Wireshark LUA脚本分析自定义帧格式
1. 帧格式
该帧格式由课设要求引出,本次课设要求在eth0
网络接口与Linux内核TCP/IP
间串接一个虚拟网络接口vni0
,如下图所示:
此报文格式修改为下图所示:
-
以太帧头部:
目的MAC地址(6字节) = 广播MAC地址;
源MAC地址(6字节) = 发送方eth0的MAC地址;
类型(2字节) = 0xF4F0(即VNI的协议编号);
-
VNI头部:
VNI类型(4字节) = 学号后4位数,每个数1个字节;
分组序号(2字节),初始值为0。
2. 编写LUA脚本
第一步:创建解析器对象
local NAME = "VNI"
local VniProto = Proto(NAME, "VNI PROTOCOL")
第二步:声明协议字段:
-- C语言中自定义VNI协议头部结构体
-- struct vnihdr
-- {
-- char id[4];
-- unsigned short seq;
-- };
-- 声明协议的字段
local fields = VniProto.fields
fields.id_0 = ProtoField.uint8(NAME .. "ID", "id[0]", base.HEX)
fields.id_1 = ProtoField.uint8(NAME .. "ID", "id[1]", base.HEX)
fields.id_2 = ProtoField.uint8(NAME .. "ID", "id[2]", base.HEX)
fields.id_3 = ProtoField.uint8(NAME .. "ID", "id[3]", base.HEX)
fields.seq = ProtoField.uint16(NAME .. "SEQ", "seq", base.DEC)
第三步:实现自定义协议的解析器函数
-- 解析器函数
--[[
下面定义VniProto解析器的主函数,这个函数由wireshark调用
第一个参数是 tvb 类型,表示的是需要此解析器解析的数据;
第二个参数是 Pinfo 类型,是协议解析树上的信息,包括 UI 上的显示;
第三个参数是 TreeItem 类型,表示上一级解析树;
--]]
function VniProto.dissector(buffer, pinfo, tree)
if buffer:len() == 0 then return end
pinfo.cols.protocol = VniProto.name --显示在protocol列的名字
local subtree = tree:add(VniProto, buffer(0,6), "Vni Protocol") --显示在数据查看
subtree:append_text(", vni_seq: " .. buffer(4, 2):uint())
-- buffer的两个参数含义:从第4个字节开始取,取2个字节
local id_tree = subtree:add(VniProto, buffer(0,4), "VNI_ID")
id_tree:append_text(", id: 0x" .. buffer(0,4))
id_tree:add(fields.id_0, buffer(0,1)):append_text(" ("..buffer(0,1):uint()..")")
id_tree:add(fields.id_1, buffer(1,1)):append_text(" ("..buffer(1,1):uint()..")")
id_tree:add(fields.id_2, buffer(2,1)):append_text(" ("..buffer(2,1):uint()..")")
id_tree:add(fields.id_3, buffer(3,1)):append_text(" ("..buffer(3,1):uint()..")")
subtree:add(fields.seq, buffer(4, 2)):append_text(" (0x"..buffer(4,2)..")")
local raw_data = buffer(6, buffer:len() - 6)
Dissector.get("ip"):call(raw_data:tvb(), pinfo, tree)
-- 后续内容交给ip解析器继续解析,这里只进行vni头部解析
end
第四步:将解析器注册到Wireshark解析表
local vni_type = DissectorTable.get("ethertype")
-- 添加解析的以太帧类型,VNI的帧类型是自定义的
vni_type:add(0xf4f0, VniProto)
3. 加载LUA脚本
第一步:将该脚本文件在wireshark安装目录中,以博主主机为例:C:\Program Files\Wireshark
第二步:修改安装目录下的init.lua
文件,找到最后一部分的if判断:
if not running_superuser or run_user_scripts_when_superuser then
dofile(DATA_DIR.."console.lua")
dofile(DATA_DIR.."vni.lua") -- 加上这一句,表示加载自定义的LUA脚本
end
第三步:Wireshark应用中:分析–>重新加载LUA插件
4. 结果展示:
参考链接:
- https://blog.csdn.net/wangquan1992/article/details/100161021
- https://www.wireshark.org/docs/wsdg_html_chunked/wsluarm_modules.html