Wireshark:自定义类型帧解析

文章目录

  • [1. 前言](#1. 前言)
  • [2. 背景](#2. 背景)
  • [3. 开发 Lua 插件](#3. 开发 Lua 插件)

1. 前言

限于作者能力水平,本文可能存在谬误,因此而给读者带来的损失,作者不做任何承诺。

2. 背景

Wireshark 不认识用 tcpdump 抓取的数据帧,仔细分析相关代码和数据帧后,发现是交换芯片在以太网帧头IP 帧头之间插入了 6 个字节。由于要做对这些数据帧做分析工作,同时又想利用 Wireshark 的便利,于是想到 WiresharkLua 插件功能。

3. 开发 Lua 插件

在应用 Lua 插件解析数据帧前,Wireshark 的解析如下图:

可见 Wireshark 无法正常解析数据帧。接下来编写 Lua 脚本 edsa.lua 如下:

lua 复制代码
-- 定义协议
local edsap = Proto("edsa", "EDSA Protocol")

-- 添加字段
local f_edsa_field1 = ProtoField.uint8("edsa.field1", "Field 1", base.DEC)
local f_edsa_field2 = ProtoField.uint8("edsa.field2", "Field 2", base.DEC)
local f_edsa_field3 = ProtoField.uint16("edsa.field3", "Index", base.DEC)
local f_edsa_field4 = ProtoField.uint8("edsa.field4", "Field 4", base.DEC)
local f_edsa_field5 = ProtoField.uint8("edsa.field5", "Field 5", base.DEC)

edsap.fields = {f_edsa_field1, f_edsa_field2, f_edsa_field3, f_edsa_field4, f_edsa_field5}

-- 定义 dissector 函数
-- 注意,这里 tvbuf 的数据,不包含以太网帧头的 14 字节
function edsap.dissector(tvbuf, pinfo, tree)
	if tvbuf:len() < 6 then return end
	
	pinfo.cols.protocol = edsap.name
	
	local edsa_tree = tree:add(edsap, tvbuf(0,6), "EDSA Protocol")
	edsa_tree:add(f_edsa_field1, tvbuf(0,1):uint())
	edsa_tree:add(f_edsa_field2, tvbuf(1,1):uint())
	edsa_tree:add(f_edsa_field3, tvbuf(2,2):uint())
	edsa_tree:add(f_edsa_field4, tvbuf(3,1):uint())
	edsa_tree:add(f_edsa_field5, tvbuf(4,1):uint())
	
	-- 处理剩余的数据
	local new_tvbuf = tvbuf(6+2):tvb()
	Dissector.get("ip"):call(new_tvbuf, pinfo, tree)
end

-- 注册到以太网帧类型 0xdada :
-- 当 wireshark 发现以太网帧的 EtherType 字段为 0xdada 时,
-- 则调用 dsap.dissector()
local edsa_type = DissectorTable.get("ethertype")
edsa_type:add(0xdada, edsap)

然后把 edsa.lua 放到下图 Wireshark 设定的路径中:

然后重启 Wireshark 加载 tcpdump 抓取的数据包:

可以看到,已经可以正常解析了。

在开发 Lua 脚本的过程中,可以开启 Wireshark控制台Luaprint() 信息会输出到控制台,帮助定位开发过程中遇到的问题:

调试完成后,记得关闭它。

相关推荐
Sean_summer8 天前
Wireshark学习
学习·测试工具·wireshark
Draina13 天前
使用命令行工具控制wireshark对抓包文件进行针对性处理的总结
python·安全·wireshark
向日葵.15 天前
WireShark与rtps协议组合使用
网络·测试工具·wireshark
CatalyzeSec15 天前
Wireshark进阶技巧:通过DNS查询来分析可疑流量中恶意软件感染事件
测试工具·web安全·网络安全·wireshark
MonkeyKing_sunyuhua15 天前
使用 Wireshark 在 Ubuntu 22.04 上抓包分析网络流量
测试工具·ubuntu·wireshark
大草原的小灰灰19 天前
使用WireShark解密https流量
测试工具·https·wireshark
NO101921 天前
Wireshark 抓包全解析:从数据捕获到报文分析
wireshark
wuxuand22 天前
WireShark自动抓包
网络·测试工具·wireshark
wj3193222 天前
要登录的设备ip未知时的处理方法
网络·网络协议·tcp/ip·wireshark·dhcp·ip未知
起床学FPGA25 天前
wireshark点击快捷无法打开
网络·测试工具·wireshark