wireshark使用lua解析自定义协议
wireshark解析自定义协议
- 1.自定义的lua放入路径
- 2.修改init.lua
- 2.1 开启lua
- 2.2 init.lua文件最后加入自己的lua文件位置,这里需要确保与自己的文件名相同
- 3.编写lua
- 4.编写c抓包
- 5.wireshark添加自定义协议
- 如何加调试信息
1.自定义的lua放入路径
一般是自己软件的安装位置,也可以通过wireshark查看,这里我是直接放到init.lua同一路径就行
2.修改init.lua
2.1 开启lua
2.2 init.lua文件最后加入自己的lua文件位置,这里需要确保与自己的文件名相同
3.编写lua
-- 这里custom_protocol 就是下一步在wireshark 新增协议的名字
-- 注册协议名称
local proto_custom = Proto("custom_protocol", "Custom Protocol") -- 创建一个名为 "custom_protocol" 的协议,显示名称为 "Custom Protocol"--下面的格式就是协议解析出来输出的格式,理论上前两个字段必填,base.DEC为输出的格式,DEC:十进制 HEX:十六进制 BIN:二进制
-- 定义协议字段
local f_dest_mac = ProtoField.bytes("custom_protocol.dest_mac", "Destination MAC") -- 目标MAC地址字段
local f_src_mac = ProtoField.bytes("custom_protocol.src_mac", "Source MAC") -- 源MAC地址字段
local f_eth_type = ProtoField.uint16("custom_protocol.eth_type", "Ethernet Type") -- 以太网类型字段
local f_three_bit = ProtoField.uint8("custom_protocol.three_bit", "3-bit Field", base.DEC, nil, 0xE0) -- 3位字段,位掩码为0xE0
local f_five_bit = ProtoField.uint8("custom_protocol.five_bit", "5-bit Field", base.DEC, nil, 0x1F) -- 5位字段,位掩码为0x1F
local f_version = ProtoField.uint8("custom_protocol.version", "IP Version") -- IP版本字段
local f_type = ProtoField.uint8("custom_protocol.type", "Type") -- 类型字段
local f_length = ProtoField.uint16("custom_protocol.length", "Packet Length") -- 包长度字段
local f_src_ip = ProtoField.ipv4("custom_protocol.src_ip", "Source IP") -- 源IP地址字段
local f_dest_ip = ProtoField.ipv4("custom_protocol.dest_ip", "Destination IP") -- 目标IP地址字段
local f_ttl = ProtoField.uint8("custom_protocol.ttl", "TTL") -- 生存时间(TTL)字段
local f_flags = ProtoField.uint8("custom_protocol.flags", "Flags") -- 标志字段
local f_proto_type = ProtoField.uint16("custom_protocol.proto_type", "Protocol Type") -- 协议类型字段
local f_data_len = ProtoField.uint16("custom_protocol.data_len", "Data Length") -- 数据长度字段
local f_data = ProtoField.string("custom_protocol.data", "Data") -- 数据字段-- 将字段添加到协议
proto_custom.fields = { -- 将所有定义的字段添加到协议字段列表中f_dest_mac,f_src_mac,f_eth_type,f_three_bit,f_five_bit,f_version,f_type,f_length,f_src_ip,f_dest_ip,f_ttl,f_flags,f_proto_type,f_data_len,f_data
}--buffer(offset, 1):bitfield(0, 3) offset代表起始地址,1代表从起始地址开始的1字节 bitfield中0代表从这个字节的0bit开始, 3代表取三位(也就是取1字节的前3位)
--buffer(offset, 3):bitfield(4, 16) 这个就是取三字节中的4--20位
-- 解析函数
function proto_custom.dissector(buffer, pinfo, tree)-- 设置协议名称pinfo.cols.protocol = proto_custom.name -- 将协议名称显示在协议列中-- 检查缓冲区长度是否足够local packet_len = buffer:len()if packet_len < 14 then -- 如果包长度小于14字节,则退出解析returnend-- 解析以太网头部local eth_dst_mac = buffer(0, 6) -- 获取前6字节为目标MAC地址local eth_src_mac = buffer(6, 6) -- 接下来的6字节为源MAC地址local eth_type = buffer(12, 2):uint() -- 接下来的2字节为以太网类型-- 解析自定义二层字段local offset = 14 -- 偏移量设置为14,跳过以太网头部local three_bit = buffer(offset, 1):bitfield(0, 3) -- 提取自定义字段的前3位local five_bit = buffer(offset, 1):bitfield(3, 5) -- 提取剩下的5位-- 解析三层协议offset = offset + 1 -- 更新偏移量local version = buffer(offset, 1):uint() -- 读取IP版本字段local type = buffer(offset + 1, 1):uint() -- 读取类型字段local length = buffer(offset + 2, 2):uint() -- 读取包长度字段local src_ip = buffer(offset + 4, 4):ipv4() -- 读取源IP地址字段local dest_ip = buffer(offset + 8, 4):ipv4() -- 读取目标IP地址字段local ttl = buffer(offset + 12, 1):uint() -- 读取TTL字段local flags = buffer(offset + 13, 1):uint() -- 读取标志字段-- 解析四层协议offset = offset + 14 -- 更新偏移量local proto_type = buffer(offset, 2):uint() -- 读取协议类型字段local data_len = buffer(offset + 2, 2):uint() -- 读取数据长度字段local data = buffer(offset + 4, data_len):string() -- 读取数据字段-- 在树形视图中添加协议local custom_tree = tree:add(proto_custom, buffer(), "USLP") -- 添加自定义协议的根节点到树形视图custom_tree:add(f_dest_mac, eth_dst_mac) -- 显示目标MAC地址custom_tree:add(f_src_mac, eth_src_mac) -- 显示源MAC地址custom_tree:add(f_eth_type, eth_type) -- 显示以太网类型-- 添加 Layer 2 协议字段local layer2_tree = tree:add(proto_custom, buffer(), "TFDZ") -- 添加自定义二层协议节点到树形视图layer2_tree:add(f_three_bit, buffer(14, 1)) -- 显示3位字段layer2_tree:add(f_five_bit, buffer(14, 1)) -- 显示5位字段-- 添加 Layer 3 协议字段local layer3_tree = tree:add(proto_custom, buffer(), "EPP") -- 添加自定义三层协议节点到树形视图layer3_tree:add(f_version, version) -- 显示IP版本layer3_tree:add(f_type, type) -- 显示类型字段layer3_tree:add(f_length, length) -- 显示包长度layer3_tree:add(f_src_ip, src_ip) -- 显示源IP地址layer3_tree:add(f_dest_ip, dest_ip) -- 显示目标IP地址layer3_tree:add(f_ttl, ttl) -- 显示TTLlayer3_tree:add(f_flags, flags) -- 显示标志-- 添加 Layer 4 协议字段-- 假如这里需要将layer4_tree 假如到layer3_tree去,而不是单独显示则-- local layer4_tree = layer3_tree:add(proto_custom, buffer(), "IPE")local layer4_tree = tree:add(proto_custom, buffer(), "IPE") -- 添加自定义四层协议节点到树形视图layer4_tree:add(f_proto_type, proto_type) -- 显示协议类型layer4_tree:add(f_data_len, data_len) -- 显示数据长度layer4_tree:add(f_data, data) -- 显示数据字段
end-- 147 要与抓包是写入的值相等
-- 注册 dissector 并绑定到 DLT 147
local wtap_encap_table = DissectorTable.get("wtap_encap") -- 获取用于注册自定义协议的封装类型表
wtap_encap_table:add(147, proto_custom) -- 将自定义协议绑定到封装类型147,用于指定的捕获文件格式4.编写c抓包
这里需要注意的就是147一定与lua中的值相等
#include <sys/time.h>
#include <unistd.h>
#include <fcntl.h>
#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <string.h>
#include <arpa/inet.h>struct _timeval {uint32_t tv_sec; uint32_t tv_usec;
};struct _pcap_pkthdr {struct _timeval ts;uint32_t caplen;uint32_t len;
};struct pcap_global_header {uint32_t magic_number;uint16_t version_major;uint16_t version_minor;int32_t thiszone;uint32_t sigfigs;uint32_t snaplen;uint32_t network;
};struct layer2_header {uint8_t dest_mac[6];uint8_t src_mac[6];uint16_t eth_type;uint8_t custom_field1:3; // 3-bit 字段uint8_t custom_field2:5; // 5-bit 字段
};struct layer3_header {uint8_t version;uint8_t type;uint16_t length;uint32_t src_ip;uint32_t dest_ip;uint8_t ttl;uint8_t flags;
};struct layer4_header {uint16_t proto_type;uint16_t data_len;uint8_t data[256];
};int writePcap(int fd, char *buf, int len, struct timeval tv) {struct _pcap_pkthdr h;h.ts.tv_sec = (uint32_t)tv.tv_sec;h.ts.tv_usec = (uint32_t)tv.tv_usec;h.caplen = len;h.len = len;write(fd, &h, sizeof(h));write(fd, buf, len);return 0;
}int writeGlobalHeader(int fd) {struct pcap_global_header global_header;global_header.magic_number = 0xa1b2c3d4;global_header.version_major = 2;global_header.version_minor = 4;global_header.thiszone = 0;global_header.sigfigs = 0;global_header.snaplen = 65535;global_header.network = 147; // 自定义协议类型编号return write(fd, &global_header, sizeof(global_header)) == sizeof(global_header) ? 0 : -1;
}int main() {int fd = open("./custom_protocol.pcap", O_CREAT | O_WRONLY | O_TRUNC, S_IRUSR | S_IWUSR);if (fd == -1) {perror("打开文件失败");return 1;}if (writeGlobalHeader(fd) != 0) {close(fd);return 1;}struct layer2_header l2 = {.dest_mac = {0xff, 0xff, 0xff, 0xff, 0xff, 0xff},.src_mac = {0x01, 0x02, 0x03, 0x04, 0x05, 0x06},.eth_type = htons(0x1234),.custom_field1 = 2,.custom_field2 = 8};struct layer3_header l3 = {.version = 4,.type = 1,.length = htons(20),.src_ip = htonl(0xC0A80001),.dest_ip = htonl(0xC0A80002),.ttl = 64,.flags = 2};struct layer4_header l4 = {.proto_type = htons(0x5678),.data_len = htons(5),.data = "hello"};uint8_t packet[1024];int len = 0;memcpy(packet, &l2, sizeof(l2));len += sizeof(l2);memcpy(packet + len, &l3, sizeof(l3));len += sizeof(l3);memcpy(packet + len, &l4, sizeof(l4));len += sizeof(l4);struct timeval tv;gettimeofday(&tv, NULL);writePcap(fd, (char*)packet, len, tv);close(fd);printf("Custom protocol pcap file generated successfully.\n");return 0;
}5.wireshark添加自定义协议
这里header size 写0 代表从开始解析协议
PS:lua中不要定义名字相同的变量
如何加调试信息
直接print(“value:”, value)
需要再lua console中查看
工具 --> lua -->console
这里需要打开后双击某个具体的数据包,才会打印解析函数中的print,如果是要打印解析函数外的print,则直接cmd执行wireshark.exe
简单记录方法,方便以后回顾,具体lua语法有需要自己百度一下~
相关文章:
wireshark使用lua解析自定义协议
wireshark解析自定义协议 1.自定义的lua放入路径2.修改init.lua2.1 开启lua2.2 init.lua文件最后加入自己的lua文件位置,这里需要确保与自己的文件名相同 3.编写lua4.编写c抓包5.wireshark添加自定义协议如何加调试信息 1.自定义的lua放入路径 一般是自己软件的安装…...
(Keil)MDK-ARM各种优化选项详细说明、实际应用及拓展内容
参考 MDK-ARM各种优化选项详细说明、实际应用及拓展内容 本文围绕MDK-ARM优化选项,以及相关拓展知识(微库、实际应用、调试)进行讲述,希望对你今后开发项目有所帮助。 1 总述 我们所指的优化,主要两方面: 1.代码大小(Size) 2.代码性能(运行时间) 在MDK-ARM中,优…...
Qt实现可拖拽的矩形
之前项目上需要用Qt来绘制可拖拽改变形状的矩形。看了Qt Graphics相关的内容,虽然对Qt怎么添加图元的有了些了解,但是具体如何实现拖拽效果,一时也没有什么好的想法。还好网上有人分享的例子,很受启发。后来又回顾了一下这部分的代…...
CentOS:A服务器主动给B服务器推送(上传),B服务器下载A服务器文件(下载)
Linux:常识(bash: ip command not found )_bash: ip: command not found-CSDN博客 rsync 中断后先判断程序是否自动重连:ps aux | grep rsync 查看目录/文件是否被使用(查询线程占用):lsof /usr/local/bin/mongodump/.B_database1.6uRCTp 场景:MongoDB中集合非常大需要…...
Oracle 执行计划查看方法汇总及优劣对比
在 Oracle 数据库中,查看执行计划是优化 SQL 语句性能的重要工具。以下是几种常用的查看执行计划的方法及其优劣比较: 1. 使用 EXPLAIN PLAN FOR 和 DBMS_XPLAN.DISPLAY 方法 执行 EXPLAIN PLAN FOR 语句: EXPLAIN PLAN FOR SELECT * FROM …...
TCL大数据面试题及参考答案
Mysql 索引失效的场景 对索引列进行运算或使用函数:当在索引列上进行数学运算、函数操作等,索引可能失效。例如,在存储年龄的列上建立了索引,若查询语句是 “SELECT * FROM table WHERE age + 1 = 20”,这里对索引列 age 进行了加法运算,数据库会放弃使用索引而进行全表扫…...
九、FOC原理详解
1、FOC简介 FOC(field-oriented control)为磁场定向控制,又称为矢量控制(vectorcontrol),是目前无刷直流电机(BLDC)和永磁同步电机(PMSM)高效控制的最佳选择…...
vue页面成绩案例(for渲染表格/删除/添加/统计总分/平均分/不及格显红色/输入内容去首尾空格trim/输入内容转数字number)
1.使用v-if 和v-else 完成<tbody>标签的条件渲染 2.v-for完成列表渲染 3.:class完成分数标红的条件控制 删哪个就传哪个的id,基于这个id去过滤掉相同id的项,把剩下的项返回 a标签的默认点击事件会跳转 这里要禁止默认事件 即使用click.provent 就…...
STM32编程小工具FlyMcu和STLINK Utility 《通俗易懂》破解
FlyMcu FlyMcu 模拟仿真软件是一款用于 STM32 芯片 ISP 串口烧录程序的专用工具,免费,且较为非常容易下手,好用便捷。 注意:STM32 芯片的 ISP 下载,只能使用串口1(USART1),对应的串口…...
Centos使用docker搭建Graylog日志平台
日志管理系统有很多,比如ELK,Graylog,LokiGrafanaPromtail 适用场景: 1.如果需求复杂,服务器资源不受限制,推荐使用ELK(Logstash Elasticsearch Kibana)方案; 2.如果需求仅是将…...
自定义 Kafka 脚本 kf-use.sh 的解析与功能与应用示例
Kafka:分布式消息系统的核心原理与安装部署-CSDN博客 自定义 Kafka 脚本 kf-use.sh 的解析与功能与应用示例-CSDN博客 Kafka 生产者全面解析:从基础原理到高级实践-CSDN博客 Kafka 生产者优化与数据处理经验-CSDN博客 Kafka 工作流程解析:…...
【SQL】【数据库】语句翻译例题
SQL自然语言到SQL翻译知识点 以下是将自然语言转化为SQL语句的所有相关知识点,分门别类详细列出,并结合技巧说明。 1. 数据库操作 创建数据库 自然语言:创建一个名为“TestDB”的数据库。 CREATE DATABASE TestDB;技巧:识别**“创…...
linux基本命令2
7. 文件查找和搜索 (继续) find — 查找文件 find /path/to/search -name "file_name" # 根据名称查找文件 find /path/to/search -type f # 查找所有普通文件 find /path/to/search -type d # 查找所有目录 find /path/to/search -name "*.txt" # 查找…...
Spring Boot项目集成Redisson 原始依赖与 Spring Boot Starter 的流程
Redisson 是一个高性能的 Java Redis 客户端,提供了丰富的分布式工具集,如分布式锁、Map、Queue 等,帮助开发者简化 Redis 的操作。在集成 Redisson 到项目时,开发者通常有两种选择: 使用 Redisson 原始依赖。使用 Re…...
Git命令使用与原理详解
1.仓库 # 在当前目录新建一个Git代码库 $ git init # 新建一个目录,将其初始化为Git代码库 $ git init [project-name] # 下载一个项目和它的整个代码历史 $ git clone [url]2.配置 # 显示当前的Git配置 $ git config --list # 编辑Git配置文件 $ git co…...
Linux:自定义Shell
本文旨在通过自己完成一个简单的Shell来帮助理解命令行Shell这个程序。 目录 一、输出“提示” 二、获取输入 三、切割字符串 四、执行指令 1.子进程替换 2.内建指令 一、输出“提示” 这个项目基于虚拟机Ubuntu22.04.5实现。 打开终端界面如图所示。 其中。 之前&#x…...
vue项目中中怎么获取环境变量
在 Vue 项目中,有几种获取环境变量的方法。最常用的是通过 import.meta.env 来访问。 1.首先在项目根目录创建环境变量文件: .env # 所有环境都会加载 .env.development # 开发环境 .env.production # 生产环境2.在环境变量文件…...
C#里怎么样使用正则表达式?
C#里怎么样使用正则表达式? 正则表达式是由普通字符(如英文字母)以及特殊字符(也称为元字符)组成的一种文字模式 这种文字模式可用于检查字符串的值是否满足一定的规则,例如: 验证输入的邮箱是否合法 输入的身份证号码是否合法 输入的用户名是否满足条件等 也可以…...
《生成式 AI》课程 第5講:訓練不了人工智慧?你可以訓練你自己 (下)
资料来自李宏毅老师《生成式 AI》课程,如有侵权请通知下线 Introduction to Generative AI 2024 Springhttps://speech.ee.ntu.edu.tw/~hylee/genai/2024-spring.php 摘要 这一系列的作业是为 2024 年春季的《生成式 AI》课程设计的,共包含十个作业。…...
Vue 动态给 data 添加新属性深度解析:问题、原理与解决方案
在 Vue 中,动态地向 data 中添加新的属性是一个常见的需求,但它也可能引发一些问题,尤其是关于 响应式更新 和 数据绑定 的问题。Vue 的响应式系统通过 getter 和 setter 来追踪和更新数据,但 动态添加新属性 时,Vue 并不会自动为这些新属性创建响应式链接。 1. 直接向 V…...
【Pytest+Yaml+Allure】实现接口自动化测试框架
一、框架思想 requestsyamlpytestallure实现接口自动化框架。结合数据驱动和分层思想,将代码与数据分离,易维护,易上手。使用yaml编写编写测试用例,利用requests库发送请求,使用pytest管理用例,allure生成…...
el-input绑定点击回车事件意外触发页面刷新
小伙伴们在项目中应该还是比较常用键盘指定按键事件的,尤其是一些筛选条件的通过点击键盘回车按键去触发搜索 例如: <el-form><el-form-item label条件title><el-input v-modelformData.searchKey keydown.entersearch></el-input…...
Golang的语言特性与鸭子类型
Golang的语言特性与鸭子类型 前言 什么是鸭子类型? Suppose you see a bird walking around in a farm yard. This bird has no label that says ‘duck’. But the bird certainly looks like a duck. Also, he goes to the pond and you notice that he swims l…...
如何在Linux系统中排查GPU上运行的程序
如何在Linux系统中排查GPU上运行的程序 在Linux系统中,随着深度学习和高性能计算的普及,GPU资源的管理和监控变得越来越重要。当您遇到GPU资源不足或性能下降的问题时,需要能够快速定位并解决这些问题。本文将介绍几种常用的方法来帮助您排查…...
VSCode 新建 Python 包/模块 Pylance 无法解析
问题描述: 利用 VSCode 写代码,在项目里新建一个 Python 包或者模块,然后在其他文件里正常导入这个包或者模块时出现: Import “xxxx” could not be resolved Pylance (reportMissingImports) 也就是说 Pylance 此时无法解析我们…...
Unet++改进44:添加MogaBlock(2024最新改进模块)|在纯基于卷积神经网络的模型中进行判别视觉表示学习,具有良好的复杂性和性能权衡。
本文内容:添加MogaBlock 目录 论文简介 1.步骤一 2.步骤二 3.步骤三 4.步骤四 论文简介 通过将内核尽可能全局化,现代卷积神经网络在计算机视觉任务中显示出巨大的潜力。然而,最近在深度神经网络(dnn)内的多阶博弈论相互作用方面的进展揭示了现代卷积神经网络的表示瓶…...
计算机网络(14)ip地址超详解
先看图: 注意看第三列蓝色标注的点不会改变,A类地址第一个比特只会是0,B类是10,C类是110,D类是1110,E类是1111. IPv4地址根据其用途和网络规模的不同,分为五个主要类别(A、B、C、D、…...
【C语言】野指针问题详解及防范方法
博客主页: [小ᶻ☡꙳ᵃⁱᵍᶜ꙳] 本文专栏: C语言 文章目录 💯前言💯什么是野指针?💯未初始化的指针代码示例问题分析解决方法 💯指针越界访问代码示例问题分析解决方法 💯指向已释放内存的…...
【SVN和GIT】版本控制系统详细下载使用教程
文章目录 ** 参考文章一、什么是SVN和GIT二、软件使用介绍1 SVN安装1.1 服务端SVN下载地址1.2 客户端SVN下载地址2 SVN使用2.1 服务端SVN基础使用2.1.1 创建存储库和用户成员2.1.2 为存储库添加访问人员2.2 客户端SVN基础使用2.2.1 在本地下载库中的内容2.2.2 版本文件操作--更…...
【Vue】Vue3.0(二十六)Vue3.0中的作用域插槽
上篇文章 【Vue】Vue3.0(二十五)Vue3.0中的具名插槽 的概念和使用场景 🏡作者主页:点击! 🤖Vue专栏:点击! ⏰️创作时间:2024年11月20日17点30分 文章目录 概念使用场景示…...