16.WireShark学习-在WireShark中添加新协议

最新推荐文章于 2024-05-22 01:33:34 发布
最新推荐文章于 2024-05-22 01:33:34 发布
阅读量4.2k 收藏 19
点赞数 6
分类专栏: 安全工具 文章标签: wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36810852/article/details/107368539
版权

16. 在Wireshark中添加新协议

  1. WireShark编程基础
  2. 使用Lua开发简单扩展功能
  3. 使用WireShark开发新的协议解析器
  4. 测试新协议

WireShark支持Lua语言编写的脚本

16.1 WireShark编程基础

在WireShark中添加lua脚本

到WireShark安装目录中init.lua文件中进行配置
1

把需要加载的脚本加进来

2

协议解析

WireShark中主要是靠端口来判断协议的

可以打开视图——内部——解析器表——Integer Tables

3

应用层协议不是属于TCP就是UDP,因此我们找到TCP,可以看到解析是依靠端口

4

proto(name,desc)函数:注册协议,desc是描述

dissector(tvb,pinfo,tree):tvb表示要处理的报文缓存(应用层数据存到tvb中),pinfo表示报文,tree表示报文的解析树。

local foo123=Proto("foo1233","foo123 Protocol")

function foo123.dissector(tvb,pinfo,tree)

end

DissectorTable.get("tcp.port"):add(10005,foo123)
//该函数将协议添加到解析器表中,也就是说凡是发往10005端口的协议都按foo123协议来解析

保存为lua文件,放到WireShark安装目录中

5

编辑init.lua

6

如果脚本有问题的话,会报错

7

打开“视图——内部——解析器表”后会发现已经添加进解析器表了。

8

接下来设计协议 内容

9

10

使用lua构造协议


local foo123=Proto("foo1233","foo123 Protocol")

//注册字段
Trans_ID=ProtoField.uint16("foo123.ID","ID")

Msg_Type=ProtoField.uint16("foo123.Type","Type")

Msg_Data=ProtoField.uint32("foo123.Data","Data")

foo123.fields={Trans_ID,Msg_Type,Msg_Data}





function foo123.dissector(tvb,pinfo,tree)

pinfo.cols.protocol="foo123"//设置显示的协议名字
local subtree=tree:add(foo123,tvb(0))
subtree:add(Trans_ID,tvb(0,2))//添加到协议解析树中
subtree:add(Msg_Type,tvb(2,2))
subtree:add(Msg_Data,tvb(4,4))
end

DissectorTable.get("tcp.port"):add(10005,foo123)
构造数据包来验证

使用xcap这个工具,使用方法:

大体步骤:
1. 创建报文
2. 添加报文内容
3. 发送报文
  1. 创建报文组

右键报文组,创建报文组
11

  1. 添加报文

12

下一步,它是按照层来的,这个是数据链路层

13

网络层修改协议为TCP

14

目标端口改为10005

15

用全0填充就好了,保存,关闭

在这里插入图片描述

  1. 选择接口发送数据包,需要和WireShark抓包的网卡选择一样

启动接口
16

过滤foo123的数据包

17

发送数据包

18

可以看到能够解析foo123协议

19

人间且慢行呀
关注
  • 6
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
wireshark插件开发 - 自定义协议
Jeffrey.chu的专栏
09-20 2096
虽然wireshark自带了很多知名协议的解析插件,譬如HTTP、DHCP等等,然而在实际应用环境,有不少软件之间的通信协议都是私有的,如游戏客户端和服务器之间的交互协议通常都是私有的,wireshark无法具体解析出各种字段之间的含义,只能显示接收到的二进制数据,给协议的分析和问题的排查带来了一定的困难,尤其是协议内容比较复杂时。 本文一个自定义的简单协议入手,分析如何基于wireshark...
Wireshark解析自定义协议
02-20
利用Wireshark解析自定义协议,以portal协议为实例,并利用LUA脚本进行解释。
Wireshark添加自定义协议解析
lishuangquan1987的博客
12-10 1860
最终效果如下:参考文档:https://mika-s.github.io/topics/此参考文档7个例子教我们如何编写lua脚本去识别我们自定义的协议
wireshark如何写一个lua脚本解析自定义报文字段?(Proto、DissectorTable.get、function .dissector、dissector_table:add)
最新发布
技术札记
05-22 291
【代码】wireshark如何写一个lua脚本解析自定义报文字段?
wireshark应用lua解析自定义协议
游青的博客
02-11 2059
wireshark应用lua解析自定义协议
wireshark自定义协议解析插件实现
Crazy177的博客
07-30 1834
如何使用lua实现私有协议wireshark的解析插件编写
WireShark如何抓包,各种协议(HTTP、ARP、ICMP)的过滤或分析,用WireShark实现TCP三次握手和四次挥手
热门推荐
宝藏女孩的成长日记
03-09 1万+
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。常用来检测网络问题、攻击溯源、或者分析底层通信机制。
Wireshark零基础使用教程(超详细)
A_991128a的博客
10-14 3188
菜单栏:用于调试、配置工具栏:常用功能的快捷方式过滤栏:指定过滤条件,过滤数据包数据包列表:核心区域,每一行就是一个数据包数据包详情:数据包的详细数据数据包字节:数据包对应的字节流,二进制从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
SRT协议Wireshark解析器编写(Lua)
无聊星期三的博客
08-17 4205
WireSharks插件编写(lua)前言APIProtoProtoField满足按位显示的例子(同时满足字符串查找)TvbTvbRangePinfoTreeItem实现协议里面添加子树例子DissectorTable代码部分大致框架完善完善字段完善解析函数关于标志位的操作,lua怎么做关于lua的for循环关于lua的switch-case语句装载插件插件抓包效果图关于Post-disse...
Wireshark教程-文版.pdf
09-30
由于开源性质,Wireshark 的源代码可以自由使用和修改,可以很容易地添加协议或将其作为插件整合到您的程序里。 Wireshark 的系统要求包括: *Microsoft Windows:Windows 2000、XP Home 版、XP Pro 版、XP ...
Wireshark教程-文版参考.pdf
12-26
Wireshark的源代码在GPL框架下都可以免费使用,因此用户可以很容易地在Wireshark添加协议,或者将其作为插件整合到您的程序里。 需要注意的是,Wireshark不是入侵检测系统,也不是网络事务处理工具,它仅仅是...
抓包工具Wireshark-win32-1.11.2.1339076454.zip #资源分享达人计划#
08-19
Wireshark是网络包分析工具,可以捕获多种网络接口类型的包,甚至包括无线局域网接口网络。...因为以上原因,人们可以很容易在Wireshark添加协议,或者将其作为插件整合到自己的程序里,这种应用十分广泛。
wireshark-developer-guide.pdf
11-16
开发者可以通过这部分学习Wireshark内部工作原理,并学会如何添加功能或修复已知问题。 尽管这本书的目标读者是Wireshark开发者,但它并不试图全面解释Wireshark的使用方法。如果需要了解Wireshark的基本使用,...
DoIP wireshark协议分析插件
02-19
DoIP wireshark协议分析插件,wireshark版本需2.6.0以上,2.6.5版本测试有效
Wireshark里加载lua
悠悠余香
12-25 6621
1. 找到wireshark 安装目录 2. 打开 init.lua (D:\Program Files\Wireshark\init.lua),用 — 注释disable_lua或者改为disable_lua=false。这样 wireshark 就会支持 Lua 了 -- Set disable_lua to true to disable Lua support. disable_l
Wiresharklua脚本介绍
Little_Eyelash的博客
03-26 8178
Wiresharklua脚本介绍 概述 Wireshark是非常强大的报文解析工具,是网络定位不可缺的使用工具,在物联网很多为自定义协议wireshark无法解析,此时lua脚本就有了用武之地。Lua是一个脚本语言,不需要编译可以直接调用,完美解决了自定义报文解析。 代码框架 -- create a new dissector local NAME = "Doip" local PORT = 13400 local Doip = Proto(NAME, " Doip Protocol")
Wireshark网络分析实战》—第1章1.9节配置Preferences窗口的Protocol选项
weixin_34293141的博客
05-02 1506
本节书摘来自异步社区《Wireshark网络分析实战》一书的第1章1.9节配置Preferences窗口的Protocol选项,作者【以色列】Yoram Orzach,更多章节内容可以访问云栖社区“异步社区”公众号查看。 1.9 配置Preferences窗口的Protocol选项Wireshark网络分析实战借助于Preferences窗口的P...
计算机网络知识全面讲解:wireshark协议筛选和表达式筛选
weixin_70374410的博客
07-17 1673
议有UDP、TCP、ARP、ICMP、SMTP、POP、DNS、IP、Telnet、没有使用协议规定的名称,而是使用简写(例如,Dest?reshark写为dstport),又加了一些协议没有的字段(例如,推广到其他协议,如ETH、IP、HTTP、Telnet、FTP、ICMP、TCP只有源端口和目标端口字段,为了简便,使用W?tcp.port字段来同时代表源端口和目标端口),但总的思路没有变。以端口为例,端口出现在TCP,那么有端口这个过。过滤值就是设定的过滤项应该满足过滤关系的标准,如500、..
Wireshark远程抓包分析&自定义应用层协议解析
qq_31777443的博客
04-25 3774
Wireshark远程抓包,自定义应用层协议解析
wireshark-win6-3.2.3
08-27
wireshark-win6-3.2.3是一款开源的网络流量分析工具。它主要用于抓取和分析网络数据包,可以帮助用户了解网络的通信过程和网络性能。 wireshark-win6-3.2.3具有使用简便、功能强大的特点。它支持多种网络协议的解析和分析,包括Ethernet、IP、TCP、UDP等等。用户可以通过抓取和查看网络数据包,深入了解网络通信的细节,排查网络故障和安全问题。 wireshark-win6-3.2.3的主要特点包括: 1.多平台支持:wireshark-win6-3.2.3可以运行在Windows操作系统上,适应不同场景和需求。 2.图形化界面:软件提供直观的用户界面,使得用户可以轻松进行配置、抓包和数据包分析。 3.强大的过滤功能:用户可以通过设置过滤器来过滤和捕获特定类型的数据包,提高分析效率。 4.详细的协议解析:软件能够解析众多网络协议,显示协议头和有效载荷等关键信息,帮助用户深入了解网络通信过程。 5.统计和图表展示:wireshark-win6-3.2.3提供多种统计功能,可以生成流量统计、端口分析和协议分布图表,帮助用户进行网络性能评估和优化。 6.插件扩展:软件支持丰富的插件扩展,用户可以根据自己的需求,添加自定义功能和协议解析。 总之,wireshark-win6-3.2.3是一款功能强大、易于使用的网络流量分析工具,可以帮助用户深入了解网络通信过程,提高网络性能和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值