使用lua编写Wireshark的dissector插件

Dissector 插件可以用来对特定的协议内容进行分析展示，在分析自己实现的应用层协议时还是很有用的。 dissector 插件一般用 C 来实现，具体如何实现可以参考 Wireshark 代码目录下面的 \epan\dissectors 中的源代码和 plugins 目录下面的源代码。

 

一些简单的对性能要求不高的 dissector 插件也可以使用 Lua 来实现。 Wireshark 已经嵌入了对 Lua 的支持。

 

下面就是一个简单的例子：  

 

-- 定义协议，可以在wireshark中使用trivial过滤

trivial_proto = Proto("trivial","TRIVIAL","Trivial Protocol")

 
-- dissector函数

function trivial_proto.dissector(buffer,pinfo,tree)

    --pinfo的成员可以参考用户手册

    pinfo.cols.protocol = "TRIVIAL"

    pinfo.cols.info = "TRIVIAL data"

    local subtree = tree:add(trivial_proto,buffer(),"Trivial Protocol")


    --不对应任何数据

    subtree:add(buffer(0,0),"Message Header: ")

   
    --版本号对应于第一个字节

    subtree:add(buffer(0,1),"Version: " .. buffer(0,1):uint())

   
    --类型对应于第二个字节

    type = buffer(1,1):uint()

    type_str = "Unknown"

    if type == 1 then

        type_str = "REQUEST"

    elseif type == 2 then

        type_str = "RESPONSE"

    end

    subtree:add(buffer(1,1), "Type: " .. type_str)

 

    --从第三个字节开始是数据

    size = buffer:len()

    subtree:add(buffer(2,size-2), "Data: ")

      

end

 

tcp_table = DissectorTable.get("tcp.port")

--注册到tcp的8888端口

tcp_table:add(8888,trivial_proto)

 

 

插件编写完成后保持为 test.lua 文件，我们就可以抓包测试一下了。

 

首先请确认你的 Wireshark 支持 lua ，如果 Wireshark 目录下面有 init.lua 文件就说明支持 Lua 。其次需要启动对 Lua 的支持，默认不启动对 Lua 的支持。编辑 init.lua 文件，注释掉“ disable_lua = true; ”这一行，然后在文件的最后添加一行 dofile("test.lua") ，这样 Wireshark 启动时就会自动调用 test.lua 。也可以在命令行指定需要执行的脚本文件， 比如“ wireshark  -X lua_script:test.lua ”。

 

评论

1 楼 bonix 2009-12-20  

文章很不错，网上能参考的资料很少，参考楼主的文章给自己项目中的协议编写了插件，以可以正常解析
有几个问题想跟楼主交流一下：
1-协议中日期类型字段如何处理，比如是 8 字节的long，lua如何转成日期显示
2-如果协议流中的数据是本机序，lua如何做转序