wireshark lua脚本开发

最新推荐文章于 2024-08-03 23:33:02 发布
最新推荐文章于 2024-08-03 23:33:02 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: 架构人生 文章标签: lua wireshark 脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/skybtone/article/details/56021537
版权

1.  需求

在各个行业中,产品(模块)往往需要与其他产品进行数据交互,尤其是不同生产商,会采用非标准协议,通过抓包工具抓到报文分析问题时,只能看到二进制字节,不能对这些报文进行详细分析,对问题分析带来较大不便。

wireshark支持通过编辑lua脚本实现通信协议的分析。问题说明:

1.1.      数据帧在网络中会出现合包、分包。即一个包中可能包含x.y个数据帧,其中x≥1,y≥0,如果需要解析一个完整的数据帧,可能需要将上一帧的数据带到下一帧中解析;

1.2.      点击每个解析树节点时,是否可以直接对应到报文窗口中的每个字节;

1.3.      解析时是否支持中文;

2.  解决方案

通过编辑wireshark安装目录中init.lua文件,最后几行中可以列出所有自定义协议的lua文件:

dofile(DATA_DIR.."console.lua")

dofile(DATA_DIR.."zyhd/zj104.lua")

编辑zj104.lua文件:

local my_proto = Proto ("zj104","zhejiang 104 protocol")

function my_proto.dissector(buffer,pinfo,tree)

       local pktlen = buffer:len()

    local bytes_consumed = 0   

   

--逐个解析每个数据帧,如果数据帧不完整,则将不完整的部分保留到下一个数据帧中,解决问题1.1

    while bytes_consumed < pktlen do

              local result = dissectFrm(buffer, pinfo, tree, bytes_consumed)

              if result > 0 then

                     bytes_consumed = bytes_consumed + result

              elseif result == 0 then

                     return 0

              else

                     pinfo.desegment_offset = bytes_consumed

                     result = -result

                     pinfo.desegment_len = result

                     return pktlen

              end

       end

      

       return bytes_consumed

end

 

--计算数据帧的帧长

checkFpmLength = function (buffer, offset)

       local msglen = buffer:len() - offset

       if msglen ~= buffer:reported_length_remaining(offset) then

              return 0

       end

      

       if msglen < 7 then

              return -DESEGMENT_ONE_MORE_SEGMENT

       end

      

       local length_tvbr = buffer:range(offset + 1, 2)

       local length_val  = length_tvbr:le_uint() + 3

       if msglen < length_val then

              return -(length_val - msglen)

       end

      

       return length_val, length_tvbr

end

 

--对单个数据帧的完整解析

dissectFrm = function (buffer, pinfo, tree, offset)

       local length_val, length_tvbr = checkFpmLength(buffer, offset)

       if length_val <= 0 then

        return length_val

    end

   

       local myProtoTree = tree:add(my_proto, buffer(offset, length_val), "浙江104通信协议@中元华电")

--第二个参数,告诉解析器对应报文窗口中的位置。解决问题1.2

       local apcitree = myProtoTree:add(my_proto, buffer(offset, 7),"APCI")

      

       start = buffer(offset, 1):le_uint()

      

       apcitree:add_le(my_proto,buffer(offset, 1),"起始:",  string.format("0x%x",start))

       offset = offset + 1

 

       frm_len = buffer(offset, 2):le_uint()

       apcitree:add_le(my_proto,buffer(offset, 2),"长度:", frm_len)

       offset = offset + 2

      

       local pbuf3 = buffer(offset, 1):le_uint()

      

       if(frm_len==4) then

              if(bit32.band(pbuf3,3)==1) then

                     --s frame

                            offset=offset+2

                            apcitree:add_le("s frame")

                            apcitree:add_le(my_proto,buffer(offset, 2),"recvSN:", bit32.rshift(buffer(offset, 2):le_uint(),1))                  

              elseif(bit32.band(pbuf3,3)==3) then --u frame

                     apcitree:add_le("u frame")

                     if(bit32.rshift(pbuf3,2)==1) then

                            apcitree:add_le("startDT")

                     elseif(bit32.rshift(pbuf3,3)==1) then

                            apcitree:add_le("startDT ack")

                     elseif(bit32.rshift(pbuf3,4)==1) then

                            apcitree:add_le("stopDT")

                     elseif(bit32.rshift(pbuf3,5)==1) then

                            apcitree:add_le("stopDT ack")

                     elseif(bit32.rshift(pbuf3,6)==1) then

                            apcitree:add_le("testDT")

                     elseif(bit32.rshift(pbuf3,7)==1) then

                            apcitree:add_le("testDT ack")

                     end

              end

       else

      

              apcitree:add_le("I帧")

              --i frame

              local sendSN = buffer(offset, 2):le_uint()

              apcitree:add_le(my_proto,buffer(offset, 2),"发送序号:", bit32.rshift(buffer(offset, 2):le_uint(),1))

              --asdu:add_le("发送序号:", bit32.rshift(buffer(offset, 2):le_uint(),1))

              offset = offset + 2

              apcitree:add_le(my_proto,buffer(offset, 2),"接收序号:", bit32.rshift(buffer(offset, 2):le_uint(),1))

              --local recvSN=buffer(offset, 2):le_uint()

              offset = offset + 2      

              asdutree = myProtoTree:add(my_proto,buffer(offset, length_val-7),"ASDU")

              local asduType=buffer(offset, 1):le_uint()

             

              if(asduType==15 ) then

                            offset = asdu15(buffer,pinfo,asdutree,offset)

              elseif(asduType==16) then

                            offset = asdu16(buffer,pinfo,asdutree,offset)     

              elseif(asduType==13) then

                            offset = asdu13(buffer,pinfo,asdutree,offset)            

              elseif(asduType==14) then

                            offset = asdu14(buffer,pinfo,asdutree,offset)

              elseif(asduType==113) then

                     asdutree:add_le("type:",string.format("%d",asduType),"(call brief report)")      

              elseif(asduType==114) then

                     asdutree:add_le("send brief report")   

              elseif(asduType==1) then

                     asdutree:add_le("switch shift")

              end

       end

      

       return length_val

end

 

--省略asdu13接口等定义

 

--注册解析器

local tcp_port_table = DissectorTable.get("tcp.port")

local my_port = 2404

tcp_port_table:add(my_port, my_proto)

 

lua文件保存为utf8格式后,wireshark解析窗口中可正常显示中文,解决问题1.3

胖头他爸
关注
专栏目录
如何用wireshark加载自定义.lua脚本
笔者从事电信媒体开发多年,愿意将多年的开发经验分享给同行
03-18 1万+
指导wireshark加载自定义的lua脚本文件
详细版Wireshark安装,堪称保姆级教程,Wireshark抓包
Karka_的博客
10-08 235
WireShark是非常流行的网络封包分析工具,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程中各种问题定位。本文主要内容包括:1、Wireshark软件下载和安装以及Wireshark主界面介绍。2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。3、Wireshark过滤器使用。通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。
wireshark Lua脚本编写
vegeta852的博客
11-02 858
wireshark Lua脚本编写 Lua语言是脚本语言,只需要编写相关协议解析的脚本内容,然后由wireshark加载即可(Wireshark自带Lua解析器),wireshark封装丰富的接口给Lua使用,一些有用的docs: https://www.wireshark.org/docs/wsdg_html_chunked/index.html 第十章: 10. Lua Support in Wireshark 第十一章: 11. Wireshark’s Lua API Reference Manual
wireshark.exe bat脚本抓包 ,持续抓包 每10分钟分片存为一个文件
最新发布
zengliguang的专栏
08-03 402
运行此批处理脚本后,会持续抓包并每 10 分钟保存一个新的文件。文件名包含当前的日期和时间。以下是一个批处理脚本示例,用于使用。
Wireshark内嵌解析协议的LUA脚本
weixin_46946968的博客
11-22 3284
Wireshark官网对lua插件的API介绍英文的,看起来很头疼,小编这里是下载个网易有道翻译截图翻译的。最头疼的还不是这个,而是怎么调用这些API,从何下手才是最头疼的,只能通过代码边用边熟悉了。下面我给的是一些常用的API以及在网址的位置。
wireshark Lua脚本插件源码
09-22
Lua脚本开发的一种私有协议的解析插件的源码,附有.pcap抓包文件,简小精短。
Wiresharklua脚本介绍
Little_Eyelash的博客
03-26 8743
Wiresharklua脚本介绍 概述 Wireshark是非常强大的报文解析工具,是网络定位中不可缺的使用工具,在物联网中很多为自定义协议,wireshark无法解析,此时lua脚本就有了用武之地。Lua是一个脚本语言,不需要编译可以直接调用,完美解决了自定义报文解析。 代码框架 -- create a new dissector local NAME = "Doip" local PORT = 13400 local Doip = Proto(NAME, " Doip Protocol")
Wireshark自定义Lua插件
Sheng_Q的博客
06-08 5410
常见的抓包工具有tcpdump和wireshark,二者可基于网卡进行抓包:tcpdump用于Linux环境抓包,而wireshark用于windows环境。抓包后需借助包分析工具对数据进行解析,将不可读的二进制数转换为可读的数据结构。 wireshark不仅可以作为抓包工具,还可以作为包解析工具。Wireshark针对常见协议都提供了对应的解析插件, 如: TCP、UDP、HTTP、SIP等;同时提供了自定义插件机制,用户可以基于此解析自定义消息。至于插件,wireshark支持C语言插件和Lua插件,L
Wireshark LUA脚本分析自定义帧格式
qq_40878398的博客
12-06 1023
Wireshark LUA脚本分析自定义帧格式 1. 帧格式 ​ 该帧格式由课设要求引出,本次课设要求在eth0网络接口与Linux内核TCP/IP间串接一个虚拟网络接口vni0,如下图所示: ​ 此报文格式修改为下图所示: 以太帧头部: ​ 目的MAC地址(6字节) = 广播MAC地址; ​ 源MAC地址(6字节) = 发送方eth0的MAC地址; ​ 类型(2字节) = 0xF4F0(即VNI的协议编号); VNI头部: ​ VNI类型(4字节) = 学号后4位数,每个数1个字节; ​ 分组
wireshark中获取H264码流lua脚本
10-14
1.查看安装路径下是否存在init.lua,确保disable_lua = false 2.在init.lua的最后加上dofile(DATA_DIR.."rtp_h264_extractor.lua") 3.把rtp_h264_extractor.lua这个文件放在init.lua同一个路径下
使用Lua脚本wireshark编写自定义通信协议解析器插件
11-29 5625
在网络通信应用中,我们往往需要自定义应用层通信协议,例如基于UDP的Real-Time Transport Protocol以及基于TCP的RTP over HTTP。鉴于RTP协议的广泛性,wireshark(ethereal)内置了对RTP协议的支持,调试解析非常方便。RTP over HTTP作为一种扩展的RTP协议,尚未得到wireshark的支持。在《RTP Payload Form
制作lua脚本抓取wireshark自定义协议报文
11-05
用了半天时间写了个脚本测试了一下,感觉很方便,分享下。
基于Lua语言的wireshark插件编写
一条二哈
12-12 3952
一、两种语言开发插件的对比 想要开发wireshark插件,我们可以使用C语言也可以使用Lua语言。如下图,是使用两种语言开发插件的对比。 如上图,我最后选择使用Lua语言进行开发wireshark插件。 二、插件功能 目前我有一个任务,需要解析RTP包的payload,这个payload前三个字节是自定义的字节,后面的才是H264的数据、或者OPUS的数据。 因此我需要在RTP包的上层进行...
使用Lua编写Wireshark解析ProtoBuf插件
Kayn_Liu的博客
03-16 1838
使用Lua编写插件解析Wireshark中的ProtoBuf协议
Wireshark使用Lua脚本解析报文
文石_2009的博客
04-25 1543
WiresharkLua
使用lua脚本编写wireshark协议插件
alusc的专栏
01-06 379
使用wireshark做协议分析,自定义协议可以编写Dissector插件进行分析,开始考虑使用c语言编写插件,了解了一下,发觉太麻烦,在效率要求不高的情况下,可以使用lua脚本编写插件: 要使用lua脚本,先使wireshark支持lua脚本,编辑init.lua(在wireshark目录下),找到"disable_lua = true; do return end;"行,在最前面添加"--"将此行注释掉; 编写lua脚本文件,GZTP.lua 文件 do local p_GZ
Wireshark解析器(Dissector)插件-Lua
heusunduo88的博客
03-30 2119
Wireshark解析器(Dissector)插件-Lua
Wireshark 实现分包
baiqishijkh的博客
05-11 7947
        在使用wireshark(或者linux系统下tcpdump)进行网络数据抓取时,有时候因为抓取时间较长会使得产生的抓包文件比较大,有可能我们所抓取的有效数据包出现在很多无效数据包之后产生,这样会存在分析不便的情况,我们可以尝试这将抓取的数据包进行相应的拆分处理以提取出有效数据包。我们将使用wireshark自带的editcap.exe工具来实现分包操作。1、找到wireshark...
wireshark Lua 脚本
09-08
要使用Wireshark Lua脚本,首先需要将lua文件放置在Wireshark的安装目录中,并在Wireshark的根目录中找到init.lua文件。然后,将init.lua文件中的enable_lua设置为true,并在文件目录中添加我们编写的lua脚本。可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值