wirshark解析自定义协议,并且从自定义协议截取部分字段保存文件

最新推荐文章于 2024-11-18 22:39:05 发布
原创 最新推荐文章于 2024-11-18 22:39:05 发布 · 745 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

博客介绍了两项信息技术操作,一是用Wireshark解析自定义协议,二是在工具菜单添加项目,提取自定义协议中的payload并保存为原始数据。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.将自定义协议由wirshark解析

--myprotocol.lua

do
	local p_my_proto = Proto("mw", "mw")
	
	--定义header头的结构
	local f_header_id = ProtoField.uint8("id", "id", base.HEX) --头id 4字节
	--local f_header = ProtoField.uint8("my_proto.header","header", base.HEX)
	local f_header = ProtoField.bytes("header","header", base.DOT)
	local f_reserve = ProtoField.bytes("reserve","reserve", base.DOT) -- 保留字,4字节
	local f_data = ProtoField.bytes("payload", "payload",base.NONE) --h265 payload
	
	p_my_proto.fields = {f_header_id, f_header, f_reserve, f_data}
	
	--获取data解析器
	local data_dis = Dissector.get("data")
	
	local function mlw_dissector(buf, pkt,root)
		local buf_len = buf:len()
		if buf_len < 16 then return false end
		
		--自定义各个字段的长度
		local len_header_id = 4
		local len_reserve = 4
		local len_header = 24
		local len_data = buf_len-len_header_id-len_header-len_reserve
		local v_header_id = buf(0,len_header_id)
		
		--判断起始码是否符合
		if(v_header_id:uint()~=0x4d583144)
		then return false end
		
		--把data中的buf,放入对应的字段中
		local start_pos = len_header_id
		local v_header = buf(start_pos,len_header)
		start_pos = start_pos + len_header
		local v_reserve = buf(start_pos,len_reserve)
		start_pos = start_pos + len_reserve
		local v_data = buf(start_pos, len_data)
		
		--buf关联自定义的协议
		local t = root:add(p_my_proto, buf)
		
		pkt.cols.protocol = "mw"
		t:add(f_header_id, v_header_id)
		t:add(f_header, v_header)
		t:add(f_reserve, v_reserve)
		t:add(f_data, v_data)
		return true
	end
	
	--当目标符合要求时,自动显示
	function p_my_proto.dissector(buf, pkt, root)
		if mlw_dissector(buf, pkt, root) then
		else
			--当不是自己的协议,调用data
			data_dis:call(buf, pkt, root)
		end
	end
	
	local udp_encap_table = DissectorTable.get("udp.port")
	udp_encap_table:add(5061, p_my_proto)
end

2.通过在工具菜单下,加入一个菜单项目,将自定义协议中的payload提取后,保存为原始数据

--[[
	myprotocol_extractor.lua	
	从自定义的协议中,取出payload字段,写入文件中
 *]]
 
 
do
    local mw_payload = Field.new("payload")
    
    local function extract_h265_from_mw()
        local function dump_filter(fd)
            local fh = "mw";
            if fd ~= nil and fd ~= "" then
                return string.format("%s and (%s)", fh, fd)
            else    
                return fh
            end
        end

	--Listener用来设置一个监听条件,当条件发生时,执行定义的动作
        local mw_tap = Listener.new("ip", "mw")
        local text_window = TextWindow.new("mlw extractor")
        local fp = io.open("dump.h265", "wb")
        local seq_payload_table = { }
        local packet_count = 0
        local max_packet_count = 0;
        local pass = 0;
    
        local function log(info)
            text_window:append(info)
            text_window:append("\n")
        end
        
        local function remove() 
            if fp then 
                fp:close()
                fp = nil
            end
            mw_tap:remove()
        end
		
        local function on_opus_payload(seq, payload)
            table.insert(seq_payload_table, { key = tonumber(seq.value), value = payload.value })
        end
        
        
        function mw_tap.packet(pinfo, tvb)
            local payloadTable = { mw_payload() } 
            --local seqTable = { rtp_seq() }
            
            
            if pass == 0 then 
                for i, payload in ipairs(payloadTable) do
                    max_packet_count = max_packet_count + 1
                end
            else
                for i, payload in ipairs(payloadTable) do
					if payload.len < 20 then
						return
					end
					
                    packet_count = packet_count + 1
					local payload_data = payload.value --is ByteArray
					fp:write(payload_data:tvb()():raw())--把原始数据写到文件中
                end
                
            end 
        end
        
        function mw_tap.reset()
        end
		
        function mw_tap.draw() 
        end
        
        log("Start")
		
        text_window:set_atclose(remove)
        
        pass = 0
        retap_packets()
        log("phase 1 max_packet_count = "..tostring(max_packet_count))
        
        pass = 1
        retap_packets()
        
        log("End")
        
    end
  
    register_menu("Extract h265 stream from mw", extract_h265_from_mw, MENU_TOOLS_UNSORTED)
end

教你动手写UDP协议栈 - UDP数据包解析<1>
Rice开发经验分享
07-20 805
前景 为啥要自己写一个mini UDP的协议栈?因为我们干偷偷摸摸的事情,哈哈哈!!! 其实是为了不跑一个庞大的LWIP协议栈,通过自己写的mini udp协议截取数据包给设备升级。这样节省了很多资源。LWIP说大也不算大,但是看自己的需求,是否要使用LWIP协议栈了。 其实写mini udp协议栈之前,需要先了解UDP协议的原理,数据包格式。如果你没提前了解,给你代码你也是看不懂,就像看天书一样。要详细的看UDP协议的每一包,每一Byte,每一Bit的含义,它是代表什么意思,怎么来的。
wireshark命令合集(Wireshark Command Collection)
Linux运维老纪的博客
01-27 1033
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的途径取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。本章详细介绍wireshark之命令
Wireshark解析自定义协议
02-20
利用Wireshark解析自定义协议,以portal协议为实例,并利用LUA脚本进行解释。
Wireshark添加自定义协议解析
lishuangquan1987的博客
12-10 5183
最终效果如下:参考文档:https://mika-s.github.io/topics/此参考文档中7个例子教我们如何编写lua脚本去识别我们自定义协议
wireshark-lua解析自定义协议
quniyade0的博客
03-29 6239
wireshark-lua解析自定义协议 前言 wireshark支持使用lua脚本来解析自定义协议。 最近因工作需要接触了一下。我的需求是不用细抠lua的语法,而要快速的使用上,将我的协议数据解析出来,显示各项信息方便我分析数据。 现稍作整理,分享给和我有相似需要的小伙伴。 一、Lua概览 和其他语言可能不太一样的: 以行分割,不需要分号 注释符号为 --(两个减号) 不等于是 ~= 没有++和+=,需要显示写 i = i + 1 变量有两种,全局和local,带local声
使用Lua脚本为wireshark编写自定义通信协议解析器插件
11-29 5816
网络通信应用中,我们往往需要自定义应用层通信协议,例如基于UDP的Real-Time Transport Protocol以及基于TCP的RTP over HTTP。鉴于RTP协议的广泛性,wireshark(ethereal)内置了对RTP协议的支持,调试解析非常方便。RTP over HTTP作为一种扩展的RTP协议,尚未得到wireshark的支持。在《RTP Payload Form
wireshark解析自定义的protobuf协议
weixin_33811961的博客
09-11 1108
先看最终效果   wireshark是开源的,而且在Windows下安装时用的是64位,所以相应的库文件需要使用64位。 一个Lua插件的Dissector结构大致如下: do -- 协议名称为 m_MeteoricProto,在Packet Details窗格显示为 XXX Protocol local struct = Struct local dat...
自定义协议解析】:串口调试助手的高级实现技巧
本文旨在全面探讨自定义协议解析的原理与实践,首先介绍了协议分析的基础知识,包括通信协议的定义、分类以及自定义协议的特点。接着,文章深入分析了自定义协议的数据结构和串口通信原理,为设计高效的协议解析器和...
winpcap截取指定ip网络数据包并保存
09-07
`.pcap`是标准的数据包捕获文件格式,可以被Wireshark等工具读取和分析。通常,我们使用`pcap_dump`函数将数据包写入到文件,这个函数需要一个`pcap_dumper_t`类型的指针,这个指针可以通过`pcap_dump_open`函数创建...
从零开始学习网络安全渗透测试之基础入门篇——(六)网络抓包&全局协议&封包监听&网卡模式&科来&wireshark&PC应用
love6a6的博客
08-02 1435
是一种用于捕获和分析网络数据包的技术手段。它能够帮助我们深入了解网络中的数据传输情况,对于网络故障排查、性能优化、安全监测等方面都具有重要意义。网络抓包的工作原理通常是通过将网络接口设置为混杂模式,使其能够接收流经该接口的所有数据包。然后,使用专门的抓包软件或工具对这些数据包进行捕获和存储。为了方便大家使用,作者收集到百度网盘分享学习。链接:https://pan.baidu.com/s/1uKUsQfIlWOxTNPvU8DewKQ?pwd=mf7v提取码:mf7v。
用lua语言编写Wireshark插件解析自定义协议
08-03
用lua语言编写Wireshark插件解析自定义协议
wireshark RTP抓包 导出H.264 Payload 插件
11-10
一个wireshark插件,可以在打开包含H.264码流的抓包后,选菜单“Tools->Export H264 to file [HQX's plugins]”后,把抓包文件里的H.264码流自动导出到抓包文件所在目录(工作目录)里,名为from___to__.264的264裸码流文件里。(文件格式为每个NALU前加0x00000001分隔符)。 把h264_export.lua文件,放到wireshark安装目录下,然后修改wireshark安装目录下的init.lua文件: (1)若有disable_lua = true这样的行,则注释掉; (2)在文件末加入dofile("h264_export.lua") 重新打开wirekshark就能使用该功能了。
wireshark自定义协议解析插件实现
Crazy177的博客
07-30 2927
如何使用lua实现私有协议wireshark解析插件编写
wireshark使用lua解析自定义协议
Phoenix_zxk的博客
11-18 1608
wireshark 解析自定义协议
lua语言学习之自定义wireshark插件来解析自定义协议
lobmo的博客
04-11 1748
lua语言学习之自定义wireshark插件来解析自定义协议关于wireshark这个抓包工具关于lua使用lua写wireshark插件wireshark接口文档如何在wireshark使用自己写的lua脚本检查是否可以运行lua导入脚本使用教程及完整代码 关于wireshark这个抓包工具 wireshark工具的功能十分强大,它可以抓取你想抓取的主机的所有网络封包。并且对于一般的网络协议,w...
Wireshark 解析 自定义 加密 协议
weixin_30650859的博客
03-20 620
一、概述 网上撰文写wireshark使用lua脚本解析协议的文章比较多。 笔者最近也因工作需要使用wireshark解析协议。但因网络安全,协议的数据部分被加密了。无法简单的使用lua脚本进行解析。 考虑到加密算法和压缩算法的复杂性,采用调用lua C库的方法,完成解密(解压)。 下面与大家分享下大致思路。 二、目标及思路 协议的大致格式如下: 协议字段 命名 ...
Wireshark远程抓包分析&自定义应用层协议解析
qq_31777443的博客
04-25 4811
Wireshark远程抓包,自定义应用层协议解析
wireshark自定义解析协议插件
bella928的博客
07-05 4490
--   自定义一个协议  local demo_protocol=Proto("demo"," my protocol")--    定义协议字段  local demo_len=ProtoField.uint16("demo_len","demo len",base.HEX)  local demo_Id=ProtoField.uint8("demo_Id","demo Id",DEC
捕获MavLink协议
最新发布
03-25
### 如何捕获和解析 MavLink 协议的数据 #### 捕获 MAVLink 数据 MAVLink 是一种轻量级的消息传递协议,广泛应用于无人机和其他航空电子设备之间。为了捕获 MAVLink 数据流,可以采用以下几种方法: 1. **通过串口捕获** 如果无人机与地面控制站之间的通信是基于串口连接的,则可以通过监听指定的串口号来获取原始数据帧。通常情况下,MAVLink 使用特定波特率(如 57600 或 115200)进行通信[^1]。 2. **网络接口捕获** 当 MAVLink 数据通过 UDP/TCP 进行传输时,可利用抓包工具(如 Wireshark)监控目标端口上的流量。Wireshark 支持解码 MAVLink 原始消息并显示其结构化内容[^2]。 3. **嵌入式开发板截取** 对于具备硬件访问权限的情况,在飞行控制器上运行自定义固件或者修改现有代码以记录所有进出的 MAVLink 报文也是一种可行方案。 #### 解析 MAVLink 数据 一旦成功捕获到了 MAVLink 的二进制字节序列之后就需要对其进行解释处理才能得到有用的信息: 1. **使用官方库解析** PX4 和 ArduPilot 等开源项目提供了成熟的 C/C++ 及 Python 版本的 MAVLink 库文件, 开发者可以直接调用它们完成初始化设置以及后续操作过程中的编码/解码工作. 以下是基于Python的一个简单例子展示如何加载预编译好的XML定义文件从而创建相应的对象实例来进行收发动作: ```python from pymavlink import mavutil # 创建mavlink链接 (假设UDP地址为localhost:14550) master = mavutil.mavlink_connection('udp:127.0.0.1:14550') while True: msg = master.recv_match(blocking=True) # 接受下一个可用的消息 if not msg: continue print(f"Received message {msg.get_type()}: ", end="") try: data_dict = dict(msg.to_dict()) for key,value in data_dict.items(): print(f"{key}={value},",end=" ") except Exception as e: pass finally: print("\n") ``` 上述脚本会持续读取消息直到程序终止,并打印每条接收到的消息类型及其字段值. 另外值得注意的是某些特殊标志位比如`LINK_NODE_STATUS`,它会在整个通讯链条里的各个节点处被周期性的更新并向外广播出去以便其他组件了解当前健康状况等等细节信息. ### 注意事项 - 不同版本间的兼容性问题可能会影响最终效果,请确认所使用的API是否匹配实际环境需求. - 安全因素考量下务必妥善保管私钥材料防止未授权方篡改指令造成严重后果.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值