wireshark应用lua解析自定义协议

已于 2023-02-28 10:18:55 修改
阅读量1.9k 收藏 5
点赞数
文章标签: wireshark lua 测试工具
于 2023-02-11 16:47:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40676393/article/details/128985351
版权

一、lua脚本调用
旧版本的wireshark需要手动引入,而新的会自动加载。
先找到wireshark的安装目录: 帮助–>关于Wireshark –>文件夹 可以查看所有的路径,重新加载各种lua脚本快捷键是: ctrl+shift+L

自动加载:
将自定义的lua脚本放到 xxx \ Wireshark \ plugins 下
手动加载:
在安装目录下找到 init.lua文件,这是脚本的入口。在文件的最后引入你的文件
在这里插入图片描述
二、创建解析自定义数据的lua脚本

主要分为四个部分:

1、创建解析器对象
2、声明协议字段
3、定义解释器函数
4、把解析器注册到Wireshark解析表

完整脚本如下:

–[[
11.6.7.2. ProtoField.uint8(abbr, [name], [base], [valuestring], [mask], [desc])

Creates a ProtoField of an unsigned 8-bit integer (i.e., a byte).

Arguments

abbr
Abbreviated name of the field (the string used in filters).
name (optional)
Actual name of the field (the string that appears in the tree).
base (optional)
One of base.DEC, base.HEX or base.OCT.
valuestring (optional)
A table containing the text that corresponds to the values.
mask (optional)
Integer mask of this field.
desc (optional)
Description of the field.
Returns

A ProtoField object to be added to a table set to the Proto.fields attribute.
]]

–[[
0000 00 00 5e 01 01 01 00 24 ac ff fc 02 08 00 45 00
0010 00 48 00 00 00 00 01 11 d6 dc 01 01 01 01 e0 00
0020 00 c7 2d 1e 27 10 00 34 5e 65 01 00 1c 00 00 00
0030 00 00 00 00 00 00 00 00 00 00 01 00 00 24 ac ff
0040 fc 02 fa 00 00 00 00 00 00 00 00 00 00 00 5b 01
0050 4e 00 00 00 00 00

udp头后面是shrp头(16字节,4个u32)

u32 vesion:16:    01 00

     length:16; 1c 00

u32 module:16,  00 00

    msg_type:16;  00 00

u32 seq_id;         00 00 00 00

u32 err_id;          00 00 00 00

shrp头后面是数据(28字节)

u16 status:8,     01

    nextheader:8; 00

u8    mac[6];       (本机心跳口mac)  00 24 ac ff   fc 02

s32 priority;       优先级fa  fa 00 00 00

s32 interval;      00 00 00 00

s32 hold_time;  00 00 00 00

s32 jiffies;         5b 01   4e 00

s32 switch_state;  00 00 00 00 00

]]
第一步:定义一个新协议
local NAME = “heartbeatProto”
local heartbeatProto = Proto(NAME, “hotb PROTOCOL”)

第二步: 声明协议的字段

vesion = ProtoField.uint16(NAME … “vesion”, “vesion”, base.HEX)
length = ProtoField.uint16(NAME … “length”, “length”, base.HEX)
module = ProtoField.uint16(NAME … “module”, “module”, base.HEX)
msg_type = ProtoField.uint16(NAME … “msg_type”, “msg_type”, base.HEX)
seq_id = ProtoField.uint32(NAME … “seq_id”, “seq_id”, base.DEC)
err_id = ProtoField.uint32(NAME … “err_id”, “err_id”, base.DEC)
status = ProtoField.uint8(NAME … “status”, “status”, base.DEC)
nextheader = ProtoField.uint8(NAME … “nextheader”, “nextheader”, base.DEC)
mac = ProtoField.ether(NAME … “mac”, “mac”)
priority = ProtoField.uint32(NAME … “priority”, “priority”, base.HEX_DEC)
interval = ProtoField.uint32(NAME … “interval”, “interval”, base.DEC)
hold_time = ProtoField.uint32(NAME … “hold_time”, “hold_time”, base.DEC)
jiffies = ProtoField.uint32(NAME … “jiffies”, “jiffies”, base.DEC)
switch_state = ProtoField.uint32(NAME … “switch_state”, “switch_state”, base.DEC)

heartbeatProto.fields = { vesion,length ,module,msg_type,seq_id,err_id,status,nextheader,mac,priority,interval,hold_time,jiffies,switch_state}
–local data_dis = Dissector.get(“data”)
– 解析器函数
–[[
下面定义VniProto解析器的主函数,这个函数由wireshark调用
第一个参数是 tvb 类型,表示的是需要此解析器解析的数据;
第二个参数是 Pinfo 类型,是协议解析树上的信息,包括 UI 上的显示;
第三个参数是 TreeItem 类型,表示上一级解析树;
–]]

第三步:定义解释器函数
function heartbeatProto.dissector(buffer, pinfo, tree)
if buffer:len() == 0 then return end
pinfo.cols.protocol = heartbeatProto.name --显示在wireshark界面的protocol列的名字

local subtree = tree:add(heartbeatProto, buffer(), "heartbeat Proto") --显示在数据查看

-- 把udp的负载数据解析成两个分支在wireshark上显示,分别是shrp和payload
local shrp = subtree:add(heartbeatProto, buffer(0,16), "shrp Proto")  
local payload = subtree:add(heartbeatProto, buffer(16,28), "payload Proto")

      --id_tree:append_text(", id: 0x" .. buffer(0,4))
	  shrp:add(vesion, buffer(0,2))--字段信息添加到shrp分支
	  shrp:add(length, buffer(2,2))
	  shrp:add(module, buffer(4,2))
	  shrp:add(msg_type, buffer(6,2))
	  shrp:add(seq_id, buffer(8,4))
	  shrp:add(err_id, buffer(12,4))
	  payload:add(status, buffer(16,1))---字段信息添加到payload分支
	  payload:add(nextheader, buffer(17,1))
	  payload:add(mac, buffer(18,6))
	  payload:add_le(priority, buffer(24,4))--little-endian,从0位置解析4个字节;big endian use add.
	  payload:add(interval, buffer(28,4))
	  payload:add(hold_time, buffer(32,4))
	  payload:add(jiffies, buffer(36,4))
	  payload:add(switch_state, buffer(40,4))
--subtree:add(fields.seq, buffer(4, 2)):append_text(" (0x"..buffer(4,2)..")")

--local raw_data = buffer(6, buffer:len() - 6)
--Dissector.get("ip"):call(raw_data:tvb(), pinfo, tree)
-- 后续内容交给ip解析器继续解析,这里只进行vni头部解析

end

第四步:把解析器注册到Wireshark解析表
local udp_encap_table = DissectorTable.get(“udp.port”)
udp_encap_table:add(10000,heartbeatProto)

解析后效果如下图:

在这里插入图片描述

了解更多信息请参考:
https://www.wireshark.org/docs/wsdg_html_chunked/wsluarm.html

https://mika-s.github.io/wireshark/lua/dissector/2017/11/04/creating-a-wireshark-dissector-in-lua-1.html

游青
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wireshark_lua:用于wiresharkLUA脚本
05-31
lua文件 WiresharkLUA 扩展,用于打印服务器处理 NFS 请求所花费的时间。 用法: # for life capture $ tshark -q -X lua_script:nfs.lua -f " port 2049 " # or if nfs trafic is not on a standard port ( pNFS DS ) $ tshark -q -X lua_script:nfs.lua -f " port 32049 " -d tcp.port==32049,rpc # for read from existing capture file capture file $ tshark -q -r nfs.dump -X lua_script:nfs.lua # or if you need to avoid temp files $ dumpca
wireshark-lua解析自定义协议
quniyade0的博客
03-29 4625
wireshark-lua解析自定义协议 前言 wireshark支持使用lua脚本解析自定义协议。 最近因工作需要接触了一下。我的需求是不用细抠lua的语法,而要快速的使用上,将我的协议数据解析出来,显示各项信息方便我分析数据。 现稍作整理,分享给和我有相似需要的小伙伴。 一、Lua概览 和其他语言可能不太一样的: 以行分割,不需要分号 注释符号为 --(两个减号) 不等于是 ~= 没有++和+=,需要显示写 i = i + 1 变量有两种,全局和local,带local声
使用Lua编写Wireshark解析ProtoBuf插件
Kayn_Liu的博客
03-16 1227
使用Lua编写插件解析Wireshark中的ProtoBuf协议
Wireshark解析自定义协议
02-20
利用Wireshark解析自定义协议,以portal协议为实例,并利用LUA脚本进行解释。
Lua学习之路-1
小渣渣的博客
01-05 798
Lua Lua 是一种轻量小巧的脚本语言,用标准C语言编写并以源代码形式开放, 其设计目的是为了嵌入应用程序中,从而为应用程序提供灵活的扩展和定制功能。 Lua 特性 轻量级: 它用标准C语言编写并以源代码形式开放,编译后仅仅一百余K,可以很方便的嵌入别的程序里。 可扩展: Lua提供了非常易于使用的扩展接口和机制:由宿主语言(通常是C或C++)提供这些功能,Lua可以使用它们,就像是本来
wireshark自定义协议字段解析
luminais的博客
01-20 2854
wireshark源代码: https://code.wireshark.org/review/#/admin/projects/wireshark wireshark开发指南: https://www.wireshark.org/docs/wsdg_html_chunked/ 添加自定义协议解析器示例: https://www.wireshark.org/docs/wsdg_html_...
如何用wireshark加载自定义.lua脚本
热门推荐
笔者从事电信媒体开发多年,愿意将多年的开发经验分享给同行
03-18 1万+
指导wireshark加载自定义lua脚本文件
Wireshark内嵌解析协议LUA脚本
weixin_46946968的博客
11-22 2042
Wireshark官网对lua插件的API介绍英文的,看起来很头疼,小编这里是下载个网易有道翻译截图翻译的。最头疼的还不是这个,而是怎么调用这些API,从何下手才是最头疼的,只能通过代码边用边熟悉了。下面我给的是一些常用的API以及在网址的位置。
Wiresharklua脚本介绍
Little_Eyelash的博客
03-26 7833
Wiresharklua脚本介绍 概述 Wireshark是非常强大的报文解析工具,是网络定位中不可缺的使用工具,在物联网中很多为自定义协议wireshark无法解析,此时lua脚本就有了用武之地。Lua是一个脚本语言,不需要编译可以直接调用,完美解决了自定义报文解析。 代码框架 -- create a new dissector local NAME = "Doip" local PORT = 13400 local Doip = Proto(NAME, " Doip Protocol")
16.WireShark学习-在WireShark中添加新协议
Daylight
07-16 4023
16. 在Wireshark中添加新协议 WireShark编程基础 使用Lua开发简单扩展功能 使用WireShark开发新的协议解析器 测试新协议 WireShark支持Lua语言编写的脚本 16.1 WireShark编程基础 在WireShark中添加lua脚本WireShark安装目录中init.lua文件中进行配置 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KSr5RhnR-1594812091036)(3DC5D0517FDF49C4B1A7D86E
Wireshark添加自定义协议解析
lishuangquan1987的博客
12-10 1348
最终效果如下:参考文档:https://mika-s.github.io/topics/此参考文档中7个例子教我们如何编写lua脚本去识别我们自定义协议
使用Lua脚本wireshark编写自定义通信协议解析器插件
10-08
使用Lua脚本wireshark编写自定义通信协议解析器插件 .
lua语言编写Wireshark插件解析自定义协议
08-03
lua语言编写Wireshark插件解析自定义协议
lua语言编写Wireshark插件解析自定义协议.doc
10-07
lua语言编写Wireshark插件解析自定义协议.doc
【网络技术】【Kali Linux】Wireshark嗅探(十一)以太网Ethernet协议报文捕获及分析
weixin_43031313的博客
04-26 999
Ethernet常用的传输层(第二层)协议
wireshark RTP分析参数
安安爸Chris的专栏
04-23 220
根据载荷可以知道正确的delta应该是多少,比如G711A,ptime=20,那么delta理论上应该趋近于20.这里的delta,分为了好几种,mean Delta应该趋同于ptime,所以这里的值是ok的。min和max评价抖动情况,但是主要mean是正常的就可以。是当前udp包接收到的时间减去上一个udp包接收到的时间。就是丢掉的udp包,所占的比率。主要看丢弃和Delta,
java Swagger 配置技巧
最新发布
iOS逆向与安全
04-29 70
enableSwagger2:是springfox提供的一个注解,代表swagger2相关技术开启,会扫描当前类所在包,以及子包中所有的类型中的注解,做swagger文档的定值。spring-fox利用自身AOP特性,把swagger集成进来,底层还是Swagger,但是使用起来却方便很多,所以在实际开发中,都是直接使用spring-fox。swagger的使用: 使用swagger就是把相关信息存储在它定义的描述文件里面(yml或json格式),再通过维护这个描述文件去更新接口文档,以及生成各端代码。
ZC3201 耐压40V输出12V 300mA LDO
HPT_Lt的博客
04-26 400
只有luA的功耗使其适用于大多数高压节电系。7.2V、7.5V、8.0V、8.5V、9.0V、10.0V、11.0V和12.0V。ZC3201采用SOT89-3,SOT23-3和SOT23-5封装。封装:SOT89-3,SOT89-5,SOT23-3和SOT23-5。其他功能包括低压差,±1%的极高输出精度,限流保护和高纹波抑制比。输出电压:1.8V、2.5V、3.0V、3.3V、3.6V、多节锂离子电池供电系统其他高压供电系统。宽工作电压范围:2.5-40V。最大输出电流:300mA。
Lua语法
m0_50816320的博客
04-22 1333
介绍lua基本语法
wireshark 添加lua解析
05-25
Wireshark支持使用Lua脚本进行协议解析。要添加Lua解析器,请按照以下步骤操作: 1. 安装Lua环境。Wireshark需要使用Lua 5.1或更高版本。可以从Lua的官方网站下载安装程序并按照说明进行安装。 2. 找到Wireshark的插件目录。在Wireshark的菜单中,选择“帮助”->“关于Wireshark”,然后单击“文件夹”按钮,即可打开插件目录。 3. 创建一个新的Lua插件。在插件目录中创建一个新的目录,例如“my_lua_plugin”。 4. 创建一个Lua脚本。在新创建的目录中创建一个名为“my_protocol.lua”的文件,并将以下代码复制到该文件中: ``` -- my_protocol.lua -- declare our protocol my_protocol = Proto("my_protocol", "My Protocol") -- create a function to dissect it function my_protocol.dissector(buffer, pinfo, tree) -- add protocol name to protocol column pinfo.cols.protocol = "MY_PROTO" -- create a subtree for our protocol subtree = tree:add(my_protocol, buffer(), "My Protocol Data") -- add fields to the subtree subtree:add(buffer(0,1), "Field 1") subtree:add(buffer(1,1), "Field 2") end -- register our protocol tcp_table = DissectorTable.get("tcp.port") tcp_table:add(1234, my_protocol) ``` 这个脚本定义了一个名为“my_protocol”的协议,并使用“tcp.port”表将其注册到TCP端口1234上。在协议分析器中,它将显示为“My Protocol”。 5. 启用Lua插件。在Wireshark的菜单中,选择“编辑”->“首选项”,然后选择“协议”->“Lua”。单击“+”按钮,然后选择新创建的插件目录。确保选中“启用”复选框,然后单击“应用”和“确定”。 6. 使用Lua解析器。现在,当Wireshark捕获到使用TCP端口1234发送的数据包时,它将调用my_protocol.dissector()函数来解析协议,并显示解析结果。 这只是一个简单的示例,可以根据需要进行修改和扩展。更多信息,请参阅WiresharkLua API文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值