使用LUA编写WIRESHARK协议解析插件

原文：http://www.cnblogs.com/wendellyi/p/3475461.html

 

一、平台

 

操作系统：windows 7

 

wireshark：1.10.3

 

lua：5.1

 

 

 

二、准备

 

lua 语言基本语法，特别是关于表操作和循环

 

wireshark 文档，包括用户使用文档和开发者文档，这些在 wireshark 官方网站都能找到

 

 

 

三、开始

 

我们首先定义一个简单的协议，我们使用 C 语言的语法描述，

struct foo
{
    char protocol_type[16];     /* request response notify */
    char service_type[16];      /* 我们定义的各种服务类型 */
    unsigned int msg_len;       /* 消息体的长度 */
    char msg_content[0];        /* 消息体的内容，由于是变长的所以采用此方法定义 */
};

 

现在可以让我们使用 lua 定义一个最基本的框架

do
    --[[
        创建一个新的协议结构 foo_proto
        第一个参数是协议名称会体现在过滤器中
        第二个参数是协议的描述信息，无关紧要
    --]]
    local foo_proto = Proto("foo", "Foo Protolcol")
    
    --[[
        下面定义字段
    --]]
    local foo_protocol_type = ProtoField.string("foo.prototype", "Protocol Type", base.NONE)
    local foo_service_type = ProtoField.string("foo.servicetype", "Service Type", base.NONE)
    local foo_msg_len = ProtoField.uint32("foo.msglen", "Message Length", base.DEC)
    local foo_msg_content = ProtoField.string("foo.msgcontent", "Message Content", base.NONE)
    
    -- 将字段添加都协议中
    foo_proto.fields = {
        foo_protocol_type,
        foo_service_type,
        foo_msg_len,
        foo_msg_content
    }
    
    --[[
        下面定义 foo 解析器的主函数，这个函数由 wireshark调用
        第一个参数是 Tvb 类型，表示的是需要此解析器解析的数据
        第二个参数是 Pinfo 类型，是协议解析树上的信息，包括 UI 上的显示
        第三个参数是 TreeItem 类型，表示上一级解析树
    --]]
    function foo_proto.dissector(tvb, pinfo, treeitem)
        
        -- 设置一些 UI 上面的信息
        pinfo.cols.protocol:set("FOO")
        pinfo.cols.info:set("Foo Protocol")
        
        local offset = 0
        local tvb_len = tvb:len()
        
        -- 在上一级解析树上创建 foo 的根节点
        local foo_tree = treeitem:add(foo_proto, tvb:range(offset))
        
        -- 下面是想该根节点上添加子节点，也就是自定义协议的各个字段
        -- 注意 range 这个方法的两个参数的意义，第一个表示此时的偏移量
        -- 第二个参数代表的是字段占用数据的长度
        foo_tree:add(foo_protocol_type, tvb:range(offset, 16))
        offset = offset+16        
        foo_tree:add(foo_service_type, tvb:range(offset, 16))
        offset = offset+16
        foo_tree:add(foo_msg_len, tvb:range(offset, 4))
        offset = offset+4
        
        -- 计算消息内容的长度
        local foo_content_len = tvb_len-offset
        foo_tree:add(foo_msg_content, tvb:range(offset, foo_content_len))
        offset = offset+foo_content_len
        
    end
    
    -- 向 wireshark 注册协议插件被调用的条件
    local tcp_port_table = DissectorTable.get("tcp.port")
    tcp_port_table:add(12345, foo_proto)
end

 

 

四、扩展

 

（1）单 TCP 分节多应用 PDU

 

这种情况可以在我们的协议解析函数中使用循环解决，但是应用层 PDU 一般都需要有我们自定义的分割标识符，不然无法区分，这里我们使用协议尾端标记的方式，采用0xFF分割，这里我们假设我们的协议体中不会出现这个值，也就是我们的消息体长度字段的值不会出现这个值。

 

（2）单应用 PDU 多 TCP 分节

 

这种情况就需要 wireshark 为我们重新拼接被 TCP 协议栈拆分的数据，不过这已经有接口可用了，下面是处理两种情况的框架

do
    -- 这里便于运算需要将数据类型进行转换
    local tvbrange = tvb:range(0)
    local bytearray = tvbrange:bytes()
    local offset = pinfo.desegment_offset or 0
    
    while true do
        local pdu_flg = false
        local pdu_end_index = 0
        
        -- ByteArray 类型的索引与 C 类似
        -- 这与 lua 本身处理表的方式有所区别
        for i = offset, tvb_len do
            if 0xFF == bytearray:get_index(i) then
                pdu_flg = true
                pdu_end_index = i
            end
        end
        
        -- 如果没有找到 PDU 的结束符，进行合包延迟解析
        if false == frame_end_flg then
            -- 如果明确知道这个应用协议还需要多少字节
            -- 可以明确地将需要的值填上，而不是使用下面的值
            -- 只是表示需要更多的分节
            pinfo.desegment_len = DESEGMENT_ONE_MORE_SEGMENT
            return
        end
        
        -- 下面是正常的处理流程，在上面的代码中已经有体现了
        -- 不过此时协议最大边界为 pdu_end_index
        
    end
end

 

 

五、完善

 

（1）谈到网络协议，如果涉及到整数必然会有字节序的问题，如果 wireshark 默认使用的是大端字节序，如果协议中的整数采用的是小端字节序，那么请考虑使用 TreeItem 类型的 le_add() 方法替代 add() 方法。

 

（2）在 add 和 le_add 方法中，我们可以显式设定我们自己的值，可以给 add 方法传递第三个值，例如，

local protocol_type = tvb:range(offset, 16):string()
foo_tree:add(foo_protocol_type, tvb:range(offset, 4), protocol_type)

 

这样显示的就是 protocol_type 的内容，另外这里的 protocol_type 类型一定要与上面定义 foo_protocol_type 让 wireshark 解析的一致，不然这个值是无效的，也就是说这个地方 protocol_type 如果是整数，就是无效，反过来也是一样。

 

（3）在协议解析树上增加节点不一定要提前定义字段，也就是字段的定义不是必须的，例如，

local protocol_type = tvb:range(offset, 16):string()
foo_tree:add(tvb:range(offset, 16), "Protocol Type: " .. protocol_type)

 

效果是一样的，但是在过滤器中无法使用此字段。

 

（4）pinfo.cols.info:set 方法可以延迟调用，也就说可以在确定了消息的各种属性之后在调用，这样可以更清晰的显示协议的摘要。

 

 

 

六、参考

 

（1）wireshark 用户手册，在 wireshark 的安装目录下有 chm 的版本，最值得参考的是第11章的数据类型和各种方法的解释。

 

（2）重组被拆分的 TCP 分节，http://stackoverflow.com/questions/13138088/how-do-i-reassemble-tcp-packet-in-lua-dissector

 

（3）处理一个分节多应用 PDU，http://stackoverflow.com/questions/14387426/reassembling-packets-in-a-lua-wireshark-dissector

 

（4）调用子协议的方法，http://blog.csdn.net/phunxm/article/details/5972904