让你在Wireshark中的数据包好看点(Lua脚本调试)

已于 2024-11-04 20:48:03 修改
阅读量561 收藏 4
点赞数 6
分类专栏: 调试方法 文章标签: wireshark lua
于 2024-11-04 20:39:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39827740/article/details/143492317
版权

难看的抓包二进制数据流!

在这里插入图片描述
图1
在服务端调试网络问题时,我们一般会通过tcpdump命令去抓取我们关心的数据包,然后拿到Windows下使用Wireshark抓包工具进行分析二进制数据流,虽然Wireshark已经把链路层(Link Layer)、网络层(Internet Layer)、传输层(Transport Layer)和常见的应用层(Application Layer)协议的包头/包体数据,分层解析出来了,但是对于应用层是私有协议的数据包,Wireshark没办法识别。好家伙,每次如果打开应用层的数据包,看着一大串二进制数据流,然后对照私有协议的解析方式,一个个字节的比对,这效率也太低了吧。

好在Wireshark提供了自定义Lua脚本的方式,来自定义解析应用层数据包,我们来试试。

1. 私有协议消息头定义

  • 假设我们的私有协议,包含消息头和消息体,消息头是一个POD类型的结构体,定义如下
struct BananaHead
{
    uint32_t MsgLen;                // 消息长度
    uint32_t FunctionCode;          // 功能标识
    uint8_t Type;
    uint8_t BitFieldLow : 3;        // 位域低3位
    uint8_t BitFieldHigh : 5;       // 位域高5位
    union {
        uint16_t NodeNo;
        uint8_t reserved[2];
    };
    union {
        uint32_t Union4B;
        struct
        {
            char UnionLow3B[3];     // 低3字节当uint32_t使用,业务中代表消息体的长度
            uint8_t UnionHigh1B;
        };
    };
    uint64_t Token;
    uint32_t ConnectionID;
    uint32_t UserDefined;
};
  • 结构体在解析时,需要注意以下几点
    • 位域的解析(位操作,还好)
    • 联合体的解析(C++写习惯了,初次遇到uint24很不习惯)
    • 字节序(大小端)

2. 脚本编写,解析消息头

--[[
    Lua脚本批量注释
    把脚本命名为:banana_head_parse.lua
    ......
]]

-- 定义新的协议
BananaHead = Proto("BananaHead", "Custom Head Protocol")

print("Loading BananaMsg Protocol")

-- 定义枚举表
local TypeEnum = {
    [0] = "POST",
    [1] = "GET",
    [3] = "PUT"
}

local DestEnum = {
    [0] = "去姥姥家",
    [1] = "去外婆家",
    [2] = "回窝"
}

-- 定义协议的字段
local f_MsgLen = ProtoField.uint32("BananaHead.MsgLen", "消息长度", base.DEC)
local f_FunctionCode = ProtoField.uint32("BananaHead.FunctionCode", "功能码", base.DEC)
local f_Type = ProtoField.uint8("BananaHead.Type", "消息类型", base.HEX, TypeEnum)
-- 低3位
local f_BitFieldLow = ProtoField.uint8("BananaHead.BitFieldLow", "BitFieldLow", base.DEC, DestEnum, 0x07)
-- 高5位,BananaHead.BitFieldLow=3,BananaHead.BitFieldHigh=5,则该字节值:0x00101_011
local f_BitFieldHigh = ProtoField.uint8("BananaHead.BitFieldHigh", "BitFieldHigh", base.DEC, nil, 0xF8)
local f_NodeNo = ProtoField.uint16("BananaHead.NodeNo", "NodeNo", base.DEC)
local f_UnionLow3B = ProtoField.uint24("BananaHead.UnionLow3B", "UnionLow3B", base.DEC)
local f_UnionHigh1B = ProtoField.uint8("BananaHead.UnionHigh1B", "UnionHigh1B", base.DEC)
local f_Token = ProtoField.uint64("BananaHead.Token", "Token", base.HEX)
local f_ConnectionID = ProtoField.uint32("BananaHead.ConnectionID", "ConnectionID", base.HEX)
local f_UserDefined = ProtoField.uint32("BananaHead.UserDefined", "UserDefined", base.HEX)

-- 将字段添加到协议中
BananaHead.fields = {f_MsgLen, f_FunctionCode, f_Type, f_BitFieldLow, f_BitFieldHigh, f_NodeNo, f_UnionLow3B, f_UnionHigh1B, f_Token, f_ConnectionID, f_UserDefined}

-- 解析器函数
function BananaHead.dissector(buffer, pinfo, tree)
    -- 检查包长度是否足够长
    if buffer:len() < 32 then return false end

    -- 按逻辑判断是否为目标协议
    -- 例如检查某个字段值是否在预期范围
    local MsgLenVal = buffer(0, 4):le_uint()
    if MsgLenVal < 32 then return false end

    local SubTree = tree:add(BananaHead, buffer(), "BananaMsg Protocol Data")

    -- 解析字段
    SubTree:add(f_MsgLen, buffer(0, 4):le_uint()):append_text(" Bytes")
    SubTree:add(f_FunctionCode, buffer(4, 4):le_uint())
    SubTree:add(f_Type, buffer(8, 1))

    local TypeVal = buffer(8, 1):uint()
    local BitFieldLowVal = bit.band(TypeVal, 0x07)
    local BitFieldHighVal = bit.rshift(bit.band(TypeVal, 0xF8), 3)

    SubTree:add(f_BitFieldLow, buffer(8, 1), BitFieldLowVal)
    SubTree:add(f_BitFieldHigh, buffer(8, 1), BitFieldHighVal)
    
    SubTree:add(f_NodeNo, buffer(10, 2))
    SubTree:add(f_UnionLow3B, buffer(12, 3):le_uint()):append_text(" Bytes")
    SubTree:add(f_UnionHigh1B, buffer(15, 1))

    local TokenVal_Le = buffer(16, 8):le_uint64()
    local TokenVal_Be = buffer(16, 8):uint64()
    SubTree:add(f_Token, buffer(16, 8)):append_text(" Little-Endian(" .. TokenVal_Le .. "), Big-Endian(" .. TokenVal_Be .. ")")

    SubTree:add(f_ConnectionID, buffer(24, 4))

    local UserDefinedVal_Le = buffer(28, 4):le_uint()
    local UserDefinedVal_Be = buffer(28, 4):uint()
    SubTree:add(f_UserDefined, buffer(28, 4)):append_text(" Little-Endian(" .. UserDefinedVal_Le .. "), Big-Endian(" .. UserDefinedVal_Be .. ")")
    
    -- 设置信息列
    pinfo.cols.protocol = "BananaMsg"
    
    return true  -- 表示成功解析包
end

-- 注册启发式解析器
BananaHead:register_heuristic("tcp", BananaHead.dissector)
BananaHead:register_heuristic("udp", BananaHead.dissector)

3. 用用看

在这里插入图片描述
图2

  • 把脚本命名为:xxxx.lua(名字自定义)
  • 丢到如图所示的路径下(如图2)

在这里插入图片描述
图3
在这里插入图片描述
图4

  • 重启Wireshark,或者重新载入 Lua 插件(如图3)
  • Lua 的控制台输出在这里,可以看到脚本中的print("Loading BananaMsg Protocol")输出到了控制台,我们可以通过这个来调试我们的Lua脚本(如图4)

4. 使用效果

在这里插入图片描述

如何用wireshark加载自定义.lua脚本
笔者从事电信媒体开发多年,愿意将多年的开发经验分享给同行
03-18 1万+
指导wireshark加载自定义的lua脚本文件
Wiresharklua脚本介绍
Little_Eyelash的博客
03-26 9299
Wiresharklua脚本介绍 概述 Wireshark是非常强大的报文解析工具,是网络定位中不可缺的使用工具,在物联网中很多为自定义协议,wireshark无法解析,此时lua脚本就有了用武之地。Lua是一个脚本语言,不需要编译可以直接调用,完美解决了自定义报文解析。 代码框架 -- create a new dissector local NAME = "Doip" local PORT = 13400 local Doip = Proto(NAME, " Doip Protocol")
使用 WiresharkLua 脚本解析通讯报文
极地星辰
12-14 1388
本文详细介绍了如何使用 WiresharkLua 脚本解析通讯报文,从基础入门到高级应用,涵盖了环境准备、脚本编写、插件导入、流量分析以及高级功能等多个方面。希望本文能为你提供有益的指导,并激发你在这一领域的探索欲望。
wireshark_lua:用于wiresharkLUA脚本
05-31
lua文件 WiresharkLUA 扩展,用于打印服务器处理 NFS 请求所花费的时间。 用法: # for life capture $ tshark -q -X lua_script:nfs.lua -f " port 2049 " # or if nfs trafic is not on a standard port ( pNFS DS ) $ tshark -q -X lua_script:nfs.lua -f " port 32049 " -d tcp.port==32049,rpc # for read from existing capture file capture file $ tshark -q -r nfs.dump -X lua_script:nfs.lua # or if you need to avoid temp files $ dumpca
Wireshark Lua 插件教程
一些C++相关的技术笔记或者教程.
02-27 1787
本文深入探讨了如何在Wireshark中使用Lua脚本进行自定义协议的解析和数据导出. 通过详细的代码示例和步骤说明, 读者可以学习如何编写Dissector来解析Wireshark不支持的协议, 以及如何利用Dumper导出特定协议字段. 文章还涵盖了TCP包重组, 调试技巧等高级主题, 帮助开发者高效处理网络数据包分析任务, 提升工作效率.
使用Lua脚本wireshark编写自定义通信协议解析器插件
11-29 5749
在网络通信应用中,我们往往需要自定义应用层通信协议,例如基于UDP的Real-Time Transport Protocol以及基于TCP的RTP over HTTP。鉴于RTP协议的广泛性,wireshark(ethereal)内置了对RTP协议的支持,调试解析非常方便。RTP over HTTP作为一种扩展的RTP协议,尚未得到wireshark的支持。在《RTP Payload Form
Wireshark使用Lua脚本解析报文
文石_2009的博客
04-25 2264
WiresharkLua
wireshark lua脚本
weixin_30512043的博客
12-04 540
1、目的:解析rssp2协议 2、如何使用wireshark lua插件   将编写的(假设为rssp2.lualua文本,放入wireshark 安装目录下,放哪里都行只要dofile添加了路径. 并且在安装目录下找到init.lua,最后一行添加路径代码 : dofile(DATA_DIR.."RSSP2.lua") 3、介绍   解析由rssp2.lua、p2_d...
使用lua脚本编写wireshark协议插件
weixin_30511039的博客
01-06 159
使用wireshark做协议分析,自定义协议可以编写Dissector插件进行分析,开始考虑使用c语言编写插件,了解了一下,发觉太麻烦,在效率要求不高的情况下,可以使用lua脚本编写插件: 要使用lua脚本,先使wireshark支持lua脚本,编辑init.lua(wireshark目录下),找到"disable_lua = true; do return end;"行,在最前面添加"-...
wireshark中获取H264码流lua脚本
10-14
1.查看安装路径下是否存在init.lua,确保disable_lua = false 2.在init.lua的最后加上dofile(DATA_DIR.."rtp_h264_extractor.lua") 3.把rtp_h264_extractor.lua这个文件放在init.lua同一个路径下
wireshark解析omci协议的脚本文件omci.lua,20250306版本,在wireshark官方原版基础上第二次更新
03-08
用户可以参照README.txt中的说明,详细了解如何应用omci.lua脚本来增强Wireshark在OMCI协议分析方面的能力。尽管文件名称列表中仅提供了版本号"2025.3.6",但可以推测这可能是指脚本文件所在的文件夹或目录名称,...
lua脚本自动抓包配置方法
最新发布
04-02
内容概要:本文档详细介绍了利用lua脚本进行自动抓包的配置方法。首先明确了自动抓包的适用场景是持续监控网卡数据传输,便于在网络通信出现问题时排查故障。接着详述了Lua For Windows和Wireshark这两个必要软件的...
Wireshark自定义Lua插件
shengyu
06-08 7014
常见的抓包工具有tcpdump和wireshark,二者可基于网卡进行抓包:tcpdump用于Linux环境抓包,而wireshark用于windows环境。抓包后需借助包分析工具对数据进行解析,将不可读的二进制数转换为可读的数据结构。 wireshark不仅可以作为抓包工具,还可以作为包解析工具。Wireshark针对常见协议都提供了对应的解析插件, 如: TCP、UDP、HTTP、SIP等;同时提供了自定义插件机制,用户可以基于此解析自定义消息。至于插件,wireshark支持C语言插件和Lua插件,L
Wireshark内嵌解析协议的LUA脚本
weixin_46946968的博客
11-22 4215
Wireshark官网对lua插件的API介绍英文的,看起来很头疼,小编这里是下载个网易有道翻译截图翻译的。最头疼的还不是这个,而是怎么调用这些API,从何下手才是最头疼的,只能通过代码边用边熟悉了。下面我给的是一些常用的API以及在网址的位置。
Wireshark工具中加入lua脚本
09-09 5115
Wireshark工具中加入lua脚本,增加该工具对某些数据报的识别,便于阅读。 参考:http://www.wireshark.org/docs/wsug_html_chunked/wsluarm.html 加入方式: 1、编写lua脚本, xx.lua 2、在Wireshark启动快捷方式上,鼠标右键-->属性中加入:-X lua_script: 即可,多个Lua脚本,重复该
wireshark Lua脚本编写
vegeta852的博客
11-02 930
wireshark Lua脚本编写 Lua语言是脚本语言,只需要编写相关协议解析的脚本内容,然后由wireshark加载即可(Wireshark自带Lua解析器),wireshark封装丰富的接口给Lua使用,一些有用的docs: https://www.wireshark.org/docs/wsdg_html_chunked/index.html 第十章: 10. Lua Support in Wireshark 第十一章: 11. Wireshark’s Lua API Reference Manual
wireshark编写lua插件并调试打印
sun007700的专栏
11-28 1338
wireshark
Wireshark加载自定义.lua脚本/Wireshark解析UpperTester(带ut.lua文件)
dengbuliduo123的博客
11-08 1233
Wireshark解析自定义协议实现方法;Wireshark解析UpperTester协议.lua脚本,实测可用。 Wireshark解析UpperTester
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值