Wireshark Lua插件开发实战:应对TCP粘包问题

0. 概述

Wireshark提供了tcp_dissect_pdus()函数,可以帮助用户处理TCP粘包问题

1. 粘包问题的基本原理

TCP粘包问题本质上是数据包拼接和拆分的问题。当多个应用层数据包被封装成同一个TCP段时,就发生了粘包现象。在解析时,我们需要将粘在一起的数据包拆分开,并分别进行处理。

Wireshark的tcp_dissect_pdus()函数提供了一种通用的粘包处理方案。该函数的基本原理如下:

获取PDU长度: 首先,需要获取每个PDU的预期长度。这可以通过用户提供的回调函数来实现,因为只有用户才知道其特定协议的PDU应该有多长。

检查报文完整性: 检查当前TCP段是否足够长,以包含完整的PDU。如果不足够长,则将该TCP段缓存起来,等待后续数据包的到来。

重组TCP段: 当收到新的TCP段时,将新旧TCP段拼接在一起,形成新的完整报文。

解析PDU: 如果当前TCP段足够长,则从其中提取出完整的PDU,并使用用户提供的解析函数进行解析。

处理多个PDU: 如果一个TCP段包含多个PDU,则依次处理每个PDU,直至完成解析。

2. 利用tcp_dissect_pdus()函数解决粘包问题

下面以一个雷达数据协议为例,演示如何利用tcp_dissect_pdus()函数解决粘包问题。该协议定义了两种数据包:状态包(statuspacket)和数据包(datapacket)。状态包长度固定为598字节,而数据包的长度则由包头和包体组成,其中包头长度固定为54字节,包体长度则为单个block大小乘以block数量。

为了解析雷达数据包,我们需要编写一个Lua插件。该插件首先定义了两个函数:

cpp 复制代码
function get_tcp_len(buf,pkt,root)
		local magic_number = buf(0,2):le_uint()
		if (magic_number == 0x176a)
		then
			local itme_size = buf(42,2):le_uint()
			local itme_num = buf(39,3):le_uint()
			local buf_size = itme_num * itme_size + 54
			return buf_size
		elseif (magic_number == 0x186b)
		then
			return 598
		else
			return false
		end
	end
function my_proto(buf, pkt, root)
	dissect_tcp_pdus(buf, root, 54, get_tcp_len, ScoreBoard_dissector)
	return true
end
相关推荐
2501_915921438 小时前
iOS IPA 混淆实测分析:从逆向视角验证加固效果与防护流程
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_915918418 小时前
打造可观测的 iOS CICD 流程:调试、追踪与质量保障全记录
websocket·网络协议·tcp/ip·http·网络安全·https·udp
Absinthe_苦艾酒10 小时前
计算机网络(三)传输层TCP
网络·tcp/ip·计算机网络
2501_9159090612 小时前
调试 WebView 旧资源缓存问题:一次从偶发到复现的实战经历
websocket·网络协议·tcp/ip·http·网络安全·https·udp
旷世奇才李先生13 小时前
Lua 安装使用教程
开发语言·lua
2501_9159214314 小时前
请求未达服务端?iOS端HTTPS链路异常的多工具抓包排查记录
websocket·网络协议·tcp/ip·http·网络安全·https·udp
Accpdaiyekun15 小时前
C# 操作mongodb 多次查询快还是使用管道查询速度快
mongodb·c#·lua
有趣的我17 小时前
wireshark介绍和使用
网络·测试工具·wireshark
hashiqimiya17 小时前
配置tcp的https协议证书
网络·tcp/ip·https
2501_9160074719 小时前
iOS 接口频繁请求导致流量激增?抓包分析定位与修复全流程
websocket·网络协议·tcp/ip·http·网络安全·https·udp