Wireshark解析器（Dissector）插件-Lua

现有问题

如果直接使用Wireshark查看常见诸如Http等协议报文，并不会有任何不便，

但是如果查看私有协议报文，无法区分哪些是TCP协议相关报文，哪些是含有消息体的私有协议报文，也只能看到一串Byte和对应ASCII编码的Data值，无法知道数据中的各个字节对应哪个字段代表什么含义，更不能根据这些对应字段值进行过滤

什么是解析器（Dissector）

解析器（Dissector）是Wireshark中的概念，用于解析协议，将报文中对应的Bytes转为相应的字段值

可以简单理解为Wireshark中的解码器。

它不止能解析将相应位置的Bytes转为对应字段，还能将解析出来的字段用于报文过滤，还能自定义信息（Info）列中显示的自定义信息。

能方便开发人员调试诊断协议相关问题，比如断连后不重连，报文不正确，未发心跳。

编写流程

解析器可以使用C语言编写，也可以使用Lua编写

本篇使用Lua编写，因为该语言是脚本语言，不需要编译后执行，方便开发修改调试

缺点是比C语言编写的解析器慢

编写解析器需要使用lua 语言 所以建议先学一点基础，或者碰到看不懂的再查也行

Lua基础知识请参考

添加解析器插件文件#

• 在%APPDATA%\Wireshark 中新建文件夹plugins ，可以使用Win+R 键然后输入%APPDATA%\Wireshark然后回车，快速打开该目录
• 在plugins 文件夹下新建xxx.lua 文件，其中xxx 一般以协议名为文件名

解析器由什么部分组成#

• 协议定义
• 字段定义
• 协议和字段关联
• 解析器主函数
• 协议注册

解析器代码详解#

-- 协议定义，名称为ScoreBoard，在Packet Details窗格显示为ScoreBoard Protocol
local p_ScoreBoard = Proto('ScoreBoard', 'ScoreBoard Protocol')

-- 协议的各个字段定义
local f_identifier = ProtoField.bytes('ScoreBoard.identifier', 'Identifier')
local f_operator =
    ProtoField.uint8(
    'ScoreBoard.operator',
    'Operator',
    base.HEX,
    -- 这个字段的数字值都有相应的含义，可以自动对应成字符串
    {
        [0] = 'get-value',
        [1] = 'set-value',
        [128] = 'resp-value',
        [16] = 'get-color',
        [17] = 'set-color',
        [144] = 'resp-color'
    }
)
-- 所有可能的字段都要定义，到时没有t:add就不会显示
local f_left = ProtoField.uint32('ScoreBoard.left', 'Value Left', base.DEC)
local f_right = ProtoField.uint32('ScoreBoard.right', 'Value Right', base.DEC)
local f_red = ProtoField.uint8('ScoreBoard.red', 'Color Red', base.DEC)
local f_green = ProtoField.uint8('ScoreBoard.green', 'Color Green', base.DEC)
local f_blue = ProtoField.uint8('ScoreBoard.blue', 'Color Blue', base.DEC)

-- 将字段添加到协议中
p_ScoreBoard.fields = {
    f_identifier,
    f_operator,
    f_left,
    f_right,
    f_red,
    f_green,
    f_blue
}

-- 获取Wireshark自带的Data解析器
-- 后续解析发现不是有效报文需要调用该解析器显示报文数据
local data_dis = Dissector.get('data')

local function ScoreBoard_dissector(buf, pkt, root)
    local buf_len = buf:len()
    -- 先检查报文长度，太短的不是我的协议
    if buf_len > 17 then
        return false
    end
    -- 取得前16字节identifier字段的值
    local v_identifier = buf(0, 16)
    -- 验证identifier是否正确
    if
        ((buf(0, 1):uint() ~= 226) or (buf(1, 1):uint() ~= 203) or (buf(2, 1):uint() ~= 181) or
            (buf(3, 1):uint() ~= 128) or
            (buf(4, 1):uint() ~= 203) or
            (buf(5, 1):uint() ~= 9) or
            (buf(6, 1):uint() ~= 78) or
            (buf(7, 1):uint() ~= 186) or
            (buf(8, 1):uint() ~= 163) or
            (buf(9, 1):uint() ~= 107) or
            (buf(10, 1):uint() ~= 246) or
            (buf(11, 1):uint() ~= 7) or
            (buf(12, 1):uint() ~= 206) or
            (buf(13, 1):uint() ~= 149) or
            (buf(14, 1):uint() ~= 63) or
            (buf(15, 1):uint() ~= 43))
     then -- 不正确就不是我的协议
        return false
    end
    -- 取得operator的值
    local v_operator = buf(16, 1)
    local i_operator = v_operator:uint()

    -- 现在知道是我的协议了，放心大胆添加Packet Details
    local t = root:add(p_ScoreBoard, buf)
    -- 在Packet List窗格的Protocol列也可以"做个小广告"
    pkt.cols.protocol = 'ScoreBoard'
    t:add(f_identifier, v_identifier)
    t:add(f_operator, v_operator)

    if ((i_operator == 1) or (i_operator == 128)) and (buf_len >= 25) then
        -- 把存在的字段逐个添加进去
        t:add(f_left, buf(17, 4))
        t:add(f_right, buf(21, 4))
    elseif ((i_operator == 17) or (i_operator == 144)) and (buf_len >= 20) then
        t:add(f_red, buf(17, 1))
        t:add(f_green, buf(18, 1))
        t:add(f_blue, buf(19, 1))
    end
    return true
end

--[[
    下面定义 foo 解析器的主函数，这个函数由 wireshark调用
    第一个参数是 Tvb 类型，表示的是需要此解析器解析的数据
    第二个参数是 Pinfo 类型，是协议解析树上的信息，包括 UI 上的显示
    第三个参数是 TreeItem 类型，表示上一级解析树
--]]
function foo_proto.dissector(tvb, pinfo, treeitem)
    -- 设置一些UI中报文列表中Proto列和Info列显示的信息
    pinfo.cols.protocol:set('FOO')
    pinfo.cols.info:set('Foo Protocol')

    if ScoreBoard_dissector(buf, pkt, root) then
        -- 如果是有效的报文
    else
        -- 当发现不是我的协议时，就使用Wiresahrk自带的Data解析器显示
        data_dis:call(buf, pkt, root)
    end
end

-- 向 wireshark 注册协议插件被调用的条件为TCP协议且端口为12345的报文
-- 符合条件就会调用上面的foo_proto.dissector函数
-- local udp_port_table = DissectorTable.get("udp.port")
local tcp_port_table = DissectorTable.get('tcp.port')
tcp_port_table:add(12345, foo_proto)

如何调试

重新加载脚本#

• 修改Lua 脚本
• 在Wireshark 中使用Ctrl+Shift+L 快捷键重新加载修改后的Lua 脚本

查看控制台输出#

• Lua 脚本中print(VariableName) 在控制台输出对应变量值
• Edit 编辑 -> Preferences... 首选项(Ctrl+Shif+P ) -> Advanced 高级
• 搜索gui.console_open 并将对应值修改为 ALWAYS

如何使用

• 在%APPDATA%\Wireshark 中新建文件夹plugins ，可以使用Win+R 键然后输入%APPDATA%\Wireshark然后回车，快速打开该目录
• 复制编写好的脚本到该文件夹%APPDATA%\Wireshark\plugins
• 重新打开抓包文件或者Ctrl+Shift+L 快捷键重新加载插件脚本

高级

• 不绑定端口怎么办？

启发式解析器

在 Lua 中创建独立于端口（启发式）的 Wireshark 解调器|米卡的技术博客 (mika-s.github.io)

wireshark/README.heuristic at master - wireshark/wireshark (github.com)

• 粘包，分包问题

粘包使用while 循环处理

分包设置pinfo.desegment_len 的值或者使用dissect_tcp_pdus 函数

使用 lua 编写 wireshark 协议解析插件_mb5fe55a9dbe9dd的技术博客_51CTO博客

11.6. Functions For New Protocols And Dissectors (wireshark.org)

• 大端（Big End）小端(Little End)问题

Wireshark中默认是大端，如果需要处理小端协议，可以将add 函数替换为add_le 的函数

参考

Lua语法#

Lua 5.2 Reference Manual - contents

教程#

用Lua语言编写Wireshark dissector插件 (archive.org)

Creating a Wireshark dissector in Lua - part 1 (the basics) | Mika's tech blog (mika-s.github.io)

强烈推荐：Mika's tech blog (mika-s.github.io)

Wireshark Dissector文档#

Dissectors (wireshark.org)

10.3. Example: Dissector written in Lua (wireshark.org)

Chapter 11. Wireshark's Lua API Reference Manual

11.7. Adding Information To The Dissection Tree (wireshark.org)

---

原文链接：https://www.cnblogs.com/KSPT/p/16688475.html