标签：自定义 .. buffer fields tree LUA -- id Wireshark

Wireshark LUA脚本分析自定义帧格式

1. 帧格式

​ 该帧格式由课设要求引出，本次课设要求在eth0网络接口与Linux内核TCP/IP间串接一个虚拟网络接口vni0，如下图所示：

​ 此报文格式修改为下图所示：

• 以太帧头部：

  ​ 目的MAC地址（6字节） = 广播MAC地址；

  ​ 源MAC地址（6字节） = 发送方eth0的MAC地址；

  ​ 类型（2字节） = 0xF4F0(即VNI的协议编号)；

• VNI头部：

  ​ VNI类型（4字节） = 学号后4位数，每个数1个字节；

  ​ 分组序号（2字节），初始值为0。

2. 编写LUA脚本

第一步：创建解析器对象

local NAME = "VNI"
local VniProto = Proto(NAME, "VNI PROTOCOL")

第二步：声明协议字段：

-- C语言中自定义VNI协议头部结构体
-- struct vnihdr
-- {
	-- char id[4];
	-- unsigned short seq;
-- };
-- 声明协议的字段
local fields = VniProto.fields
fields.id_0 = ProtoField.uint8(NAME .. "ID", "id[0]", base.HEX) 
fields.id_1 = ProtoField.uint8(NAME .. "ID", "id[1]", base.HEX) 
fields.id_2 = ProtoField.uint8(NAME .. "ID", "id[2]", base.HEX) 
fields.id_3 = ProtoField.uint8(NAME .. "ID", "id[3]", base.HEX) 
fields.seq = ProtoField.uint16(NAME .. "SEQ", "seq", base.DEC)

第三步：实现自定义协议的解析器函数

-- 解析器函数 
--[[
    下面定义VniProto解析器的主函数，这个函数由wireshark调用
    第一个参数是 tvb 类型，表示的是需要此解析器解析的数据;
    第二个参数是 Pinfo 类型，是协议解析树上的信息，包括 UI 上的显示;
    第三个参数是 TreeItem 类型，表示上一级解析树;
--]]
function VniProto.dissector(buffer, pinfo, tree)
	if buffer:len() == 0 then return end
	pinfo.cols.protocol = VniProto.name --显示在protocol列的名字
	
	local subtree = tree:add(VniProto, buffer(0,6), "Vni Protocol") --显示在数据查看
		  subtree:append_text(", vni_seq: " .. buffer(4, 2):uint())
	-- buffer的两个参数含义：从第4个字节开始取，取2个字节
    
	local id_tree = subtree:add(VniProto, buffer(0,4), "VNI_ID")
	      id_tree:append_text(", id: 0x" .. buffer(0,4))
		  id_tree:add(fields.id_0, buffer(0,1)):append_text(" ("..buffer(0,1):uint()..")")
		  id_tree:add(fields.id_1, buffer(1,1)):append_text(" ("..buffer(1,1):uint()..")")
		  id_tree:add(fields.id_2, buffer(2,1)):append_text(" ("..buffer(2,1):uint()..")")
		  id_tree:add(fields.id_3, buffer(3,1)):append_text(" ("..buffer(3,1):uint()..")")
	subtree:add(fields.seq, buffer(4, 2)):append_text(" (0x"..buffer(4,2)..")")
	
	local raw_data = buffer(6, buffer:len() - 6)
	Dissector.get("ip"):call(raw_data:tvb(), pinfo, tree)
    -- 后续内容交给ip解析器继续解析，这里只进行vni头部解析
end

第四步：将解析器注册到Wireshark解析表

local vni_type = DissectorTable.get("ethertype")
-- 添加解析的以太帧类型，VNI的帧类型是自定义的
vni_type:add(0xf4f0, VniProto)

3. 加载LUA脚本

第一步：将该脚本文件在wireshark安装目录中，以博主主机为例：C:\Program Files\Wireshark

第二步：修改安装目录下的init.lua文件，找到最后一部分的if判断：

if not running_superuser or run_user_scripts_when_superuser then
    dofile(DATA_DIR.."console.lua")
	dofile(DATA_DIR.."vni.lua")  -- 加上这一句，表示加载自定义的LUA脚本
end

第三步：Wireshark应用中：分析–>重新加载LUA插件

4. 结果展示：

参考链接：

1. https://blog.csdn.net/wangquan1992/article/details/100161021
2. https://www.wireshark.org/docs/wsdg_html_chunked/wsluarm_modules.html

标签：自定义,..,buffer,fields,tree,LUA,--,id,Wireshark
来源： https://blog.csdn.net/qq_40878398/article/details/121749780

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。