使用lua作为wireshark的私有协议解析插件

最新推荐文章于 2024-06-08 17:36:05 发布
最新推荐文章于 2024-06-08 17:36:05 发布
阅读量2.7k 收藏 16
点赞数 3
文章标签: lua wireshark 解析协议 插件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41718404/article/details/88102246
版权
本文介绍了如何使用Lua编写Wireshark的私有协议解析插件。通过创建Lua文件,定义协议、字段并创建解析器,详细阐述了如何处理数据流、构建协议解析树以及向Wireshark注册协议。最后,解释了如何根据端口号调整协议解析设置。
摘要由CSDN通过智能技术生成 
--定义协议(第一个参数体现在过滤器中,第二个参数描述信息)
local hss_proto=Proto("Hss","Hss Protocol")

--定义字段(第一个参数为过滤条件,第二个参数为Tree列表中显示的名字,
--后面可以指定不同的进制显示方式:HEX为16进制,DEC为10进制)
--uint8,uint16,uint24,uint32分别表示1,2,3,4字节,即该字段的长度
local hss_proto_mark=ProtoField.uint16("hssMark","Mark",base.HEX,{[0x135d]="hss"})
local hss_proto_name=ProtoField.uint8("hssName","Name",base.HEX)
local hss_proto_version=ProtoField.uint8("hssVersion","Version",base.HEX)
local hss_proto_code=ProtoField.uint16("hssCode","Code",base.HEX,
						{
							[0x1B00]="JS_HSS_REGISTER_REQ",
							[0x1B01]="JS_HSS_REGISTER_ACK",
							[0X1B02]="JS_HSS_QUERY_REQ",
							[0X1B03]="JS_HSS_QUERY_ACK",
							[0X1B04]="JS_HSS_UNREGISTER_REQ",
							[0X1B05]="JS_HSS_UNREGISTER _ACK"
						}
					 )
local hss_proto_length=ProtoField.uint16("hssLength","Length",base.DEC)

local hss_proto_data=ProtoField.bytes("hssData","Data",base.NONE)
local data_tag=ProtoField.uint16("data_tag","Tag",base.HEX,
						{
							[0x1C00]="HANDLE",
							[0x1C01]="MSISDN",
							[0x1C02]="IMSI",
							[0x1C03]="IMEI",
							[0x1C04]="GWNAME",
							[0x1C05]="DOMAIN",
							[0x1C06]="EXPRIES",
							[0x1C07]="RESULT",
							[0x1C08]="ROUTER"
						}
					)
local data_length=ProtoField.uint16("data_length","Length",base.DEC)
local data_value_number=ProtoField.uint32("data_value_number","Value",base.DEC)
local data_value_string=ProtoField.string("data_value_string","Value")

--添加字段
hss_proto.fields={
	hss_proto_mark,
	hss_proto_name,
	hss_proto_version,
	hss_proto_code,
	hss_proto_length,
	hss_proto_data,
	data_tag,
	data_length,
	data_value_number,
	data_value_string
}


--buffer为数据流,pinfo为协议解析树上的信息,包括UI上的显示
function hss_proto.dissector(buffer,pinfo,tree)

	offset = pinfo.desegment_offset or 0
	--当前数据流长度
	local buffer_len=buffer:len()
	--该协议头部长度为8
	local hssheadlength=8
	local item=0

while true do
	item=item+1

 	if offset==buffer_len then
 		return
 	end

	--判断如果剩下的数据不到hssheadlength,即proto_length取不出来,就把pinfo.desegment_len返回
	--DESEGMENT_ONE_MORE_SEGMENT表示不知道后面传进来的数据有多少
	if offset+hssheadlength>buffer_len then
		pinfo.desegment_offset=offset
		pinfo.desegment_len=DESEGMENT_ONE_MORE_SEGMENT
		return pinfo.desegment_len
	end

	local proto_length=buffer(offset+6,2):le_uint()

	--剩下的数据能够取到hssheadlength的长度,判断剩下的数据能否够一条消息的长度,
	--如果不够也返回pinfo.desegment_len
	if offset+hssheadlength+proto_length>buffer_len then
		pinfo.desegment_len=DESEGMENT_ONE_MORE_SEGMENT
		pinfo.desegment_offset=offset
		return pinfo.desegment_len
	end

	--ui层显示hss
	pinfo.cols.protocol:set("hss")
	--ui上添加信息,源端口和目标端口
	pinfo.cols.info:set("hss protocol"..pinfo.src_port.."->"..pinfo.dst_port)

	--解析树上添加协议,取前8个字节(head头部信息),显示为Hss Proto
最低0.47元/天 解锁文章
不是我风格
关注
Lua脚本编写Wireshark插件解析第三方私有协议
悦分享
07-25 4306
echo_500.lua”),通过这样的方式加载自定义的插件。目前对于Wireshark来说,C/C语言和Lua脚本是编写插件的主流语言,对于C/C语言这类语言来说,不可否认它具有非常高的性能,但是其编译配置较为麻烦,每次修改都要重新编译,而Lua脚本虽然解析效率没前者那么高,但是它的语法和修改都非常简单,可以提高了开发效率。当然,有些工控流量可能比本文的例子相对复杂一些,可能包含加密和签名等字段,这就需要更长的逆向分析时间,只要把协议数据的报文格式了解清楚了,那么编写插件也是水到渠成的事情。......
Wireshark lua插件实现私有协议解析
村中少年的专栏
03-24 1970
介绍如何使用wireshark lua插件新增私有协议解析
使用Lua脚本为wireshark编写自定义通信协议解析插件
11-29 5622
在网络通信应用中,我们往往需要自定义应用层通信协议,例如基于UDP的Real-Time Transport Protocol以及基于TCP的RTP over HTTP。鉴于RTP协议的广泛性,wireshark(ethereal)内置了对RTP协议的支持,调试解析非常方便。RTP over HTTP作为一种扩展的RTP协议,尚未得到wireshark的支持。在《RTP Payload Form
lua语言学习之自定义wireshark插件解析自定义协议
lobmo的博客
04-11 1571
lua语言学习之自定义wireshark插件解析自定义协议关于wireshark这个抓包工具关于lua使用luawireshark插件wireshark接口文档如何在wireshark使用自己写的lua脚本检查是否可以运行lua导入脚本使用教程及完整代码 关于wireshark这个抓包工具 wireshark工具的功能十分强大,它可以抓取你想抓取的主机的所有网络封包。并且对于一般的网络协议,w...
Linux环境加密lua脚本,Wireshark Lua脚本文件任意代码执行漏洞
weixin_30691649的博客
05-11 230
发布日期:2011-07-30更新日期:2011-09-08受影响系统:Wireshark Wireshark 1.6.xWireshark Wireshark 1.4.x不受影响系统:Wireshark Wireshark 1.6.2Wireshark Wireshark 1.4.9描述:------------------------------------------------------...
利用WiresharkLua分析专有网络协议
jiangfuqiang的专栏
03-15 8823
实战过程: 1.安装wiresharklua。 2.利用lua为wirashark写一个协议的dissector,并部署到lua上。   2.1 参照http://wiki.wireshark.org/Lua/Examples中的例子,进行修改。其中要注意的一点是TCP协议中的粘包现象(如果是UDP则不考虑),   解决这点的关键是在dissector(buffer, pinfo, tr
Wireshark lua 插件简介
村中少年的专栏
01-05 3416
简单介绍在使用lua插件过程中可能会遇到的一些问题以及解决办法
私有协议的解密游戏:从秘文到明文
少年强,六月试锋芒。小弟踉跄学朝步,百战成钢,初登场。
06-11 1304
现在的互联网,谁不想造一个像Ether、IP、TCP这种网络领域鹤立鸡群的通信协议。 就连很火的QUIC,也是伴随着RFC落地,才正式被人认可是公共的HTTP协议。所以,大多数人都还是在创造协议时,给自己贴上个“私有协议”的标签。这很常规,并不俗套。甚至teamviewer这类的商业软件就把自家的teamview协议叫做私有协议。一个私有协议完成自己的工作,是自己基本的能力。但如果想让它被真正的“用起来”,最起码还需要做这样一份工作,私有协议的解密游戏。为什么这么说呢?因为,一个私有协议在网络中跟着数据包一
Wireshark内嵌解析协议LUA脚本
weixin_46946968的博客
11-22 3262
Wireshark官网对lua插件的API介绍英文的,看起来很头疼,小编这里是下载个网易有道翻译截图翻译的。最头疼的还不是这个,而是怎么调用这些API,从何下手才是最头疼的,只能通过代码边用边熟悉了。下面我给的是一些常用的API以及在网址的位置。
lua_Console lua解析
08-28
简单lua脚本解析器,可以解析简单的lua脚本命令。
WireShark 1Ethernet协议分析
sinat_24820331的博客
02-17 2590
WiresharkLua插件
我的博客
06-08 3204
在ICT(ICT,information and communications technology)人员用于网络分析的兵器库中,wireshark无疑是倚天剑,虽历史悠久,其锋利程度丝毫不减,由于开源,便于用户二次开发,这就使得此剑的颜值、功能都近乎完美。如果能够熟练的使用此剑,对于行走江湖也是百利而无一害。 对于当下的主流协议wireshark都有自带解析插件,如IP、ARP、TCP、UDP、HTTP、DHCP等。但是实际应用中,这些协议通常只是我们传输数据过程的载体,有不少软件之间的通信协议都是私有
Wireshark自定义Lua插件
最新发布
Sheng_Q的博客
06-08 5235
常见的抓包工具有tcpdump和wireshark,二者可基于网卡进行抓包:tcpdump用于Linux环境抓包,而wireshark用于windows环境。抓包后需借助包分析工具对数据进行解析,将不可读的二进制数转换为可读的数据结构。 wireshark不仅可以作为抓包工具,还可以作为包解析工具。Wireshark针对常见协议都提供了对应的解析插件, 如: TCP、UDP、HTTP、SIP等;同时提供了自定义插件机制,用户可以基于此解析自定义消息。至于插件wireshark支持C语言插件Lua插件,L
wireshark lua插件解析自定义以太网报文的用法注意
piaofeng84的博客
12-15 703
解析器需要使用ethertype DissectorTable.get(“ethertype”) 而不能使用eth.type,否则wireshark启动加载lua插件的时候会报错。 平常我们使用wireshark软件过滤的时候可能经常用eth.type来过滤。 DissectorTable.get(“eth.type”) ...
使用Lua编写Wireshark解析ProtoBuf插件
Kayn_Liu的博客
03-16 1832
使用Lua编写插件解析Wireshark中的ProtoBuf协议
Wireshark Lua插件自定义
jjxojm的专栏
06-20 2778
近期工作中刚好有实现自定义的UDP相关协议,用Wireshark时只能给出原始的字节流,观察起来确实十分不便,为此研究了一下WiresharkLua插件实现,在此记录一下。 一、配置执行Lua脚本 首先通过菜单中的"About Wireshark"查看一下Wireshark对应Lua引擎的支持情况,如下图所示: 默认安装路径下会有一个init...
wireshark数据结构
唐装鼠的主页
11-22 1202
它们互相配合,协同完成了一系列复杂的工作,使得 Wireshark 可以深入剖析网络流量的细节,并为用户提供丰富的分析功能。同时,所有相关的 epan_dissect_t 结构体会共同构成一个全局的 epan_t 结构体,以反映当前 Wireshark 的分析状态。因此可以说,epan_dissect_t 负责处理单个数据包的具体分析细节,而 epan_t 则负责在整个会话过程中协调和管理这些细节,使得 Wireshark 可以正确地进行复杂的网络数据包分析。
使用luawireshark编写解析hj212-2017协议插件-解析出hj212报文内容
FC901013的博客
04-25 1158
目录 前言 还没解决的问题: 还不知道如何解析不固定长度的字段 还不知道一个数据被分在多个TCP包里的情况如何处理 代码 local hj212_proto=Proto("hj212-2017","environment 212 protocal") local fields = hj212_proto.fields fields.qn = ProtoField.string("hj212_proto.qn", "QN", base.ASCII) fields.st = ProtoField.stri
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值