精华内容
下载资源
问答
  • wireshark插件开发

    2014-09-16 15:45:12
    wireshark插件开发,version_info
  • wireshark插件开发 - 自定义协议 wireshark插件开发 - Lua插件解析 wireshark插件开发 - C插件解析 wireshark插件开发 -更多 转载于:https://www.cnblogs.com/99code/p/7531265.html...
    展开全文
  • wireshark插件开发完整解决方案(搭建环境+源代码编写)
  • Wireshark最新开发

    2015-09-01 22:45:38
    Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。
  • Wireshark插件开发

    2015-06-24 10:57:00
    原文地址:... 以下是针对Windows平台的插件开发,其它平台非常类似。   ...1.开发环境准备 ... 1).... 使用TortoiseSVN,checkout代码(http://anonsvn.wireshark.org/wireshar

    原文地址:http://blog.csdn.net/qgw_2000/article/details/5327519

    以下是针对Windows平台的插件开发,其它平台非常类似。

     

    1.开发环境准备
        1).下载Source code
          使用TortoiseSVN,checkout代码(http://anonsvn.wireshark.org/wireshark/trunk)
          TortoiseSVN还是相当好用的,直接和windows exploer集成,操作对象就是exploer中的文件和文件夹,
          右键文件或文件夹就可进行管理。
        2).编辑src/config.nmake
          修改跟系统相关的变量,包括MSVC的安装路径,Python(2.x)路径等等
        3).安装Cygwin,选择安装编译过程中需要的所有工具,包括bash、perl、sed等等。
        4).检查编译过程中所需工具是否完备
            >nmake -f Makefile.nmake verify_tools
        5).安装Wireshark依赖的所有Library
            >nmake -f Makefile.nmake
        6).删除其他平台的代码
            >nmake -f Makefile.nmake distclean
        7).编译Wireshark
            >nmake -f Makefile.nmake all
        以上过程可以参考Wireshark的developer guide(http://www.wireshark.org/docs/wsdg_html_chunked/)。

     

    2.插件开发
        项目中使用了自己的私有协议。调试时会经常用tcpdump抓包然后在Windows上用Wireshark分析,为了方便就写个简单的插件。
    关于插件开发Wireshark的developer guide有一些描述,但都比较有限,并且关于Wireshark中的各种API也没有文档描述。

    还好Wireshark有很多插件,可以参考其中的插件代码进行分析调试。
    项目里使用的是L2协议,所以参考WiMax的2层协议的dissector实现(src/plugins/m2m)。

     

    3.开发步骤
        这里说的插件(dissector)就是单独的dll,将dll放到特定位置,Wireshark启动时会加载每个dll完成注册。
    这里简单记录一下大概的步骤。


        1).插件入口函数

    [cpp]  view plain copy
    1. G_MODULE_EXPORT void plugin_register (void);  
    2. G_MODULE_EXPORT void plugin_reg_handoff(void);  
     
        Wireshark启动时会加载所有$installdir/plugins/$buildversion/*.dll,并且调用每个dll导出的这两个函数。
        插件在这两个函数里完成dissector的注册和初始化工作,其中plugin_register注册插件,plugin_reg_handoff注册协议。

        插件注册:
        i.注册协议名称

    [cpp]  view plain copy
    1. int proto_register_protocol(const char *name, const char *short_name, const char *filter_name)  

        参数:
            name:协议名称
            short_name:协议名称简称
            filter_name:filter中使用的协议名称
        返回值:
            协议ID,后续注册相关的函数都会用到它
        工作流程:
            a.将名称插入存放协议名称的Hash表中,避免相同名称的协议
            b.创建protocol_t对象并将其加入全局表(一个维护所有协议的全局链表)
            c.创建header_field_info对象并调用proto_register_field_init注册并返回注册ID

        Sample code:

    [cpp]  view plain copy
    1. proto_myprotocol = proto_register_protocol (  
    2.     "MyProtocol Packet",        /* name       */  
    3.     "MyProcotol (myprotocol)",  /* short name */  
    4.     "myprotocol"                /* abbrev     */  
    5.     );  

        简单描述一下header_field_info注册函数:

    [cpp]  view plain copy
    1. static int proto_register_field_init(header_field_info *hfinfo, int parent)  
     
        参数:
            hfinfo:header field对象
            parent:header field对象注册后返回的ID,parent为-1时为注册父对象
        返回值:
            注册ID
        工作流程:
            a.将header field对象添加到一个全局数组中
            b.将协议注册时的filter_name和header field对象指针添加到一个全局平衡树中,方便通过filter_name查找
            c.返回当前的header field对象在全局数据中的索引

        现在说说protocol_t和header_field_info结构,以下是它们两的定义。

    [cpp]  view plain copy
    1. /* Structure for information about a protocol */  
    2. struct _protocol {  
    3.     const char *name;      /* long description */  
    4.     const char *short_name;  /* short description */  
    5.     const char *filter_name; /* name of this protocol in filters */  
    6.     int proto_id;          /* field ID for this protocol */  
    7.     GList *fields;          /* fields for this protocol */  
    8.     GList *last_field;      /* pointer to end of list of fields */  
    9.     gboolean is_enabled;  /* TRUE if protocol is enabled */  
    10.     gboolean can_toggle;  /* TRUE if is_enabled can be changed */  
    11.     gboolean is_private;  /* TRUE is protocol is private */  
    12. };  
     
            前三个成员分别对应注册时提供的三个name,proto_id为注册时返回的ID,fields和last_field指向header_field_info链表的头和尾。后面会看到header_field_info的注册过程。

    [cpp]  view plain copy
    1. /** information describing a header field */  
    2. struct _header_field_info {  
    3.     /* ---------- set by dissector --------- */  
    4.     const char  *name;           /**< full name of this field */  
    5.     const char  *abbrev;         /**< abbreviated name of this field */  
    6.     enum ftenum   type;           /**< field type, one of FT_ (from ftypes.h) */  
    7.     int              display;        /**< one of BASE_, or number of field bits for FT_BOOLEAN */  
    8.     const void  *strings;        /**< value_string, range_string or true_false_string, 
    9.                                           typically converted by VALS(), RVALS() or TFS(). 
    10.                                           If this is an FT_PROTOCOL then it points to the 
    11.                                           associated protocol_t structure */  
    12.     guint32    bitmask;        /**< bitmask of interesting bits */  
    13.     const char  *blurb;          /**< Brief description of field */  
    14.   
    15.     /* ------- set by proto routines (prefilled by HFILL macro, see below) ------ */  
    16.     int        id;             /**< Field ID */  
    17.     int        parent;         /**< parent protocol tree */  
    18.     hf_ref_type   ref_type;       /**< is this field referenced by a filter */  
    19.     int        bitshift;       /**< bits to shift */  
    20.     header_field_info *same_name_next; /**< Link to next hfinfo with same abbrev */  
    21.     header_field_info *same_name_prev; /**< Link to previous hfinfo with same abbrev */  
    22. };  

        _header_field_info结构比较重要,后续如何显示协议中的各个field会用到它。
        下面代码会看到,对协议中的每个域都会注册一个header_field_info对象,它描述了此协议域的显示名称,filer中的使用的名称,数据类型以及显示格式等等。

        这里首次用到它是注册协议,此时_header_field_info.type为FT_PROTOCOL,string指向protocol_t对象并且parent为-1。

     

        其它显示相关的header fields的注册:

    [cpp]  view plain copy
    1. static hf_register_info hf[] =  
    2. {  
    3.     {  
    4.         &hf_myprotocol_type,  
    5.         {  
    6.             "Packet Type""myprotocol.type",  
    7.             FT_UINT16, BASE_HEX,  
    8.             VALS(packettypenames), 0x0,  
    9.             NULL, HFILL  
    10.         }  
    11.     },  
    12.     {  
    13.         &hf_myprotocol_checksum,  
    14.         {  
    15.             "Checksum""myprotocol.checksum",  
    16.             FT_UINT16, BASE_HEX, NULL, 0x0,  
    17.             NULL, HFILL  
    18.         }  
    19.     },  
    20.     {  
    21.         &hf_myprotocol_owner,  
    22.         {  
    23.             "Owner""myprotocol.owner",  
    24.             FT_ETHER, BASE_NONE, NULL, 0x0,  
    25.             NULL, HFILL  
    26.         }  
    27.     },  
    28.     ...  
    29. };  
    30.   
    31. proto_register_field_array(proto_myprotocol, hf, array_length(hf));  
    32. proto_register_field_array(proto_myprotocol, hf_tuple, array_length(hf_tuple));  

        这里proto_register_field_array首先将header field对象插入到protocol_t.fields和last_fields所指向的链表中,然后调用proto_register_field_init进行真正的注册。

        ii.协议注册
            

    [cpp]  view plain copy
    1. dissector_handle_t create_dissector_handle(dissector_t dissector, int proto)  
     
        参数:
            dissector:函数指针,负责处理数据包解析和显示,原型 typedef void (*dissector_t)(tvbuff_t *, packet_info *, proto_tree *);
            proto:协议ID,注册时返回
        返回值:
            dissector_handle_t对象用于真正的注册

            

    [cpp]  view plain copy
    1. void dissector_add(const char *name, guint32 pattern, dissector_handle_t handle)  

        添加dissector_handle_t对象到系统的dissector table中,其中name为对于二层协议为ethertype,pattern为协议ID。

        Sample Code:

    [cpp]  view plain copy
    1. dissector_handle_t myprotocol_handle;  
    2.   
    3. myprotocol_handle = create_dissector_handle(dissect_myprotocol, proto_myprotocol);  
    4. dissector_add("ethertype", ETHERTYPE_MyProtocol, myprotocol_handle);  
     
            其中ETHERTYPT_MyProtocol是以太网帧中协议ID。

     

        2).dissector入口函数
            

    [cpp]  view plain copy
    1. static void dissect_myprotocol(tvbuff_t *tvb, packet_info *pinfo, proto_tree *tree)  
     
        参数:
            tvb:数据包buffer指针,可以通过以下这些函数读取内容,注意字节序。
    [cpp]  view plain copy
    1. guint8 tvb_get_guint8(tvbuff_t *tvb, gint offset);  
    2. guint16 tvb_get_ntohs(tvbuff_t *tvb, gint offset);  
    3. guint32 tvb_get_ntoh24(tvbuff_t *tvb, gint offset);  
    4. guint32 tvb_get_ntohl(tvbuff_t *tvb, gint offset);  
    5. guint64 tvb_get_ntoh64(tvbuff_t *tvb, gint offset);  

            pinfo:包括各种关于数据包和协议显示的相关信息,我们关注的是显示相关的信息如Wireshark界面上的protocol和info两个栏位。
                可以使用下面的函数对protocol和info栏位进行操作:

    [cpp]  view plain copy
    1. col_set_str(pinfo->cinfo, COL_PROTOCOL, "MyProtocol");  
    2. col_clear(pinfo->cinfo, COL_INFO);  
    3. col_add_fstr(pinfo->cinfo, COL_INFO, "Type %s",  
    4.              val_to_str(packet_type, packettypenames, "Unknow (0x%04x)"));  
     
            tree:在Wireshark界面上点击某个数据包,在界面下方会以树状结构显示数据包的详细信息。tree就是描述这个树状结构的数据结构。
                  当tree不为NULL时,我们就必须按照具体的协议添加相应的节点。这也是整个插件的主要工作。

            首先为协议添加一个subtree节点:

    [cpp]  view plain copy
    1. myprotocol_item = proto_tree_add_item(tree, proto_myprotocol, tvb, 0, -1, FALSE);  
    2. protocol_tree = proto_item_add_subtree(myprotocol_item, ett_myprotocol);  
     
                其中proto_myprotocol是注册的协议ID,ett_myprotocol是在注册阶段注册的ID,如下所示:
    [cpp]  view plain copy
    1. static gint *ett[] =  
    2. {  
    3.     &ett_ctsp,  
    4. };   
    5. proto_register_subtree_array(ett, array_length(ett));  

            往此subtree节点上添加子节点:

    [cpp]  view plain copy
    1. /* display the type */  
    2. proto_tree_add_item(myprotocol_tree, hf_myprotocol_type, tvb, offset, 2, TRUE);  
    3. offset += 2;  
    4. /* display the checksum */  
    5. proto_tree_add_item(myprotocol_tree, hf_myprotocol_checksum, tvb, offset, 2, FALSE);  
    6. offset += 2;  
    7. /* display the owner */  
    8. proto_tree_add_item(myprotocol_tree, hf_myprotocol_owner, tvb, offset, 6, FALSE);  
     
            其中hf_myprotocol_*是在注册的header_field_info的ID,proto_tree_add_item会根据对应的header_field_info显示相应的协议域。

        3).其它问题
        Wireshark的developer guide中有一个UDP协议dissector的例子。另外还提到分片和协议解压解密等问题的解决方法。
        开发中还碰到对于tunnel协议的处理等都可以参考现有的dissector例子进行解决。

    展开全文
  • wireshark插件开发 - 自定义协议     wireshark插件开发 - Lua插件解析     wireshark插件开发 - C插件解析     wireshark插件开发 - 更多
    展开全文
  • Wireshark 插件开发整体解决方案 前段时间自己开发了一个 wireshark 的插件,网上介绍插件开发的资料实在是少得可怜 现在整个项目结束了自己决定写一个文档介绍下自己整个项目的开发过程这个文档我 是整合了很多网上...
  • Wireshark插件开发实例

    2011-05-22 22:40:18
    该范例帮助wireshark使用者根据所需要的协议编写插件进行网络数据分析
  • Wireshark开发

    2014-11-11 12:02:55
    Wireshark网络抓包和发送包的开发库,非常不错。
  • Wireshark开发全攻略

    热门讨论 2014-10-09 23:33:56
    Wireshark开发全攻略, vs2010
  • 该博主针对wireshark下LUA脚本的开发做了一系列的笔记,实测详细并且有效,故转载。 1. 骨架 首先新建一个文件,命名为foo.lua,注意此文件的编码方式不能是带BOM的UTF8,否则wireshark加载它时会出错(不识别BOM...

    参考文档:
    http://www.cnblogs.com/zzqcn/p/4840589.html
    该博主针对wireshark下LUA脚本的开发做了一系列的笔记,实测详细并且有效,故转载。

    1. 骨架
    首先新建一个文件,命名为foo.lua,注意此文件的编码方式不能是带BOM的UTF8,否则wireshark加载它时会出错(不识别BOM):

    复制代码
    -- @brief Foo Protocol dissector plugin
    -- @author zzq
    -- @date 2015.08.12
    
    -- create a new dissector
    local NAME = "foo"
    local PORT = 9877
    local foo = Proto(NAME, "Foo Protocol")
    
    
    -- dissect packet
    function foo.dissector (tvb, pinfo, tree)
    end
    
    -- register this dissector
    DissectorTable.get("udp.port"):add(PORT, foo)

    这是一个lua解析器的骨架:创建解析器对象、解析器函数、将解析器注册到wireshark解析表。

    写完之后,将foo.lua拷贝到plugins/<版本号>目录即可,然后用文件打开之前抓的foo协议的Pcap文件foo.pcap。
    这里写图片描述

    是的,wireshark没有提示错误,然而什么变化也没有:当然,因为我们没有编写实际的解析代码。

    依次打开”Internals”、”Dissector tables“菜单,选中”Interger tables”标签页,下拉滚动条,找到“UDP port“树节点,展开,再往下来,会发现FOO协议赫然在列,证明foo插件确实被正确加载了:

    回到顶部

    2. 完善
    下面需要写一些具体的代码,首先是定义foo协议的各个字段:

    -- create fields of foo
    local fields = foo.fields
    fields.type = ProtoField.uint8 (NAME .. ".type", "Type")
    fields.flags = ProtoField.uint8 (NAME .. ".flags", "Flags")
    fields.seqno = ProtoField.uint16(NAME .. ".seqno", "Seq No.")
    fields.ipaddr = ProtoField.ipv4(NAME .. ".ipaddr", "IPv4 Address")

    根据foo协议字段类型的不同,分别调用ProtoField的不同方法创建它们,其中第一个参数是字段的缩写,第2个参数是字段的全名,另外还有一些可选参数表示进制,掩码之类,这里略去。

    然后编写具体的解析函数:

    复制代码
    -- dissect packet
    function foo.dissector (tvb, pinfo, tree)
        local subtree = tree:add(foo, tvb())
        local offset = 0
    
        -- show protocol name in protocol column
        pinfo.cols.protocol = foo.name
    
        -- dissect field one by one, and add to protocol tree
        local type = tvb(offset, 1)
        subtree:add(fields.type, type)
        subtree:append_text(", type: " .. type:uint())
        offset = offset + 1
    
        subtree:add(fields.flags, tvb(offset, 1))
        offset = offset + 1
        subtree:add(fields.seqno, tvb(offset, 2))
        offset = offset + 2
        subtree:add(fields.ipaddr, tvb(offset, 4))
    end
    复制代码

    wireshark约定解析器函数接口有3个参数,第一个是报文数据buffer tvb,第2个是报文信息结构pinfo,第3个是协议解析树tree。

    subtree = tree:add(foo, tvb())为foo协议往协议解析树上添加了一个新节点subtree;

    pinfo.cols.protocol = foo.name把wireshark报文列表上的”Protocol“列的文本置为foo协议名称”Foo”;

    接下来,根据Foo协议的规范依次解析各字段,并把它们的信息加入到协议解析树。

    编写完成后把新的foo.lua拷贝到插件目录,重启wireshark打开foo.pcap,显示效果如下:
    这里写图片描述

    也可以对foo协议应用显示过滤器:
    这里写图片描述

    展开全文
  • wireshark 插件开发

    2013-08-19 16:23:44
    根据英文介绍的插件开发,写的一个小的demo.
  • 本文相关内容可参考Wireshark开发指南第2章”Quick Setup” 要对wireshark代码进行修改,除了下文介绍的lua插件的方式以外,都需要对wirehshark源码进行编译(C外置解析插件不需要编译整个wireshark,都需要下载...
  • wireshark支持C语言和Lua语言开发插件,本部分内先介绍Lua插件部分开发。Lua语言相对C语言开发有一个巨大的优势,就是不需要编译代码,因为Lua语言是脚本语言,只需要编写相关协议解析的脚本内容,然后由wireshark...
  • wireshark开发环境搭建

    千次阅读 2018-05-05 11:17:07
    自己完成了wireshark开发环境的搭建,主要参考资料是wireshark的官方developer-guide.pdf,网址:https://www.wireshark.org/docs/。现把搭建过程中的主要步骤总结如下:1、系统环境win7x64 SP1Microsoft Visual ...
  • wireshark插件开发 - 自定义协议

    千次阅读 2017-09-20 17:28:21
    虽然wireshark自带了很多知名协议的解析插件,譬如HTTP、DHCP等等,然而在实际应用环境中,有不少软件之间的通信协议都是私有的,如游戏客户端和服务器之间的交互协议通常都是私有的,wireshark无法具体解析出各种...
  • wireshark插件开发小结

    千次阅读 2015-10-31 09:07:21
    关键字:wireshark, plugin, lua,protocol 概述 wireshark是非常流行的网络封包分析软件,功能十分强大。可以抓取各种网络包,并显示网络包的详细信息。 为什么使用wireshark Troubleshoot network...
  • wireshark插件开发资料

    2015-07-13 15:23:34
    You should probably start by reading (or possibly re-reading) README.plugins very ...And don't forget about README.developer, as well as the Wireshark developer's guide. 前两个能在发布的源码的doc
  • dissector_add_uint("tcp.port", TCP_PORT_PGCP, csgpgcp_handle); dissector_add_uint_range()//这个函数只能设置几个连续的端口,多了就崩溃了 我想问下,插件中解析的端口号只能写死吗,能否全部监听或者从外部...
  • 因为有过私有协议(二进制)抓包分析的经历,所以深感二进制协议分析的痛苦,逐想到有没有办法能够在wireshark工具里面加入自己的定制协议从而使工作更轻松,可以参考wireshark官方网站提供的开发手册,虽然是英文,...
  • 搭建环境时,出现 “bash 不是内部或外部命令,也不是可运行的程序”。新人,求教。

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 15,479
精华内容 6,191
关键字:

wireshark自开发