add(10005,foo123)
构造数据包来验证

使用xcap这个工具,使用方法:

大体步骤:
1. 创建报文
2. 添加报文内容
3. 发送报文
  1. 创建报文组

右键报文组,创建报文组
11

  1. 添加报文

12

下一步,它是按照层来的,这个是数据链路层

13

网络层修改协议为TCP

14

目标端口改为10005

15

用全0填充就好了,保存,关闭

在这里插入图片描述

  1. 选择接口发送数据包,需要和WireShark抓包的网卡选择一样

启动接口
16

过滤foo123的数据包

17

发送数据包

18

可以看到能够解析foo123协议

19

人间且慢行呀
关注
专栏目录
LUA脚本扩展wireshark自定义的协议
qq_44845247的博客
10-22 516
本来文件在其他路径报错了,所以放到wireshark目录下试试。修改init.lua 在文件最后一行加入自定义的脚本路径。解析自定义的协议(用的是RIME网络栈。修改协议的名字,每个字节对应的含义等。给了模板 ,复制到.lua文件。创建xxx.lua文件。
Wireshark添加自定义协议解析
最新发布
lishuangquan1987的博客
12-10 2707
最终效果如下:参考文档:https://mika-s.github.io/topics/此参考文档7个例子教我们如何编写lua脚本去识别我们自定义的协议
Wireshark解析自定义协议
02-20
利用Wireshark解析自定义协议,以portal协议为实例,并利用LUA脚本进行解释。
wireshark应用lua解析自定义协议
游青的博客
02-11 2227
wireshark应用lua解析自定义协议
Wireshark的简单使用(关于抓协议
小个子奥特曼的博客
09-04 2174
公司在运维,发现客户的PC端的客户端总是莫名其妙出现问题,而有些问题服务端并没有相关报错日志,于是我们把排查范围就放到客户端上,是否客户端在交互协议的时候导致一些问题呢?比如客户端上的该显示的数据没有了,相关配置文件都没有问题等类型问题。        先介绍一下Wireshark工具吧,这是一个我觉得比较入门级的抓协议的工具,简单好用而已还有汉化版,Wireshark是世界上最流行的
wireshark自定义协议解析插件实现
Crazy177的博客
07-30 2148
如何使用lua实现私有协议wireshark的解析插件编写
Wireshark-win64-3.6.3.exe
04-22
- **教学与研究**:在计算机网络课程Wireshark学习网络协议工作原理的重要工具。 6. **使用技巧**: - **过滤表达式**:学习和熟练使用Wireshark的过滤表达式,可以快速找到感兴趣的数据包。 - **彩色规则...
wireshark-3.0.2.tar.gz
06-27
但在这种情况下,因为Wireshark的版本是3.0.2,可能不在官方的CentOS仓库,所以我们需要添加第三方仓库,如EPEL(Extra Packages for Enterprise Linux)。 1. **启用EPEL仓库**: ```bash sudo yum install ...
wireshark-dll
12-12
Wireshark是一款强大的网络封包分析软件,广泛用于网络故障排查、网络安全分析和协议开发等领域。标题的"wireshark-dll"暗示我们讨论的是Wireshark与动态链接库(DLL)文件之间的关联,这通常是由于某些DLL文件...
Wireshark-win64-3.4.5.exe.7z
05-06
10. **自定义扩展**:Wireshark具有开放的架构,允许开发人员添加协议解析器或增强现有解析器的功能。 11. **命令行版本tcpdump**:虽然Wireshark主要是图形界面应用,但其背后依赖的libpcap库也提供了命令行...
Wireshark-win64-3.4.3.rar
01-31
安装过程,软件会询问用户是否需要添加系统路径,以便在命令行直接调用Wireshark的命令行工具"Tshark"。Tshark提供了一种非图形化的抓包方式,适合自动化脚本或批量处理任务。 在安全领域,Wireshark也被用来...
wireshark添加列:端口号等
shizhan.dev
06-20 1万+
wireshark默认展示的列有限,有时候需要添加自己感兴趣的列,比如端口号,TTL等。 wireshark添加列有两种方式: 1、在packet detail面板右击某个字段,选择 "Apply as Column",下面以添加源端口号为例: 在packet list面板选择随便选择一行 在packet detail面板展开传输层(Transmission Control Pro...
Wireshark协议分析工具应用
weixin_34008933的博客
05-28 679
一、Wireshark简介与安装 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 官网下载地址:https://www.wireshark.org/download.html 安装Wireshark的过程也会选择安装Win...
WireShark 自定义协议Lua插件编程备忘
一只爱做笔记的码农
08-03 546
项目上需要用到UDP传输私有协议栈数据 需要抓包分析数据的正确性 与其一包包看原始数据,不如自己编一个插件直接解析 我主要是参考了这个大佬的教程 你的阳光 虽然写于11年前,但是依然很有参考价值 但是其有些语法现在的Wireshark不支持了,改了!! 我这里附上自己编的插件的Lua源码供参考,涉及公司的部分已经去掉了 do -----------------------...
计算机网络知识全面讲解:wireshark协议筛选和表达式筛选
weixin_70374410的博客
07-17 1760
议有UDP、TCP、ARP、ICMP、SMTP、POP、DNS、IP、Telnet、没有使用协议规定的名称,而是使用简写(例如,Dest?reshark写为dstport),又加了一些协议没有的字段(例如,推广到其他协议,如ETH、IP、HTTP、Telnet、FTP、ICMP、TCP只有源端口和目标端口字段,为了简便,使用W?tcp.port字段来同时代表源端口和目标端口),但总的思路没有变。以端口为例,端口出现在TCP,那么有端口这个过。过滤值就是设定的过滤项应该满足过滤关系的标准,如500、..
WireShark如何抓包,各种协议(HTTP、ARP、ICMP)的过滤或分析,用WireShark实现TCP三次握手和四次挥手
热门推荐
宝藏女孩的成长日记
03-09 2万+
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。常用来检测网络问题、攻击溯源、或者分析底层通信机制。
Wireshark里加载lua
悠悠余香
12-25 6756
1. 找到wireshark 安装目录 2. 打开 init.lua (D:\Program Files\Wireshark\init.lua),用 — 注释disable_lua或者改为disable_lua=false。这样 wireshark 就会支持 Lua 了 -- Set disable_lua to true to disable Lua support. disable_l
Wiresharklua脚本介绍
Little_Eyelash的博客
03-26 8719
Wiresharklua脚本介绍 概述 Wireshark是非常强大的报文解析工具,是网络定位不可缺的使用工具,在物联网很多为自定义协议wireshark无法解析,此时lua脚本就有了用武之地。Lua是一个脚本语言,不需要编译可以直接调用,完美解决了自定义报文解析。 代码框架 -- create a new dissector local NAME = "Doip" local PORT = 13400 local Doip = Proto(NAME, " Doip Protocol")
Wireshark远程抓包分析&自定义应用层协议解析
qq_31777443的博客
04-25 4151
Wireshark远程抓包,自定义应用层协议解析
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值