wireshark使用lua解析自定义协议
wireshark解析自定义协议
- 1.自定义的lua放入路径
- 2.修改init.lua
- 2.1 开启lua
- 2.2 init.lua文件最后加入自己的lua文件位置,这里需要确保与自己的文件名相同
- 3.编写lua
- 4.编写c抓包
- 5.wireshark添加自定义协议
- 如何加调试信息
1.自定义的lua放入路径
一般是自己软件的安装位置,也可以通过wireshark查看,这里我是直接放到init.lua同一路径就行
2.修改init.lua
2.1 开启lua
2.2 init.lua文件最后加入自己的lua文件位置,这里需要确保与自己的文件名相同
3.编写lua
-- 这里custom_protocol 就是下一步在wireshark 新增协议的名字
-- 注册协议名称
local proto_custom = Proto("custom_protocol", "Custom Protocol") -- 创建一个名为 "custom_protocol" 的协议,显示名称为 "Custom Protocol"--下面的格式就是协议解析出来输出的格式,理论上前两个字段必填,base.DEC为输出的格式,DEC:十进制 HEX:十六进制 BIN:二进制
-- 定义协议字段
local f_dest_mac = ProtoField.bytes("custom_protocol.dest_mac", "Destination MAC") -- 目标MAC地址字段
local f_src_mac = ProtoField.bytes("custom_protocol.src_mac", "Source MAC") -- 源MAC地址字段
local f_eth_type = ProtoField.uint16("custom_protocol.eth_type", "Ethernet Type") -- 以太网类型字段
local f_three_bit = ProtoField.uint8("custom_protocol.three_bit", "3-bit Field", base.DEC, nil, 0xE0) -- 3位字段,位掩码为0xE0
local f_five_bit = ProtoField.uint8("custom_protocol.five_bit", "5-bit Field", base.DEC, nil, 0x1F) -- 5位字段,位掩码为0x1F
local f_version = ProtoField.uint8("custom_protocol.version", "IP Version") -- IP版本字段
local f_type = ProtoField.uint8("custom_protocol.type", "Type") -- 类型字段
local f_length = ProtoField.uint16("custom_protocol.length", "Packet Length") -- 包长度字段
local f_src_ip = ProtoField.ipv4("custom_protocol.src_ip", "Source IP") -- 源IP地址字段
local f_dest_ip = ProtoField.ipv4("custom_protocol.dest_ip", "Destination IP") -- 目标IP地址字段
local f_ttl = ProtoField.uint8("custom_protocol.ttl", "TTL") -- 生存时间(TTL)字段
local f_flags = ProtoField.uint8("custom_protocol.flags", "Flags") -- 标志字段
local f_proto_type = ProtoField.uint16("custom_protocol.proto_type", "Protocol Type") -- 协议类型字段
local f_data_len = ProtoField.uint16("custom_protocol.data_len", "Data Length") -- 数据长度字段
local f_data = ProtoField.string("custom_protocol.data", "Data") -- 数据字段-- 将字段添加到协议
proto_custom.fields = { -- 将所有定义的字段添加到协议字段列表中f_dest_mac,f_src_mac,f_eth_type,f_three_bit,f_five_bit,f_version,f_type,f_length,f_src_ip,f_dest_ip,f_ttl,f_flags,f_proto_type,f_data_len,f_data
}--buffer(offset, 1):bitfield(0, 3) offset代表起始地址,1代表从起始地址开始的1字节 bitfield中0代表从这个字节的0bit开始, 3代表取三位(也就是取1字节的前3位)
--buffer(offset, 3):bitfield(4, 16) 这个就是取三字节中的4--20位
-- 解析函数
function proto_custom.dissector(buffer, pinfo, tree)-- 设置协议名称pinfo.cols.protocol = proto_custom.name -- 将协议名称显示在协议列中-- 检查缓冲区长度是否足够local packet_len = buffer:len()if packet_len < 14 then -- 如果包长度小于14字节,则退出解析returnend-- 解析以太网头部local eth_dst_mac = buffer(0, 6) -- 获取前6字节为目标MAC地址local eth_src_mac = buffer(6, 6) -- 接下来的6字节为源MAC地址local eth_type = buffer(12, 2):uint() -- 接下来的2字节为以太网类型-- 解析自定义二层字段local offset = 14 -- 偏移量设置为14,跳过以太网头部local three_bit = buffer(offset, 1):bitfield(0, 3) -- 提取自定义字段的前3位local five_bit = buffer(offset, 1):bitfield(3, 5) -- 提取剩下的5位-- 解析三层协议offset = offset + 1 -- 更新偏移量local version = buffer(offset, 1):uint() -- 读取IP版本字段local type = buffer(offset + 1, 1):uint() -- 读取类型字段local length = buffer(offset + 2, 2):uint() -- 读取包长度字段local src_ip = buffer(offset + 4, 4):ipv4() -- 读取源IP地址字段local dest_ip = buffer(offset + 8, 4):ipv4() -- 读取目标IP地址字段local ttl = buffer(offset + 12, 1):uint() -- 读取TTL字段local flags = buffer(offset + 13, 1):uint() -- 读取标志字段-- 解析四层协议offset = offset + 14 -- 更新偏移量local proto_type = buffer(offset, 2):uint() -- 读取协议类型字段local data_len = buffer(offset + 2, 2):uint() -- 读取数据长度字段local data = buffer(offset + 4, data_len):string() -- 读取数据字段-- 在树形视图中添加协议local custom_tree = tree:add(proto_custom, buffer(), "USLP") -- 添加自定义协议的根节点到树形视图custom_tree:add(f_dest_mac, eth_dst_mac) -- 显示目标MAC地址custom_tree:add(f_src_mac, eth_src_mac) -- 显示源MAC地址custom_tree:add(f_eth_type, eth_type) -- 显示以太网类型-- 添加 Layer 2 协议字段local layer2_tree = tree:add(proto_custom, buffer(), "TFDZ") -- 添加自定义二层协议节点到树形视图layer2_tree:add(f_three_bit, buffer(14, 1)) -- 显示3位字段layer2_tree:add(f_five_bit, buffer(14, 1)) -- 显示5位字段-- 添加 Layer 3 协议字段local layer3_tree = tree:add(proto_custom, buffer(), "EPP") -- 添加自定义三层协议节点到树形视图layer3_tree:add(f_version, version) -- 显示IP版本layer3_tree:add(f_type, type) -- 显示类型字段layer3_tree:add(f_length, length) -- 显示包长度layer3_tree:add(f_src_ip, src_ip) -- 显示源IP地址layer3_tree:add(f_dest_ip, dest_ip) -- 显示目标IP地址layer3_tree:add(f_ttl, ttl) -- 显示TTLlayer3_tree:add(f_flags, flags) -- 显示标志-- 添加 Layer 4 协议字段-- 假如这里需要将layer4_tree 假如到layer3_tree去,而不是单独显示则-- local layer4_tree = layer3_tree:add(proto_custom, buffer(), "IPE")local layer4_tree = tree:add(proto_custom, buffer(), "IPE") -- 添加自定义四层协议节点到树形视图layer4_tree:add(f_proto_type, proto_type) -- 显示协议类型layer4_tree:add(f_data_len, data_len) -- 显示数据长度layer4_tree:add(f_data, data) -- 显示数据字段
end-- 147 要与抓包是写入的值相等
-- 注册 dissector 并绑定到 DLT 147
local wtap_encap_table = DissectorTable.get("wtap_encap") -- 获取用于注册自定义协议的封装类型表
wtap_encap_table:add(147, proto_custom) -- 将自定义协议绑定到封装类型147,用于指定的捕获文件格式4.编写c抓包
这里需要注意的就是147一定与lua中的值相等
#include <sys/time.h>
#include <unistd.h>
#include <fcntl.h>
#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <string.h>
#include <arpa/inet.h>struct _timeval {uint32_t tv_sec; uint32_t tv_usec;
};struct _pcap_pkthdr {struct _timeval ts;uint32_t caplen;uint32_t len;
};struct pcap_global_header {uint32_t magic_number;uint16_t version_major;uint16_t version_minor;int32_t thiszone;uint32_t sigfigs;uint32_t snaplen;uint32_t network;
};struct layer2_header {uint8_t dest_mac[6];uint8_t src_mac[6];uint16_t eth_type;uint8_t custom_field1:3; // 3-bit 字段uint8_t custom_field2:5; // 5-bit 字段
};struct layer3_header {uint8_t version;uint8_t type;uint16_t length;uint32_t src_ip;uint32_t dest_ip;uint8_t ttl;uint8_t flags;
};struct layer4_header {uint16_t proto_type;uint16_t data_len;uint8_t data[256];
};int writePcap(int fd, char *buf, int len, struct timeval tv) {struct _pcap_pkthdr h;h.ts.tv_sec = (uint32_t)tv.tv_sec;h.ts.tv_usec = (uint32_t)tv.tv_usec;h.caplen = len;h.len = len;write(fd, &h, sizeof(h));write(fd, buf, len);return 0;
}int writeGlobalHeader(int fd) {struct pcap_global_header global_header;global_header.magic_number = 0xa1b2c3d4;global_header.version_major = 2;global_header.version_minor = 4;global_header.thiszone = 0;global_header.sigfigs = 0;global_header.snaplen = 65535;global_header.network = 147; // 自定义协议类型编号return write(fd, &global_header, sizeof(global_header)) == sizeof(global_header) ? 0 : -1;
}int main() {int fd = open("./custom_protocol.pcap", O_CREAT | O_WRONLY | O_TRUNC, S_IRUSR | S_IWUSR);if (fd == -1) {perror("打开文件失败");return 1;}if (writeGlobalHeader(fd) != 0) {close(fd);return 1;}struct layer2_header l2 = {.dest_mac = {0xff, 0xff, 0xff, 0xff, 0xff, 0xff},.src_mac = {0x01, 0x02, 0x03, 0x04, 0x05, 0x06},.eth_type = htons(0x1234),.custom_field1 = 2,.custom_field2 = 8};struct layer3_header l3 = {.version = 4,.type = 1,.length = htons(20),.src_ip = htonl(0xC0A80001),.dest_ip = htonl(0xC0A80002),.ttl = 64,.flags = 2};struct layer4_header l4 = {.proto_type = htons(0x5678),.data_len = htons(5),.data = "hello"};uint8_t packet[1024];int len = 0;memcpy(packet, &l2, sizeof(l2));len += sizeof(l2);memcpy(packet + len, &l3, sizeof(l3));len += sizeof(l3);memcpy(packet + len, &l4, sizeof(l4));len += sizeof(l4);struct timeval tv;gettimeofday(&tv, NULL);writePcap(fd, (char*)packet, len, tv);close(fd);printf("Custom protocol pcap file generated successfully.\n");return 0;
}5.wireshark添加自定义协议
这里header size 写0 代表从开始解析协议
PS:lua中不要定义名字相同的变量
如何加调试信息
直接print(“value:”, value)
需要再lua console中查看
工具 --> lua -->console
这里需要打开后双击某个具体的数据包,才会打印解析函数中的print,如果是要打印解析函数外的print,则直接cmd执行wireshark.exe
简单记录方法,方便以后回顾,具体lua语法有需要自己百度一下~
相关文章:
wireshark使用lua解析自定义协议
wireshark解析自定义协议 1.自定义的lua放入路径2.修改init.lua2.1 开启lua2.2 init.lua文件最后加入自己的lua文件位置,这里需要确保与自己的文件名相同 3.编写lua4.编写c抓包5.wireshark添加自定义协议如何加调试信息 1.自定义的lua放入路径 一般是自己软件的安装…...
(Keil)MDK-ARM各种优化选项详细说明、实际应用及拓展内容
参考 MDK-ARM各种优化选项详细说明、实际应用及拓展内容 本文围绕MDK-ARM优化选项,以及相关拓展知识(微库、实际应用、调试)进行讲述,希望对你今后开发项目有所帮助。 1 总述 我们所指的优化,主要两方面: 1.代码大小(Size) 2.代码性能(运行时间) 在MDK-ARM中,优…...
Qt实现可拖拽的矩形
之前项目上需要用Qt来绘制可拖拽改变形状的矩形。看了Qt Graphics相关的内容,虽然对Qt怎么添加图元的有了些了解,但是具体如何实现拖拽效果,一时也没有什么好的想法。还好网上有人分享的例子,很受启发。后来又回顾了一下这部分的代…...
,B服务器下载A服务器文件(下载))
CentOS:A服务器主动给B服务器推送(上传),B服务器下载A服务器文件(下载)
Linux:常识(bash: ip command not found )_bash: ip: command not found-CSDN博客 rsync 中断后先判断程序是否自动重连:ps aux | grep rsync 查看目录/文件是否被使用(查询线程占用):lsof /usr/local/bin/mongodump/.B_database1.6uRCTp 场景:MongoDB中集合非常大需要…...
Oracle 执行计划查看方法汇总及优劣对比
在 Oracle 数据库中,查看执行计划是优化 SQL 语句性能的重要工具。以下是几种常用的查看执行计划的方法及其优劣比较: 1. 使用 EXPLAIN PLAN FOR 和 DBMS_XPLAN.DISPLAY 方法 执行 EXPLAIN PLAN FOR 语句: EXPLAIN PLAN FOR SELECT * FROM …...
TCL大数据面试题及参考答案
Mysql 索引失效的场景 对索引列进行运算或使用函数:当在索引列上进行数学运算、函数操作等,索引可能失效。例如,在存储年龄的列上建立了索引,若查询语句是 “SELECT * FROM table WHERE age + 1 = 20”,这里对索引列 age 进行了加法运算,数据库会放弃使用索引而进行全表扫…...
九、FOC原理详解
1、FOC简介 FOC(field-oriented control)为磁场定向控制,又称为矢量控制(vectorcontrol),是目前无刷直流电机(BLDC)和永磁同步电机(PMSM)高效控制的最佳选择…...
vue页面成绩案例(for渲染表格/删除/添加/统计总分/平均分/不及格显红色/输入内容去首尾空格trim/输入内容转数字number)
1.使用v-if 和v-else 完成<tbody>标签的条件渲染 2.v-for完成列表渲染 3.:class完成分数标红的条件控制 删哪个就传哪个的id,基于这个id去过滤掉相同id的项,把剩下的项返回 a标签的默认点击事件会跳转 这里要禁止默认事件 即使用click.provent 就…...
STM32编程小工具FlyMcu和STLINK Utility 《通俗易懂》破解
FlyMcu FlyMcu 模拟仿真软件是一款用于 STM32 芯片 ISP 串口烧录程序的专用工具,免费,且较为非常容易下手,好用便捷。 注意:STM32 芯片的 ISP 下载,只能使用串口1(USART1),对应的串口…...
Centos使用docker搭建Graylog日志平台
日志管理系统有很多,比如ELK,Graylog,LokiGrafanaPromtail 适用场景: 1.如果需求复杂,服务器资源不受限制,推荐使用ELK(Logstash Elasticsearch Kibana)方案; 2.如果需求仅是将…...
自定义 Kafka 脚本 kf-use.sh 的解析与功能与应用示例
Kafka:分布式消息系统的核心原理与安装部署-CSDN博客 自定义 Kafka 脚本 kf-use.sh 的解析与功能与应用示例-CSDN博客 Kafka 生产者全面解析:从基础原理到高级实践-CSDN博客 Kafka 生产者优化与数据处理经验-CSDN博客 Kafka 工作流程解析:…...
【SQL】【数据库】语句翻译例题
SQL自然语言到SQL翻译知识点 以下是将自然语言转化为SQL语句的所有相关知识点,分门别类详细列出,并结合技巧说明。 1. 数据库操作 创建数据库 自然语言:创建一个名为“TestDB”的数据库。 CREATE DATABASE TestDB;技巧:识别**“创…...
linux基本命令2
7. 文件查找和搜索 (继续) find — 查找文件 find /path/to/search -name "file_name" # 根据名称查找文件 find /path/to/search -type f # 查找所有普通文件 find /path/to/search -type d # 查找所有目录 find /path/to/search -name "*.txt" # 查找…...
Spring Boot项目集成Redisson 原始依赖与 Spring Boot Starter 的流程
Redisson 是一个高性能的 Java Redis 客户端,提供了丰富的分布式工具集,如分布式锁、Map、Queue 等,帮助开发者简化 Redis 的操作。在集成 Redisson 到项目时,开发者通常有两种选择: 使用 Redisson 原始依赖。使用 Re…...
Git命令使用与原理详解
1.仓库 # 在当前目录新建一个Git代码库 $ git init # 新建一个目录,将其初始化为Git代码库 $ git init [project-name] # 下载一个项目和它的整个代码历史 $ git clone [url]2.配置 # 显示当前的Git配置 $ git config --list # 编辑Git配置文件 $ git co…...
Linux:自定义Shell
本文旨在通过自己完成一个简单的Shell来帮助理解命令行Shell这个程序。 目录 一、输出“提示” 二、获取输入 三、切割字符串 四、执行指令 1.子进程替换 2.内建指令 一、输出“提示” 这个项目基于虚拟机Ubuntu22.04.5实现。 打开终端界面如图所示。 其中。 之前&#x…...
vue项目中中怎么获取环境变量
在 Vue 项目中,有几种获取环境变量的方法。最常用的是通过 import.meta.env 来访问。 1.首先在项目根目录创建环境变量文件: .env # 所有环境都会加载 .env.development # 开发环境 .env.production # 生产环境2.在环境变量文件…...
C#里怎么样使用正则表达式?
C#里怎么样使用正则表达式? 正则表达式是由普通字符(如英文字母)以及特殊字符(也称为元字符)组成的一种文字模式 这种文字模式可用于检查字符串的值是否满足一定的规则,例如: 验证输入的邮箱是否合法 输入的身份证号码是否合法 输入的用户名是否满足条件等 也可以…...
《生成式 AI》课程 第5講:訓練不了人工智慧?你可以訓練你自己 (下)
资料来自李宏毅老师《生成式 AI》课程,如有侵权请通知下线 Introduction to Generative AI 2024 Springhttps://speech.ee.ntu.edu.tw/~hylee/genai/2024-spring.php 摘要 这一系列的作业是为 2024 年春季的《生成式 AI》课程设计的,共包含十个作业。…...
Vue 动态给 data 添加新属性深度解析:问题、原理与解决方案
在 Vue 中,动态地向 data 中添加新的属性是一个常见的需求,但它也可能引发一些问题,尤其是关于 响应式更新 和 数据绑定 的问题。Vue 的响应式系统通过 getter 和 setter 来追踪和更新数据,但 动态添加新属性 时,Vue 并不会自动为这些新属性创建响应式链接。 1. 直接向 V…...
大话软工笔记—需求分析概述
需求分析,就是要对需求调研收集到的资料信息逐个地进行拆分、研究,从大量的不确定“需求”中确定出哪些需求最终要转换为确定的“功能需求”。 需求分析的作用非常重要,后续设计的依据主要来自于需求分析的成果,包括: 项目的目的…...
使用rpicam-app通过网络流式传输视频)
树莓派超全系列教程文档--(62)使用rpicam-app通过网络流式传输视频
使用rpicam-app通过网络流式传输视频 使用 rpicam-app 通过网络流式传输视频UDPTCPRTSPlibavGStreamerRTPlibcamerasrc GStreamer 元素 文章来源: http://raspberry.dns8844.cn/documentation 原文网址 使用 rpicam-app 通过网络流式传输视频 本节介绍来自 rpica…...
SciencePlots——绘制论文中的图片
文章目录 安装一、风格二、1 资源 安装 # 安装最新版 pip install githttps://github.com/garrettj403/SciencePlots.git# 安装稳定版 pip install SciencePlots一、风格 简单好用的深度学习论文绘图专用工具包–Science Plot 二、 1 资源 论文绘图神器来了:一行…...
大型活动交通拥堵治理的视觉算法应用
大型活动下智慧交通的视觉分析应用 一、背景与挑战 大型活动(如演唱会、马拉松赛事、高考中考等)期间,城市交通面临瞬时人流车流激增、传统摄像头模糊、交通拥堵识别滞后等问题。以演唱会为例,暖城商圈曾因观众集中离场导致周边…...
为什么需要建设工程项目管理?工程项目管理有哪些亮点功能?
在建筑行业,项目管理的重要性不言而喻。随着工程规模的扩大、技术复杂度的提升,传统的管理模式已经难以满足现代工程的需求。过去,许多企业依赖手工记录、口头沟通和分散的信息管理,导致效率低下、成本失控、风险频发。例如&#…...
12.找到字符串中所有字母异位词
🧠 题目解析 题目描述: 给定两个字符串 s 和 p,找出 s 中所有 p 的字母异位词的起始索引。 返回的答案以数组形式表示。 字母异位词定义: 若两个字符串包含的字符种类和出现次数完全相同,顺序无所谓,则互为…...
鸿蒙DevEco Studio HarmonyOS 5跑酷小游戏实现指南
1. 项目概述 本跑酷小游戏基于鸿蒙HarmonyOS 5开发,使用DevEco Studio作为开发工具,采用Java语言实现,包含角色控制、障碍物生成和分数计算系统。 2. 项目结构 /src/main/java/com/example/runner/├── MainAbilitySlice.java // 主界…...
:观察者模式)
JS设计模式(4):观察者模式
JS设计模式(4):观察者模式 一、引入 在开发中,我们经常会遇到这样的场景:一个对象的状态变化需要自动通知其他对象,比如: 电商平台中,商品库存变化时需要通知所有订阅该商品的用户;新闻网站中࿰…...
Web中间件--tomcat学习
Web中间件–tomcat Java虚拟机详解 什么是JAVA虚拟机 Java虚拟机是一个抽象的计算机,它可以执行Java字节码。Java虚拟机是Java平台的一部分,Java平台由Java语言、Java API和Java虚拟机组成。Java虚拟机的主要作用是将Java字节码转换为机器代码&#x…...
详细解析)
Caliper 负载(Workload)详细解析
Caliper 负载(Workload)详细解析 负载(Workload)是 Caliper 性能测试的核心部分,它定义了测试期间要执行的具体合约调用行为和交易模式。下面我将全面深入地讲解负载的各个方面。 一、负载模块基本结构 一个典型的负载模块(如 workload.js)包含以下基本结构: use strict;/…...