Wireshark(2)-协议分析的起点

最新推荐文章于 2024-05-02 10:44:56 发布
最新推荐文章于 2024-05-02 10:44:56 发布
阅读量1.7k 收藏 12
点赞数 3
分类专栏: 网络开发 文章标签: wireshark 协议分析 架构 pcap 抓包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yxhlfx/article/details/79281446
版权
本文详细介绍了Wireshark如何进行数据的读入,包括网卡输入和离线数据包输入,以及数据分析前的预处理。重点解析了Wireshark中Dissector之间的跳转机制,通过全局Hash表实现协议解析的高效跳转。此外,还探讨了为何使用多张不同表以优化查找效率。
摘要由CSDN通过智能技术生成

数据的读入

Wireshark数据的读入分为两种,一种是直接从网卡读入实时的报文数据,另一种是读取被保存为文件的报文数据。先来分别看下这两种方式有何区别。

网卡输入

从网卡流如的数据是通过dumpcap调用libpcap或winpcap抓取的,而抓取到数据后其通过管道将数据传输到主进程再进行处理,其过程大概如下:



从上图可以看到,在Wireshark抓包时,数据包实际上是由另一个进程抓取再通过管道的形式传输到主进程。这样设计的原因从官网的说法是避免Wireshark运行时权限太高,因为数据包的抓取需要Root权限,而这种方式实现则只需要将Root权限授予dumpcap就可以,而在协议分析阶段只使用正常的用户权限。

离线数据包输入

先来看下如下流程图,



从上图能够看出,离线的本地数据包文件直接由WireTap模块直接读取。

数据分析前的预处理

数据包怎么从管道读取过来的与数据包是怎么通过Wtap读取到的这些内容在这将不会详述了,跟着代码逻辑其过程很容易理解。而数据包应该怎么传入Epan去做分析,传入Epan模块之前又有什么要求?这才是阅读Wireshark源码应该关注的重点。

先来看其读取数据并开始处理的代码片段,

capture_file *cf = xxx
...
edt = epan_dissect_new(cf->epan, create_proto_tree, print_packet_info && print_details);
while (to_read-- && cf->provider.wth) {
     wtap_cleareof(cf->provider.wth);
     ret = wtap_read(cf->provider.wth, &err, &err_info, &data_offset);
     reset_epan_mem(cf, edt, create_proto_tree, print_packet_info && print_details);
     ret = process_packet_single_pass(cf, edt, data_offset,
                                         wtap_phdr(cf->provider.wth),
                                         wtap_buf_ptr(cf->provider.wth), tap_flags);
}

其对应的流程图为,其中从初始化Frame数据开始为process_packet_single_pass中的过程,数据读入指实际从网卡或文件读入:



从上面的步骤能够能够看出如果要进行协议分析需要做两件重要的准备:

  1. 准备一个Epan Dissect分析器的实例
  2. 待分析的数据

怎么准备?上面的代码片段已经给出了答案,实际上所有的参数都可以从capture_file中直接或间接地得到。capture_file结构定义如下:


                

                
                
        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  双林子木
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    3
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    12
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
wireshark功能模块分析

				
			

			

				

					小石头
				

				

					03-06
					
					4590
					
				

			

		

		

			
				
1. 简介
2. Wireshark功能模块
下给出了wireshark功能模块:
a) GTK1/2
处理用户的输入输出显示,源码在gtk目录.

b) Core
核心模块,通过函数调用将其他模块连接在一起,源码在根目录

c) Epan
wireshark Packetage Analyzing,包分析引擎,源码在epan目录
l Protocol-Tree:保存数据包

			
		

	



                

              
                



	

		

			

				
					
wireshark协议解析器 源码分析 封装调用

				
			

			

				

					whatday的专栏
				

				

					04-22
					
					7380
					
				

			

		

		

			
				
源码分析

Wireshark启动,所有解析器进行初始化和注册。要注册的信息包括协议名称、各个字段的信息、过滤用的关键字、要关联的下层协议与端口(handoff)等。在解析过程,每个解析器负责解析自己的协议部分, 然后把上层封装数据传递给后续协议解析器,这样就构成一个完整的协议解析链条。

解析链条的最上端是Frame解析器,它负责解析pcap帧头。后续该调用哪个解析器,是通过上层协议注册han...

			
		

	



                


  
              

                


	

		

			

				
					
wireshark:捕获实网络数据

				
			

			

				

					OceanStar的博客
				

				

					11-29
					
					4775
					
				

			

		

		

			
				
引言
捕获实网络数据是wireshark的主要功能之一。
wireshark捕获引擎提供如下功能:

从不同类型的网络硬件(比如以太网)捕获
同从多个网络接口捕获
在不同的触发器上停止捕获,例如捕获的数据量、运行间或数据包数量。
在wireshark捕获显示解码包
过滤数据包、减少要捕获的数据量
在进行长期捕获将包保存在多个文件中,可以选择在固定数量的文件中进行旋转(一个“ringbuffer”)。

欢迎屏幕的“捕获”部分
当您打开Wireshark而没有开始捕获或打开捕获文件,它将显示“

			
		

	





	

		

			

				
					
基于 Wireshark 分析 IP 协议

					
最新发布

				
			

			

				

					Flag少侠的博客
				

				

					05-02
					
					2667
					
				

			

		

		

			
				
IP(Internet Protocol)协议是一种网络层协议,它用于在计算机网络中实现数据包的传输和路由。IP协议的主要功能有:1. 数据报格式:IP协议将待传输的数据分割成一个数据包,每个数据包包含有源地址、目的地址、数据内容和其他控制信息。2. 路由选择:IP协议通过路由器将数据包从源地址传输到目的地址,路由器根据目的地址选择最佳路径进行传输。3. 路由寻址:IP协议使用IP地址来标识网络中的设备和主机,通过IP地址可以确定数据包的源地址和目的地址。

			
		

	



		

			
		



	

		

			

				
					
捕获数据包Wireshark

				
			

			

				

					抽象的螺旋
				

				

					06-25
					
					3002
					
				

			

		

		

			
				
捕获数据包

			
		

	





	

		

			

				
					
wireshark解ip报文分片

				
			

			

				

					wanggong_1991的博客
				

				

					01-12
					
					8955
					
				

			

		

		

			
				
前言:
ip分片如果丢了一片,整个报文都需要重传。所以网络传输都会减少ip分片的概率。tcp用MSS,而udp依靠上层协议,比如tftp。
所以ip分片的报文不太好抓到,故使用两台pc运行vmware虚拟机。一台当client用udp发送4500字节的数据,一台当server接收后再用udp返回4500字节的数据。通过wirewark分析ip分片。最后会把程序附上。
IP头中和分片有关的三个字段,如下。摘自
《计算机网络》第7版 谢希仁
1.49是客户端,1.50是服务器

...

			
		

	





	

		

			

				
					
Android中使用tcpdump、wireshark进行抓包分析技术介绍

				
			

			

				

					09-03
				

			

		

		

			
				
接下来,我们将使用Wireshark(一款强大的网络协议分析器)来解析这些数据包。  1. **安装Wireshark**:  从官方网站(http://www.wireshark.org/download.html)下载并安装适合你操作系统的Wireshark版本。  2. **...

			
		

	





	

		

			

				
					
MQTT中文协议及相应的分析工具.rar

				
			

			

				

					09-05
				

			

		

		

			
				
分析工具部分,通常会包含如Wireshark这样的网络封包分析软件,它可以帮助我们捕获和解析MQTT通信中的网络数据包,了解消息在实际网络环境中的传输情况。通过这些工具,用户可以观察到MQTT报文的细节,包括主题名...

			
		

	





	

		

			

				
					
Wireshark抓包全集(85种协议、类别的抓包文件)分少.zip

				
			

			

				

					07-01
				

			

		

		

			
				
Wireshark是一款强大的网络封包分析软件,广泛用于网络故障排查、网络安全分析协议学习。这个压缩包文件“Wireshark抓包全集(85种协议、类别的抓包文件)分少.zip”显然是一个包含多种网络协议抓包样本的集合,...

			
		

	





	

		

			

				
					
网络协议分析实验报告

				
			

			

				

					06-23
				

			

		

		

			
				
网络协议分析是理解网络通信机制的重要途径,Wireshark作为一款强大的网络协议分析工具,广泛应用于教学与研究之中。本文将深入探讨如何使用Wireshark进行网络协议分析,以及实验过程中涉及的关键知识点。  首先,...

			
		

	





	

		

			

				
					
wireshark源码

				
			

			

				

					06-10
				

			

		

		

			
				
wireshark源码分析问题这几天在看wireshark(ethereal)源代码。看源代码的主要兴趣点是它的分析模块(dissect)。分析之后他的数据存在哪儿,怎么打印的(-V参数)。我想把分析后的数据,提取出来,存在自己定义的...

			
		

	





	

		

			

				
					
wireshark抓包详解

					
热门推荐

				
			

			

				

					AndrewYZWang的博客
				

				

					09-11
					
					3万+
					
				

			

		

		

			
				
过滤器:

tcp src port 443 常用于过滤谷歌的浏览器端口443
	1
	2
	2
	2
	2
	2
	2
	2
	2
界面操作:

wireshark界面:



Capture filter :选项







启用wireshark的混杂模式,只有勾选上这个选项才能,wireshark才能抓取非本地的包;



1.启用实保存之后wireshark保存的地址;

2.文件保...

			
		

	





	

		

			

				
					
wireshark自动保存_[原创]为wireshark的命令行版(tshark)增加保存资源功能

				
			

			

				

					weixin_39804631的博客
				

				

					12-19
					
					610
					
				

			

		

		

			
				
Wireshark的命令行版(tshark)增加保存资源功能在科锐第二阶段学到插件设计模式姚老师指出wireshark协议解析是一个很好的插件模式的例子。于是阅读在其源码的同为tshark增加自动保存http资源的功能。现在来分享给大家,源码在附件中。这个思路也可以用来自动过滤、分析数据包。github: https://github.com/KevinsBobo/wireshark-mo...

			
		

	





	

		

			

				
					
Wireshark解析器(Dissector)插件-Lua

				
			

			

				

					heusunduo88的博客
				

				

					03-30
					
					1949
					
				

			

		

		

			
				
Wireshark解析器(Dissector)插件-Lua

			
		

	





	

		

			

				
					
调用wireshark(二):调用协议解析器

				
			

			

				

					dengdi8115的博客
				

				

					05-11
					
					1325
					
				

			

		

		

			
				
上文【调用wireshark(一):初次尝试http://www.cnblogs.com/zzqcn/archive/2013/05/11/3072362.html】已经介绍了调用wireshark的原理,并给出一个简单示例。本文要给出真正调用wireshark协议解析函数的方法和代码。
本文的讨论和代码基于wireshark 1.8.4版本。

涉及到的函数与数...

			
		

	





	

		

			

				
					
tshark源码解析

				
			

			

				

					weiqianglg的专栏
				

				

					07-31
					
					1748
					
				

			

		

		

			
				
鉴于没有在网上找到很好的tshark源码解析资源,自己就捣鼓一篇吧,作为备忘录。

本文基于tshark.c,源自wirshark 3.2.4。


	tshark介绍
	
Tshark是wireshark的命令行版本,安装wireshark之后,能够通过tshark -h获得完整的参数说明,安装目录下的tshark.html提供了更详细的说明。本文不关注使用tshark,而是为了改造tshark做源代码准备。


	本文tshark源码解析的关注点
	
tshark的源码在当前版本中长达4000+行,由于

			
		

	





	

		

			

				
					
研究wireshark遇到的问题

				
			

			

				

					angus521521的博客
				

				

					01-25
					
					503
					
				

			

		

		

			
				
说起来有一些惭愧,研究wireshark有一段间了,但是对源代码的分析却至今没有什么进展。。。
最初想要研究wireshark是因为我的开题是基于wireshark来做的。
现在有很多抓包工具,wireshark的优势在于完全开源,分析功能强大,但其缺点也很明显,即捕获的数据包存储过于分散,大数据背景下,不能有效的对海量的数据包进行存储分析,因此将wireshark捕获到的数据存储到专...

			
		

	





	

		

			

				
					
winshark重要数据结构

				
			

			

				

					eyucham的专栏
				

				

					12-15
					
					795
					
				

			

		

		

			
				
说起来有一些惭愧,研究wireshark有一段间了,但是对源代码的分析却至今没有什么进展。。。

最初想要研究wireshark是因为我的开题是基于wireshark来做的。

现在有很多抓包工具,wireshark的优势在于完全开源,分析功能强大,但其缺点也很明显,即捕获的数据包存储过于分散,大数据背景下,不能有效的对海量的数据包进行存储分析,因此将wireshark捕获到的数据存储到

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值