通过lua语言编写WireShark脚本插件解析自定义报文(完整版)

最新推荐文章于 2024-06-08 17:36:05 发布
最新推荐文章于 2024-06-08 17:36:05 发布
阅读量9.7k 收藏 63
点赞数 11
分类专栏: 工具 文章标签: lua语言脚本 WireShark插件 报文分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangquan1992/article/details/100161021
版权

0、前言

        在ICT人员用于网络分析的兵器库中,wireshark无疑是倚天剑,虽历史悠久,其锋利程度丝毫不减,由于开源,便于用户二次开发,这就使得此剑的颜值、功能都近乎完美。如果能够熟练的使用此剑,对于行走江湖也是百利而无一害。

        对于当下的主流协议wireshark都有自带解析插件,如IP、ARP、TCP、UDP、HTTP、DHCP等。但是实际应用中,这些协议通常只是我们传输数据过程的载体,有不少软件之间的通信协议都是私有的,如游戏客户端和服务器之间的交互协议通常都是私有的,Wireshark无法具体解析出各种字段之间的含义,只能显示接收到的二进制数据,给协议的分析和问题的排查带来了一定的困难,尤其是协议内容比较复杂时。

      本文从一个自定义的简单消息协议入手,分析如何通过lua来编写wireshark插件来解析自定义消息协议。欢迎大神指正,赐教

1、消息结构

假设需要通过TCP来传输的数据结构MSG如下:

#define DATA_LEN_MAX     1000
#define LISTEN_MAX       1024

#define SERV_PORT   8001
#define LOCAL_PORT  (SERV_PORT + 1)

#define MSG_BIT1_SYN    0
#define MSG_BIT1_ACK    1
#define MSG_BIT1_ERR    2
#define MSG_BIT1_UNKOWN 3

#define MSG_BIT2_RUN            1
#define MSG_BIT2_STOP           0
#define MSG_BIT2_SHUTDOWN       2
#define MSG_BIT2_REBOOT         3
#define MSG_BIT2_IDEL           4
#define MSG_BIT2_ERROR          7

#define MSG_BIT4_TRUE     1
#define MSG_BIT4_FALSE    0

typedef struct APP_MSG_HEADER{
    unsigned char msg_no;
    unsigned char msg_version; 
}MSG_HEADER;

typedef struct APP_MSG{
    MSG_HEADER msg_header;
    unsigned char msg_len;
    unsigned char msg_bit1:2;
    unsigned char msg_bit2:3;
    unsigned char msg_bit3:2;
    unsigned char msg_bit4:1;
    unsigned int local_id;
    unsigned int remote_id;
}MSG;

该消息MSG(12Byte)+业务数据(988Byte)一起传输,抓取的报文如下:

       通过wireshark可以知道每一个字段的内容,但如果消息结构复杂,需要计算偏移方可获取到指定字段值;再者,如果消息结构中含有位域字段则更加复杂,伤眼睛;最后,无法使用消息字段中的指定字段进行报文过滤操作。基于以上几点原因,为了帮助分析,编写插件脚本分析势在必行。

2、插件编写

通过lua语言可以编写插件实现对MSG的解析,具体脚本msg_analysis.lua如下:

-- @brief Implementation of custom protocol parsing through Lua script programming
-- @author wang quan
-- @date 2019.09.06


	local VALS_BIT_1_3  = {[0x0] = "SYN", [0x1] = "ACK", [0x2] ="ERR", [0x3] = "UNKOWN"}
	local VALS_BIT_2  	= {[0x0] = "STOP", [0x1] = "RUN", [0x2] ="SHUTDOWN", [0x3] = "REBOOT",[0x4] = "IDLE",[0x7] = "ERR"}
	local VALS_BIT_4 = {[0] = "False", [1] = "True"}

	-- 1. 创建解析器对象
	local NAME = "CUST_MESS_PROTO"  --自定义的协议名
	local MsgProto = Proto(NAME, "Custom Message over TCP Protocol")

	-- MsgProto 定义协议的解析字段
	local fields = MsgProto.fields
    fields.msg_no = ProtoField.uint8(NAME .. "MSG_NO", "msg_no", base.DEC) 
	fields.msg_version = ProtoField.uint8(NAME .. "MSG_VERSION", "msg_version", base.DEC)
    fields.msg_len = ProtoField.uint8(NAME .. "MSG_LEN", "msg_len", base.DEC)
	
	fields.length = ProtoField.uint32(NAME .. "LENGTH", "[Length]", base.DEC) 	--数据总长度说明
	fields.data_length = ProtoField.uint32(NAME .. "DATA_LENGTH", "[DataLength]", base.DEC)--应用数据长度说明 
	
	fields.msg_bitx = ProtoField.uint8(NAME .. "MSG_BITX", "msg_bitx", base.HEX)	-- 位域定义
    fields.msg_bit1 = ProtoField.uint8("MSG_BIT1", "msg_bit1", base.DEC,VALS_BIT_1_3,0x3)
    fields.msg_bit2 = ProtoField.uint8("MSG_BIT2", "msg_bit2", base.DEC,VALS_BIT_2,0x1C)
    fields.msg_bit3 = ProtoField.uint8("MSG_BIT3", "msg_bit3", base.DEC,VALS_BIT_1_3,0x60)
	fields.msg_bit4 = ProtoField.uint8("MSG_BIT4", "msg_bit4", base.DEC,VALS_BIT_4,0x80)
	
	fields.local_id = ProtoField.uint32("LOCAL_ID", "local_id", base.DEC)
    fields.remote_id = ProtoField.uint32("REMOTE_ID", "remote_id", base.DEC)

	local data_dis = Dissector.get("data")

-- 2. 解析器函数 dissect packet 
--[[
    下面定义 foo 解析器的主函数,这个函数由 wireshark调用
    第一个参数是 tvb 类型,表示的是需要此解析器解析的数据
    第二个参数是 Pinfo 类型,是协议解析树上的信息,包括 UI 上的显示
    第三个参数是 TreeItem 类型,表示上一级解析树
--]]

function MsgProto.dissector (tvb, pinfo, tree)

   --从根树上创建一个子树打印解析的消息数据
  local subtree = tree:add(MsgProto, tvb())
		subtree:append_text(", msg_no: " .. tvb(0, 1):uint())
  -- 分组详情中协议行显示的协议名
  pinfo.cols.protocol = MsgProto.name 

  tvb_length = tvb:len()
  -- dissect field one by one, and add to protocol tree
  --消息中包括一个消息头,继续创建树解析
  local msg_head_tree = subtree:add(MsgProto, tvb(0,2),"MSG_HEADER") --"MSG_HEADER"参数会取代协议名显示
	    msg_head_tree:add(fields.msg_no, tvb(0, 1))--表示从0开始1个字节
	    msg_head_tree:add(fields.msg_version, tvb(1, 1))
  
  subtree:add(fields.msg_len, tvb(2,1)) 
  
  subtree:add(fields.length, tvb_length) --显示数据片长度信息,不从片内存从取数据
  subtree:add(fields.data_length, tvb_length-8)

  -- 位域继续创建树解析
  local msg_bitx_tree = subtree:add( fields.msg_bitx, tvb(3,1) )       -- bitfield
  			msg_bitx_tree:add(fields.msg_bit1,tvb(3,1))
			msg_bitx_tree:add(fields.msg_bit2,tvb(3,1))
			msg_bitx_tree:add(fields.msg_bit3,tvb(3,1))
			msg_bitx_tree:add(fields.msg_bit4,tvb(3,1))

	subtree:add_le(fields.local_id,tvb(4,4))
	subtree:add_le(fields.remote_id,tvb(8,4))			

  data_dis:call(tvb(12):tvb(), pinfo, tree) --解析数据流中除消息结构后面的数据,值得注意的是call的参数名必须为tvb,???,希望有大佬不吝赐教一下

end

-- 3 将解析器注册到wireshark解析表 register this dissector
local udp_port_table = DissectorTable.get("tcp.port")

--添加解析的TCP端口,根据端口号识别协议
for i,port in ipairs{8001,8002} do
  udp_port_table:add(port,MsgProto)
end

3、插件使用

lua语言为弱语言,无需编译。1、直接将该脚本文件在wireshark安装目录中,2、再在当前路径下找到init.lua文件,在其中结尾处添加dofile(DATA_DIR.."msg_analysis.lua")语句,3、重启wireshark。语句具体如下:

4、结果展示

4.1、CUST_MESS_PROTO解析显示

通过加载脚本插件后可以看出原来的传输数据已经被解析成自定义协议CUST_MESS_PROTO

4.2、CUST_MESS_PROTO树状显示

4.3、报文过滤显示

通过消息结构中的字段MSG_BIT3 == 1进行报文过滤,具体如下:

 

 

老王不让用
关注
  • 11
    点赞
  • 63
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
Lua脚本编写Wireshark插件解析第三方私有协议
悦分享
07-25 4231
echo_500.lua”),通过这样的方式加载自定义插件。目前对于Wireshark来说,C/C语言Lua脚本编写插件的主流语言,对于C/C语言这类语言来说,不可否认它具有非常高的性能,但是其编译配置较为麻烦,每次修改都要重新编译,而Lua脚本虽然解析效率没前者那么高,但是它的语法和修改都非常简单,可以提高了开发效率。当然,有些工控流量可能比本文的例子相对复杂一些,可能包含加密和签名等字段,这就需要更长的逆向分析时间,只要把协议数据的报文格式了解清楚了,那么编写插件也是水到渠成的事情。......
Wireshark+lua插件方式抓包及解析OMCI协议报文详细信息
03-26
Wireshark+lua插件方式抓包及解析OMCI协议报文详细信息
Wireshark自定义Lua插件
最新发布
Sheng_Q的博客
06-08 3200
常见的抓包工具有tcpdump和wireshark,二者可基于网卡进行抓包:tcpdump用于Linux环境抓包,而wireshark用于windows环境。抓包后需借助包分析工具对数据进行解析,将不可读的二进制数转换为可读的数据结构。 wireshark不仅可以作为抓包工具,还可以作为包解析工具。Wireshark针对常见协议都提供了对应的解析插件, 如: TCP、UDP、HTTP、SIP等;同时提供了自定义插件机制,用户可以基于此解析自定义消息。至于插件wireshark支持C语言插件Lua插件,L
Wireshark Lua插件自定义
jjxojm的专栏
06-20 2741
近期工作刚好有实现自定义的UDP相关协议,用Wireshark时只能给出原始的字节流,观察起来确实十分不便,为此研究了一下WiresharkLua插件实现,在此记录一下。 一、配置执行Lua脚本 首先通过菜单的"About Wireshark"查看一下Wireshark对应Lua引擎的支持情况,如下图所示: 默认安装路径下会有一个init...
Wireshark使用Lua脚本解析报文
文石_2009的博客
04-25 1351
WiresharkLua
使用 lua 编写 wireshark 协议解析插件
weixin_30824479的博客
12-15 355
一、平台 操作系统:windows 7 wireshark:1.10.3 lua:5.1 二、准备 lua 语言基本语法,特别是关于表操作和循环 wireshark 文档,包括用户使用文档和开发者文档,这些在 wireshark 官方网站都能找到 三、开始 我们首先定义一个简单的协议,我们使用 C 语言的语法描述, 1 struct foo 2 { 3 ...
Wireshark解析自定义协议
02-20
利用Wireshark解析自定义协议,以portal协议为实例,并利用LUA脚本进行解释。
Wireshark解析自定义协议数据报文
HackFun物联网开发实验室
12-22 3484
Wireshark是一款很好用的网络抓包工具,在实际工作经常用它来抓取网络包来分析问题。Wireshark支持很多标准的网络协议,功能很强大。但是有些时候我们可能会用到自定义的协议,这些Wireshark肯定无法解析。这种情况下,就需要自己编写程序来解析自定义协议。可以读取抓包文件,在其查找自定义协议的一些特殊字节序列,比如魔数,找到后,将相应长度的包读取出来,按照v协议数据格式进行解析
wireshark Lua脚本编写
vegeta852的博客
11-02 842
wireshark Lua脚本编写 Lua语言脚本语言,只需要编写相关协议解析脚本内容,然后由wireshark加载即可(Wireshark自带Lua解析器),wireshark封装丰富的接口给Lua使用,一些有用的docs: https://www.wireshark.org/docs/wsdg_html_chunked/index.html 第十章: 10. Lua Support in Wireshark 第十一章: 11. Wireshark’s Lua API Reference Manual
wireshark lua 插件 解析提取网络报文传输内容(文本,多媒体,等信息)
12-14
1. windows 下 安装 wiresshark (2.2.6测试没有问题)版本最好是最新的版本 老版本好像会报一个tshark错误 2. 安装好wiresshark后的目录(**/**/Wireshark)下创建一个 lua 文件夹。把root3.0放在当前文件夹下 并解压 3. 在wiresshark目录下 init.lua 文件目录添加上一行 dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 4. 最好用tshark 命令读包。 tshark.exe -q -r 报文路径 注意: windows 下最好是不用的时候把 init.lua dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 这行注释掉。要不然会产生很多文件拖延文件打开速度 {liunx 下也可以 不过要加上一个环境变量。否则会报找不到文件。具体的太久了忘记了!!}
Wireshark lua 插件批量查询报文指定内容
村中少年的专栏
01-05 3407
wireshark插件方法介绍。Wireshark lua 插件批量查询报文指定内容
lua语言编写Wireshark插件解析自定义协议
08-03
lua语言编写Wireshark插件解析自定义协议
制作lua脚本抓取wireshark自定义协议报文
11-05
Wireshark内置的解析器无法识别这些协议时,我们可以通过编写Lua脚本来实现自定义解析。首先,你需要理解你要解析的协议格式,包括起始标志、数据结构、字段意义等。然后,使用Lua API来定义协议层,设置解码规则...
用于解析TRDP报文Lua插件
04-12
【使用方法】使用插件时,将插件lua脚本放置在Wireshark的安装目录plugins目录下 并在主目录找到init.lua文件,在文件找到enable_lua或disable_lua,将enable_lua = true或disable_lua = false,即使Lua脚本...
wireshark-lua解析自定义协议
quniyade0的博客
03-29 5107
wireshark-lua解析自定义协议 前言 wireshark支持使用lua脚本解析自定义的协议。 最近因工作需要接触了一下。我的需求是不用细抠lua的语法,而要快速的使用上,将我的协议数据解析出来,显示各项信息方便我分析数据。 现稍作整理,分享给和我有相似需要的小伙伴。 一、Lua概览 和其他语言可能不太一样的: 以行分割,不需要分号 注释符号为 --(两个减号) 不等于是 ~= 没有++和+=,需要显示写 i = i + 1 变量有两种,全局和local,带local声
Wireshark添加自定义协议解析
lishuangquan1987的博客
12-10 2323
最终效果如下:参考文档:https://mika-s.github.io/topics/此参考文档7个例子教我们如何编写lua脚本去识别我们自定义的协议。
使用Lua脚本wireshark编写自定义通信协议解析插件
热门推荐
曾梦想仗剑走天涯
10-28 3万+
使用Lua脚本wireshark编写自定义通信协议解析插件
wireshark自定义解析协议插件
bella928的博客
07-05 4377
--   自定义一个协议  local demo_protocol=Proto("demo"," my protocol")--    定义协议字段  local demo_len=ProtoField.uint16("demo_len","demo len",base.HEX)  local demo_Id=ProtoField.uint8("demo_Id","demo Id",DEC
使用luawireshark编写解析hj212-2017协议的插件-解析出hj212报文内容
FC901013的博客
04-25 1129
目录 前言 还没解决的问题: 还不知道如何解析不固定长度的字段 还不知道一个数据被分在多个TCP包里的情况如何处理 代码 local hj212_proto=Proto("hj212-2017","environment 212 protocal") local fields = hj212_proto.fields fields.qn = ProtoField.string("hj212_proto.qn", "QN", base.ASCII) fields.st = ProtoField.stri
lua语言编写游戏脚本
06-11
Lua是一种轻量级、快速、可嵌入的脚本语言,非常适合用于游戏脚本编写。许多游戏引擎都支持Lua作为脚本语言,例如Unity、Cocos2d-x、Love2d等。使用Lua编写游戏脚本能够使游戏的逻辑更加灵活,同时也提高了游戏的可维护性和可扩展性。 在编写Lua脚本时,可以使用Lua的基本语法、函数、表等特性来实现游戏逻辑。例如,使用Lua的表来存储游戏的角色信息、道具信息等数据,使用Lua的函数来实现游戏的各种功能,例如角色移动、攻击、使用道具等。此外,Lua还支持元表和协程等高级特性,可以用于更加复杂的游戏逻辑实现。 总之,使用Lua编写游戏脚本是一种非常有效的方式,可以提高游戏的灵活性和可维护性,也能够让游戏逻辑更加清晰和易于理解。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

老王不让用

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值