Wireshark源码分析（二）

最新推荐文章于 2025-07-26 09:47:05 发布

原创

最新推荐文章于 2025-07-26 09:47:05 发布 · 4.5k 阅读

15 ·

CC 4.0 BY-SA版权

Wireshark作为网络封包分析工具，采用CMake+GLib+C语言构建，QT实现界面。其启动时对所有解析器初始化，形成协议栈解析链。内存管理包括内存池，分为不同生命周期的池如数据包池和文件池，以避免内存泄漏和use-after-free错误。

Wireshark介绍

Wireshark是一个网络封包分析工具。可通过WinPCAP直接对网卡数据进行抓包，并通过内置协议进行分析展示。

本人主要通过Wireshark对无线通信3GPP协议进行展开分析。

用CMake构建项目，使用 GLib库 + C语言实现协议解析，前端使用QT进行界面展示。

总体结构：

初始化

Wireshark启动时，需要对所有解析器进行初始化和注册。包括协议名称、各个字段的信息、过滤用的关键字、要关联的下层协议与端口(handoff) 等。在解析过程，每个解析器负责解析自己的协议部分，然后把上层封装数据传递给后续协议解析器，这样就构成一个完整的协议栈解析。

解析链条的最上端是Frame解析器，它负责解析pcap帧头。后续该调用哪个解析器，是通过上层协议注册 handoff 信息时写在当前协议的 hash表来查找的。


程序入口	int main(int argc, char *qt_argv[])	\ui\qt\main.cpp
内存管理文件	一套完整的自己实现的内存管理框架。 wmem 替代了旧版的 emem.

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Hozy_

关注关注

2
点赞
踩
15

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

wireshark源码分析 是怎么完成协议识别的

qq_41167620的博客

06-05

950

在wireshark中，他所有的协议相关操作，都是通过一个全局变量处理的，变量的内容就是一个关于接口描述和接口回调的成员。通过process_packet_single_pass处理单个数据包，每层数据包都会使用decode_udp(tcp)_ports识别协议，这里面提供端口和特征识别；很简单，对比其他工具特征识别逻辑（比如suricata的hyperscan），wireshark针对特征识别真的很简单。关于特征识别，wireshark是不太注重的，因为其使用场景多为协议分析，读取文件的形式。

wireshark源代码的结构分析

vyCode

02-23

8265

一、层次化的数据包协议分析方法　　取得捕包函数捕回的数据包后就需要进行协议分析和协议还原工作了。由于OSI的7层协议模型，协议数据是从上到下封装后发送的。对于协议分析需要从下至上进行。首先对网络层的协议识别后进行组包还原然后脱去网络层协议头。将里面的数据交给传输层分析，这样一直进行下去直到应用层: IP / \ TCP UDP / \ HTTP TFT

参与评论您还未登录，请先登录后发表或查看评论

wireshark源代码分析

热门推荐

zx824

01-17

5万+

经过多次尝试，终于在windows上成功编译wireshark源代码，但用的不是下面的这个步骤，不过大同小异，我的是vs2005，所以用的：http://blog.csdn.net/alexander_vc/article/details/6198836 的方法。 1.2.7版的wireshark的capture_if_details_dlg_win32.c对vs2005有bug，需要下载更

wireshark源码

06-10

wireshark源码分析问题这几天在看wireshark（ethereal）源代码。看源代码的主要兴趣点是它的分析模块(dissect)。分析之后他的数据存在哪儿，怎么打印的（-V参数）。我想把分析后的数据，提取出来，存在自己定义的数据结构里面，或者按我自己的格式写入文本中。看了几天，对一些数据结构，似懂非懂，一些流程也是似懂非懂。可能由于经验不足的原因，搞来搞去就在几个函数，结构体里面打转。好几次以为找到切入点，发现又回来原来的起点。这两天看晕了。有点打击，水平太差劲了。。呵呵。先这边问问，看看有没有熟悉的朋友。指点一下。先谢谢了。这样问问题可能太细了。感觉也不大合适。 1. 我应该如何来看代码？如何找到突破点？ 2. 有wireshark有了解的朋友，说说你们关于源码剖析的体会。 3. 说什么都可以，朋友觉得对我有用，有启发就好。千万别 “我顶，UP啊”。呵呵:emn23:我觉得重要的是看 pcap库本帖最后由 peidright 于 2010-04-02 16:36 编辑楼上说得对！。看源代码之前，问下你自己，看代码的目的是什么？对于 wireshark 来说，你是想学他写界面？还是抓包？还是业务逻辑？界面的话，wireshark 还行抓包的话，应该看pcap库业务逻辑的话。不应该看wireshark,看tcpdump.看下啊，:em03:看看这个也许对你有帮助添加一个基础的RDP解析器下面我们将循序渐进地设计一个基础的RDP解析器。它依次包含如下构成要素：包类型字段（占用8比特位，可能的值为：1，初始；2，终结；3，数据）；标志集字段（占用8比特位：0x01，开始包；0x02，结束包；0x04先包）；序列号字段（占用16比特位）； 1. 创建解析器首先您需要选择解析器的类型：内置型（包含在主程序中）或插件型。插件是容易编写的，先做一个插件型解析器吧。例1. 解析器初始设定. #ifdef HAVE_CONFIG_H #include "config.h" #endif #include #include void proto_register_rdp(); void proto_reg_handoff_rdp(); static void dissect_rdp(tvbuff_t *tvb,packet_info *pinfo,proto_tree *tree); static int proto_rdp=-1; static dissector_handle_t rdp_handle; static gint ett_rdp = -1; define TCP_PORT_RDP 3389 void proto_register_rdp(void) { proto_rdp=proto_register_protocol( "RDP Protocol", "RDP", "rdp"); } 现在来逐一分析这段代码。首先我们有一些常规的包含文件，最好依惯例在文件开始包含进来。随后是一些函数的前置声明，我们稍后定义它们。接下来我们定义了一个整型变量"proto_rdp"用于记录我们的协议注册信息。它被初始化为"-1"，当解析器注册到主程序中后，其值便会得到更新。这样做可保证我们方便地判断是否已经做了初始工作。将所有不打算对外输出的全局变量和函数声明为"static"是一个良好的习惯，因为这可以保证命名空间不被污染。通常这是容易做到的，除非您的解析器非常庞大以致跨越多个文件。之后的模块变量"TCP_PORT_RDP"则包含了协议使用的TCP端口号，我们会对通过该端口的数据流进行解析。 solaris10下proc编译问题 >紧随其后的是解析器句柄"rdp_handle"，我们稍后对它进行初始化。至此我们已经拥有了和主程序交互的基本元素，接下来最好再把那些预声明的函数定义一下，就从注册函数"proto_register_rdp"开始吧。首先调用函数"proto_register_protocol"注册协议。我们能够给协议起3个名字以适用不同的地方。全名和短名用在诸如"首选项（Preferences）"和"已激活协议（Enabled protocols）"对话框以及记录中已生成的域名列表内。缩略名则用于过滤器。下面我们需要一个切换函数。例2. 解析器切换. void proto_reg_handoff_rdp(void) { static gboolean initialized=FALSE; if(!initialized) { rdp_handle = create_dissector_handle(dissect_rdp, proto_rdp); dissector_add("tcp.port", TCP_PORT_RDP, rdp_handle); initialized=TRUE; } } 这段代码做了什么呢？如果解析器尚未初始化，则对它进行初始化。首先创建解析器。这时注册了了函数"dissect_rdp"用于完成实际的解析工作。之后将该解析器与TCP端口号相关联，以使主程序收到该端口的UDP数据流时通知该解析器。至此我们终于可以写一些解析代码了。不过目前我们仅写点儿基本功能占个位置。例3.解析 static void dissect_rdp(tvbuff_t *tvb,packet_info *pinfo,proto_tree *tree) { if(check_col(pinfo->cinfo, COL_PROTOCOL)) { col_set_str(pinfo->cinfo, COL_PROTOCOL, "RDP"); } if(check_col(pinfo->cinfo,COL_INFO)) { col_clear(pinfo->cinfo,COL_INFO); } } 该函数用于解析传递给它的数据包。包数据由"tvb"参数指向的特殊缓冲区保管。现在我们已深入到协议的细节，对它们您肯定是了若指掌。包信息结构参数"pinfo"包含了协议的基本数据，以供我们更新。参数"tree"则指明了详细解析发生的地方。这里我们仅做了保证通过的少量工作。前两行检查UI中"协议（Protocol）"列是否已显示。如果该列已存在，就在这儿显示我们的协议名称。这样人们就知道它被识别出来了。另外，如果"信息（INFO）"列已显示，我们就将它的内容清除。至此我们已经准备好一个可以编译和安装的基本解析器。不过它目前只能识别和标示协议。为了编译解析器并创建插件，还需要在解析器代码文件"packet-rdp.c"所在目录下创建一些提供支持的文件: - Makefile.am - UNIX/Linux的makefile模板 - Makefile.common - 包含了插件文件的名称 - Makefile.nmake - 包含了针对Windows平台的Wireshark插件makefile - moduleinfo.h - 包含了插件版本信息 - moduleinfo.nmake - 包含了针对Windows平台的DLL版本信息 - packet-rdp.c - 这是您的解析器原代码文件 - plugin.rc.in - 包含了针对Windows平台的DLL资源模板 "Makefile.common"和"Makefile.am"文件中涉及到相关文件和解析器名称的地方一定要修改正确。"moduldeinfo.h"和"moduleinfo.nmake"文件中的版本信息也需要正确填充。一切准备妥善后就可以将解析器编译为DLL或共享库文件了（使用nmake工具）。在wireshark文件夹下的"plugins"文件夹中，建立"rdp"文件夹。将修改过的Makefile.common，Makefile.am，moduleinfo.nmake，moduldeinfo.h，Makefile.nmake及packet-rdp.c文件考到"rdp"文件夹下，然后进行编译，rdp插件自动生成完整，就可以正常工作了。 1. 解析协议细节现在我们已经有了一个可以运用的简单解析器，让我们再为它添点儿什么吧。首先想到的应该就是标示数据包的有效信息了。解析器在这方面给我们提供了支持。首先要做的事情是创建一个子树以容纳我们的解析结果。这会使协议的细节显示得井井有条。现在解析器在两种情况下被调用http://www.boomss.com：其一，用于获得数据包的概要信息；其二，用于获得数据包的详细信息。这两种情况可以通过树指针参数"tree"来进行区分。如果树指针为NULL，我们只需要提供概要信息；反之，我们就需要拆解协议完成细节的显示了。基于此，让我们来增强这个解析器吧。例4 static void dissect_rdp(tvbuff_t *tvb,packet_info *pinfo,proto_tree *tree) { proto_item *ti=NULLV; if(check_col(pinfo->cinfo,COL_PROTOCOL)) { col_set_str(pinfo->cinfo,COL_PROTOCOL,"RDP"); } if(check_col(pinfo->cinfo,COL_INFO)) { col_clear(pinfo->cinfo,COL_INFO); } if(tree) { ti = proto_tree_add_item(tree, proto_rdp, tvb, offset, -1, FALSE);} } 这里我们为解析添加一个子树。它将用于保管协议的细节，仅在必要时显示这些内容。我们还要标识被协议占据的数据区域。在我们的这种情况下，协议占据了传入数据的全部，因为我们假设协议没有封装其它内容。因此，我们用"proto_tree_add_item"函数添加新的树结点，将它添加到传入的协议树"tree"中，用协议句柄"proto_rdp"标识它，用传入的缓冲区"tvb"作为数据，并将有效数据范围的起点设为"0"，长度设为"-1"（表示缓冲区内的全部数据）。至于最后的参数"FALSE"，我们暂且忽略。做了这个更改之后，在包明细面板区中应该会出现一个针对该协议的标签；选择该标签后，在包字节面板区中包的剩余内容就会高亮显示。现在进入下一步，添加一些协议解析功能。在这一步我们需要构建一组帮助解析的表结构。这需要对"proto_register_rdp"函数做些修改。首先定义一组静态数组。例5 定义数据结构 static hf_register_info hf[]= { { &hf;_rdp_version, { "TPKT Header:Version", "rdp.version",

wireshark源码分析 一

weixin_30706507的博客

11-29

408

因为手头的项目需要识别应用层协议，于是想到了wireshark，打算在项目中集成wireshark协议分析代码。在官网上下了最新版的wireshark源代码，我的天啊，200多M，这么多代码文件怎么看？在网上了找了很久，希望能找到别人的分析报告，可惜的是，找了很久也没有找到，比较多的还是怎么开发wireshark协议识别和分析插件，很少有人分析它的源代码。于是，我找了个查看源代码比较方便的工具——...

wireshark协议解析器 源码分析 封装调用

whatday的专栏

04-22

8529

源码分析 Wireshark启动时，所有解析器进行初始化和注册。要注册的信息包括协议名称、各个字段的信息、过滤用的关键字、要关联的下层协议与端口（handoff）等。在解析过程，每个解析器负责解析自己的协议部分, 然后把上层封装数据传递给后续协议解析器，这样就构成一个完整的协议解析链条。解析链条的最上端是Frame解析器，它负责解析pcap帧头。后续该调用哪个解析器，是通过上层协议注册han...

wireshark数据包分析实战（第二版）+源码.rar

05-14

Practical Packet Analysis will teach you to make sense of your packet captures so that you can better troubleshoot network problems. You’ll find added coverage of IPv6 and SMTP, a new chapter on the ...

VS2015环境下编译wireshark源码工程

10-23

VS2015环境下编译wireshark源码工程的详细步骤和注意事项 Wireshark是一款广泛使用的网络协议分析工具，它允许用户监控和分析网络上各种协议的数据包。在Windows环境下，特别是使用Visual Studio 2015（VS2015）和...

Wireshark源代码深入研究：协议识别与网络分析

最新发布

weixin_31163455的博客

07-26

967

在现代网络诊断和安全分析领域，Wireshark已成为一款不可或缺的工具。本章旨在概述Wireshark的核心功能以及其在网络封包分析中的重要性。Wireshark的源代码不仅用于学习，也可以用于自定义开发和功能扩展。开发者可以利用源代码库来创建自己的插件，以支持新的网络协议或增加新的分析功能。此外，源代码的开放性鼓励社区贡献，为Wireshark的持续发展和改进提供了动力。

wireshark源码探索No.4---packet-ftp.c源码分析

timebomb的专栏

08-03

3802

wireshark-源码

01-23

Wireshark是一个免费开源的网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包，并尽可能显示出最为详细的网络数据包数据。在过去，网络数据包分析软件是非常昂贵，或是专门属于营利用的软件，Wireshark的出现改变了这一切。在GNU通用公共许可证的保障范围底下，用户可以以免费的代价获取软件与其代码，并拥有针对其源代码修改及定制的权利。Wireshark是当前全世界最广泛的网络数据包分析软件之一。

wireshark-20200303 网络抓包及分析工具源代码

03-10

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料

wireshark源代码

12-23

wireshark源代码，学习协议的好帮手 wireshark源代码，学习协议的好帮手wireshark源代码，学习协议的好帮手wireshark源代码，学习协议的好帮手

wireshark 最新源代码

07-03

这份是最新的wireshark的源代码，学习下

wireshark-20190407 网络抓包及分析工具最新源代码

04-11

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料

wireShark 代码分析

weixin_34381687的博客

07-22

236

应用中需要识别应用层协议，可以使用wireshark 具体的代码使用的参考： wireShark 1.6.5依赖于winpcap 4.1.2版本 WireShark winpcap区别 winpcap是链路层的抓包[采用驱动程序，和TCP/IP协议栈工作于一个层次，平行的结构] WireShark 是对数据包的分析，执行多种协议，插件结构实现，方便扩展编译方法developer-g...

wireshark 源码分析之健壮性探究（一）

Jason_Math的博客

05-04

860

wireshark 在解析处理大量复杂的数据包时如何避免段错误和死循环

【0基础秒入门】Wireshark源码开发指南：从获取到调试的全流程解析

gitblog_00651的博客

06-05

377

Wireshark源码开发指南：从获取到调试的全流程解析去发现同类优质开源项目:https://gitcode.com/ 前言 Wireshark作为网络协议分析领域的标杆工具，其开源特性吸引了全球开发者的参与。本文将深入讲解Wireshark源码的开发全流程，帮助开发者快速上手Wireshark的二次开发和贡献。源码获取方式 1. Git方式（推荐） Git是获取Wireshark源码的首选...

wirshark发包工具源码

qq_25427995的博客

07-12

649

需要下载https://link.csdn.net/?target=https%3A%2F%2Fwww.winpcap.org%2Finstall%2Fbin%2FWpdPack_4_1_2.zip开源库并且使用。/*#define _CRT_SECURE_NO_WARNINGS // 消除fopen告警。//存储目的IP地址。//UDP数据包总长度（单位:字节）

wireshark 源码分析

09-13

对于 Wireshark（前称 Ethereal）的源码分析，我可以给你一些基本信息。Wireshark 是一个开源的网络数据包分析工具，它能够捕获和分析网络流量，并提供详细的协议分析和网络故障排查功能。 Wireshark 的源代码托管...