Wireshark远程抓包分析&自定义应用层协议解析

原创 已于 2023-12-04 16:19:41 修改 · 4.8k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#wireshark

于 2022-04-25 11:21:08 首次发布
本文介绍了如何通过安装rpcapd程序在服务器端进行网络封包捕获,并在本地利用Wireshark进行配置,实现远程封包分析。同时,详细阐述了如何使用Lua脚本自定义应用层协议解析,以解析特定UDP端口的数据包。在实践中,可以优化捕获过滤器、显示过滤器和Lua脚本,以提高分析效率和可视化效果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.操作步骤:

1.1 服务器端安装rpcapd程序
1.2 本地Wireshark安装和配置
1.3 自定义应用层协议解析

1.1 服务器端安装rpcapd程序

①安装glibc程序,C运行库

redhat/centos系列安装
sudo yum install glibc-static
debian/ubuntu系列安装
sudo apt-get install libc6-dev

下载rpcapd安装包,也可以官网下载

wget http://www.winpcap.org/install/bin/WpcapSrc_4_1_2.zip
unzip WpcapSrc_4_1_2.zip

③ 编译rpcapd

cd winpcap/wpcap/libpcap
chmod +x configure runlex.sh
CFLAGS=-static ./configure
make
cd rpcapd && make

④ 运行rpcapd

./rpcapd -n -d

⑤ 检查rpcapd运行状态

netstat -nltp|grep rpcapd
查看端口和进程是否正常,默认端口2002

1.2 本地Wireshark安装和配置

①安装wireshark程序

②配置远程捕获接口(可以此时设置捕获过滤器条件)

③查看效果

1.3 自定义应用层协议解析

①Wireshark上配置Lua脚本插件地址

②Lua脚本文件如下packet-dt.lua(解析器表部分根据自己需要监听的UDP端口更改):

do
    local proto = Proto("SRUDP","Stream Rapid UDP")
    --协议的各个字段
    local f_protocol = ProtoField.uint32("SRUDP.protocol","Protocol", base.DEC)
    local f_version = ProtoField.uint32("SRUDP.version","Version", base.DEC)
    local f_msgCode = ProtoField.uint32("SRUDP.msgCode","MsgCode", base.DEC)
    local f_msgType = ProtoField.string("SRUDP.msgType","MsgType", base.UTF8)
    local f_connectId = ProtoField.uint64("SRUDP.connectId","ConnectId", base.DEC)
    local f_msgSeq = ProtoField.uint32("SRUDP.msgSeq","MsgSeq", base.DEC)
    local f_streamHash = ProtoField.uint64("SRUDP.streamHash","StreamHash", base.DEC)
    local f_tsIdx = ProtoField.uint32("SRUDP.tsIdx","TsIdx", base.DEC)
    local f_piecesCount = ProtoField.uint32("SRUDP.piecesCount","PiecesCount", base.DEC)
    local f_pieceSeq = ProtoField.uint32("SRUDP.pieceSeq","PieceSeq", base.DEC)
    local f_timestamp = ProtoField.uint64("SRUDP.timestamp","Timestamp", base.DEC)
    local f_payloadEncrypt = ProtoField.uint16("SRUDP.payloadEncrypt","PayloadEncrypt", base.DEC)
    local f_payloadType = ProtoField.uint16("SRUDP.payloadType","PayloadType", base.DEC)
    local f_payloadLength = ProtoField.uint32("SRUDP.payloadLength","PayloadLength", base.DEC)
    local f_requestParams = ProtoField.string("SRUDP.requestParams","RequestParams", base.UTF8)
    local f_body = ProtoField.bytes("SRUDP.body","Body")


    --这里把DT协议的全部字段都加到proto这个变量的fields字段里
    proto.fields = {
    f_protocol,
    f_version,
    f_msgCode,
    f_msgType,
    f_connectId,
    f_msgSeq,
    f_streamHash,
    f_tsIdx,
    f_piecesCount,
    f_pieceSeq,
    f_timestamp,
    f_payloadEncrypt,
    f_payloadType,
    f_payloadLength,
    f_requestParams,
    f_body
    }
    
    local function SRUDP_dissector(buf,pkt,root)
        local buf_len = buf:len();
        --先检查报文长度,太短的不是我的协议
        if buf_len > 1388 then return false end


        --验证一下identifier这个字段是不是0x12,如果不是的话,认为不是我要解析的packet
        local v_protocol = buf(0, 4)
        local v_version = buf(4, 4)
        local v_msgCode = buf(8, 4)
        local v_msgType
        local v_code = v_msgCode:uint()
        if(v_code == 1000)
        then
            v_msgType = 'SUBSCRIBE_AND_LOGIN'
        elseif(v_code == 1001)
        then
            v_msgType = 'SUBSCRIBE_ACK'
        elseif(v_code == 1002)
        then
            v_msgType = 'UNSUBSCRIBE'
        elseif(v_code == 1100)
        then
            v_msgType = 'NOTIFY_INDEX'
        elseif(v_code == 1101)
        then
            v_msgType = 'INDEX_REQUEST'
        elseif(v_code == 1200)
        then
            v_msgType = 'BLOCK_PUSH_RESPONSE'
        elseif(v_code == 1201)
        then
            v_msgType = 'BLOCK_REQUEST'
        elseif(v_code == 1300)
        then
            v_msgType = 'HEARTBEAT_REQUEST'
        elseif(v_code == 1301)
        then
            v_msgType = 'HEARTBEAT_RESPONSE'
        else
            v_msgType = 'UNKNOWN_MSG'
        end
        
            
        local v_connectId = buf(12, 8)
        local v_msgSeq = buf(20, 4)
        local v_streamHash = buf(24, 8)
        local v_tsIdx = buf(32, 4)
        local v_piecesCount = buf(36, 4)
        local v_pieceSeq = buf(40, 4)
        local v_timestamp = buf(44, 8)
        local v_payloadEncrypt = buf(52, 2)
        local v_payloadType = buf(54, 2)
        local v_payloadLength = buf(56, 4)
        local v_requestParams;
        local v_body;
        if(buf_len<1000)
        then
            v_requestParams = buf(60, buf_len-60)
        else    
            v_body = buf(60, buf_len-60)
        end
            


        
        --现在知道是我的协议了,放心大胆添加Packet Details
        local t = root:add(proto,buf)
        --在Packet List窗格的Protocol列可以展示出协议的名称
        pkt.cols.protocol = "SRUDP"
        --这里是把对应的字段的值填写正确,只有t:add过的才会显示在Packet Details信息里. 所以在之前定义fields的时候要把所有可能出现的都写上,但是实际解析的时候,如果某些字段没出现,就不要在这里add
        t:add(f_protocol,v_protocol)
        t:add(f_version,v_version)
        t:add(f_msgCode,v_msgCode)
        t:add(f_msgType,v_msgType)
        t:add(f_connectId,v_connectId)
        t:add(f_msgSeq,v_msgSeq)
        t:add(f_streamHash,v_streamHash)
        t:add(f_tsIdx,v_tsIdx)
        t:add(f_piecesCount,v_piecesCount)
        t:add(f_pieceSeq,v_pieceSeq)
        t:add(f_timestamp,v_timestamp)
        t:add(f_payloadEncrypt,v_payloadEncrypt)
        t:add(f_payloadType,v_payloadType)
        t:add(f_payloadLength,v_payloadLength)
        if(buf_len<1000)
        then
            t:add(f_requestParams,v_requestParams)
        else    
            t:add(f_body,v_body)
        end
                                              
        return true
    end
    
    
    --这里是获取data这个解析器
    local data_dis = Dissector.get("data")
    
    --这段代码是目的Packet符合条件时,被Wireshark自动调用的,是proto的成员方法
    function proto.dissector(buf,pkt,root)
        if SRUDP_dissector(buf,pkt,root) then
        else
            --data这个dissector几乎是必不可少的;当发现不是我的协议时,就应该调用data
            data_dis:call(buf,pkt,root)
        end
    end
    
    local udp_encap_table = DissectorTable.get("udp.port")
    --因为我们的DT协议的接受端口肯定是50002,所以这里只需要添加到"udp.port"这个DissectorTable里,并且指定值为50002即可。
    udp_encap_table:add(33188, proto)
    udp_encap_table:add(8891, proto)
end

③Lua脚本文件每次更新需要重新载入Lua插件

④效果查看

⑤现在可以实时解析远程服务器的发包收包情况了,同时可以自行解析应用层协议。优化点如下:

    1)监听接口时,精细化捕获过滤器条件,这样会减少解析包的数量。
    2)精细化显示过滤器条件,更专注于自定义协议解析。如只展示srudp协议
    3)优化lua脚本,当前使用udp.port解析器表来匹配自定义解析器,需要手动配置关联监听的UDP端口号,每次都需要手动关联并重新加载Lua插件。寻找一种更方便的匹配方式。
    4)Wireshark包解析界面,展示应用层消息类型和消息序号至主界面,对发包收包分别着色展示。
张一仙
关注
史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
孙叫兽的博客
07-14 3万+
目录 第1章介绍... 1 1.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.开源软件... 2 1.1.8.Wireshark不能做的事... 2 1.2.系通需求... 2 1.2.1.一般说明... 2 ...
网络分析工具Wireshark系列专栏:02-认识并安装Wireshark(Windows、macOS、Linux)
最新发布
网络技术联盟站
06-17 169
Wireshark 是全球最知名的开源网络协议分析工具,广泛应用于网络故障排查、协议分析、安全监控以及教育等领域。它以其强大的功能、灵活性和跨平台支持,成为网络管理员、工程师和研究人员的首选工具。Wireshark 不仅能够捕获网络数据包,还能以直观的方式展示数据包的详细信息,帮助用户深入理解网络通信的本质。可以看到目前最新的版本是4.4.6,那么我们今天也会安装这个新的版本,后续的操作都使用这个版本进行演示。
wireshark远程抓包
08-24
远程服务器:192.168.168.220 客户机:192.168.168.100 现在需要在客户机上远程抓取服务器上的数据。 本示例演示:通过在remote端运行rpcapd服务,win7系统使用wireshark对linux系统进行抓包。 绝对物有所值。
wireshark10个抓包技巧(非常详细)零基础入门到精通,收藏这一篇就够了
logic1001的博客
06-06 1023
大家都知道,它可以截获和分析网络数据封包,检测网络上的问题,比如网络延迟、数据丢失、拥堵等,以及评估网络性能。当网络里发现恶意攻击、某人下载流量过大、设备互联丢包、协议交互失败等等情况时,通过Wireshark抓包定位问题根源,是最直接有效的手段。虽然Wireshark功能强大,但是很多网工使用时一知半解,会碰到许多问题。
Wireshark远程抓包
laven90的专栏
02-13 4413
转载至:http://haohetao.iteye.com/blog/786545 Wireshark支持remote packet capture protocol协议远程抓包,只要在远程主机上安装相应的rpcapd服务例程就可以  远程抓包的实现步骤:  1,安装或启动rpcapd服务  Windows上只要安装WinPcap软件就行了,它已经包含了rpcapd服务,只
Wireshark添加自定义协议解析
lishuangquan1987的博客
12-10 5193
最终效果如下:参考文档:https://mika-s.github.io/topics/此参考文档中7个例子教我们如何编写lua脚本去识别我们自定义协议
Wireshark 远程抓包
12-08 2353
<br />1、使用工具<br />    a. Wireshark 1.4.0rc1<br />    b. Winpcap 4.1.2<br /> <br />    ps.Wireshark支持remote packet capture protocol协议远程抓包,只要在远程主机上安装Winpcap的rpcapd服务例程就可以<br /> <br />2、配置过程<br />    Winpcap的下载地址http://www.winpcap.org/install/bin/WpcapSrc_4_1
Wireshark解析自定义协议
02-20
利用Wireshark解析自定义协议,以portal协议为实例,并利用LUA脚本进行解释。
Python-Android通过wireshark实时抓包
08-10
二是处理抓包数据,例如分析抓包结果,或者自定义数据包过滤规则。 标签中的&ldquo;Python开发-其它杂项&rdquo;表明这是一个关于Python编程中非标准或特定领域的应用,即利用Python在Android设备上的网络诊断和监控。 综上所...
wireshark抓包分析地点
01-16
### 使用Wireshark进行网络抓包分析地理位置信息 #### 安装与配置环境 为了设置用于恶意软件分析或其他类型的网络安全研究的环境,有许多在线教程详细说明了如何配置Linux/OpenBSD等操作系统作为路由器、DHCP...
应用层协议分析Wireshark在网络调试中的不可替代角色
本文探讨了Wireshark这一强大的网络协议分析工具在不同网络活动中的应用,包括基础使用、应用层协议分析、网络性能优化、与其他网络工具的集成,以及其未来发展趋势。文章详细介绍了Wireshark界面功能、数据包捕获与...
用lua语言编写Wireshark插件解析自定义协议
08-03
用lua语言编写Wireshark插件解析自定义协议
wireshark-lua解析自定义协议
quniyade0的博客
03-29 6239
wireshark-lua解析自定义协议 前言 wireshark支持使用lua脚本来解析自定义协议。 最近因工作需要接触了一下。我的需求是不用细抠lua的语法,而要快速的使用上,将我的协议数据解析出来,显示各项信息方便我分析数据。 现稍作整理,分享给和我有相似需要的小伙伴。 一、Lua概览 和其他语言可能不太一样的: 以行分割,不需要分号 注释符号为 --(两个减号) 不等于是 ~= 没有++和+=,需要显示写 i = i + 1 变量有两种,全局和local,带local声
Wireshark远程的包
凯峰的日志
06-06 1528
但有时候当远程主机是Linux系统,只有tcpdump命令可用,并没有Wireshark这么强大的分析工具时候,就会变得非常麻烦。Image Shrinker工作流是一款高效的图片压缩工具,他的压缩原理是设定长边的像素,为保证图片长宽比不变,短边会自动按照等比例缩小。Optimize Images工作流也是一款高效的图片压缩工具,他的压缩原理和上面不同,他是采用多种真正的图片压缩技术。在制作工作流之前,首先我们要知道,远程机器的IP是需要做成变量的,已适配不同的IP。,输入IP即可查看,选中复制。
wireshark
夜车星繁的博客
06-19 5849
晚上看渗透教程看的很懵。。。 在此水一篇教程,接下来会努力学习写出好的博客。 Wireshark界面说明 过滤器表达式书写是wireshark使用的核心,但在此之前,很多初学者还会碰到一个难题,就是感觉wireshark界面上很多东西不懂怎么看。其实还是挺明了的我们下面简单说一下,如下图。 1号窗口展示的是wireshark捕获到的所有数据包的列表。注意最后一列Info列是wires...
Wireshark远程抓包
Map的博客
04-14 1万+
1.场景描述 工作中有时候分析问题想要抓包,但是目标服务器由于各种原因无法在目标服务器进行抓包,这是就需要远程抓包分析wireshark可以实现本地抓包,同时Wireshark也支持remote packet capture protocol(rpcapd)协议远程抓包,只要在远程主 机上安装相应的rpcapd服务就可以实现在本地电脑执行wireshark 捕获远程电脑的流量了 2....
Wireshark入门与进阶系列三之远程抓包
热门推荐
煜铭2011
07-28 2万+
0x00 前言     我们都知道,wireshark可以实现本地抓包,同时Wireshark也支持remote packet capture protocol(rpcapd)协议远程抓包,只要在远程主机上安装相应的rpcapd服务例程就可以实现在本地电脑执行wireshark 捕获远程电脑的流量了。 0x01 windows 上安装或启动rpcapd服务 1 WinPcap 官网:http
使用Lua脚本为wireshark编写自定义通信协议解析器插件
11-29 5817
在网络通信应用中,我们往往需要自定义应用层通信协议,例如基于UDP的Real-Time Transport Protocol以及基于TCP的RTP over HTTP。鉴于RTP协议的广泛性,wireshark(ethereal)内置了对RTP协议的支持,调试解析非常方便。RTP over HTTP作为一种扩展的RTP协议,尚未得到wireshark的支持。在《RTP Payload Form
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值