使用Lua编写Wireshark的Dissector插件是本文要介绍的内容,Dissector 插件可以用来对特定的协议内容进行分析展示,在分析自己实现的应用层协议时还是很有用的。 dissector 插件一般用 C 来实现,具体如何实现可以参考 Wireshark 代码目录下面的 \epan\dissectors 中的源代码和 plugins 目录下面的源代码。
一些简单的对性能要求不高的 dissector 插件也可以使用 Lua 来实现。 Wireshark 已经嵌入了对 Lua 的支持。
下面就是一个简单的例子:
定义协议,可以在wireshark中使用trivial过滤
- trivial_proto = Proto("trivial","TRIVIAL","Trivial Protocol")
dissector函数
- function trivial_proto.dissector(buffer,pinfo,tree)
pinfo的成员可以参考用户手册
- pinfo.cols.protocol = "TRIVIAL"
- pinfo.cols.info = "TRIVIAL data"
- local subtree = tree:add(trivial_proto,buffer(),"Trivial Protocol")
不对应任何数据
- subtree:add(buffer(0,0),"Message Header: ")
版本号对应于***个字节
- subtree:add(buffer(0,1),"Version: " .. buffer(0,1):uint())
类型对应于第二个字节
- type = buffer(1,1):uint()
- type_str = "Unknown"
- if type == 1 then
- type_str = "REQUEST"
- elseif type == 2 then
- type_str = "RESPONSE"
- end
- subtree:add(buffer(1,1), "Type: " .. type_str)
从第三个字节开始是数据
- size = buffer:len()
- subtree:add(buffer(2,size-2), "Data: ")
- end
- tcp_table = DissectorTable.get("tcp.port")
注册到tcp的8888端口
- tcp_table:add(8888,trivial_proto)
插件编写完成后保持为 test.lua 文件,我们就可以抓包测试一下了。
首先请确认你的 Wireshark 支持 lua ,如果 Wireshark 目录下面有 init.lua 文件就说明支持 Lua 。其次需要启动对 Lua 的支持,默认不启动对 Lua 的支持。编辑 init.lua 文件,注释掉“ disable_lua = true; ”这一行,然后在文件的***添加一行 dofile("test.lua") ,这样 Wireshark 启动时就会自动调用 test.lua 。也可以在命令行指定需要执行的脚本文件, 比如“ wireshark -X lua_script:test.lua ”。
小结:详解使用Lua编写Wireshark的Dissector插件的内容介绍完了,希望通过本文的学习能对你有所帮助!
