wireshark 书写lua插件

wireshark的协议不支持之前，报文几乎难以分析，举例如下

我们从协议对象开始，命名为 pulsar_protocol 。构造函数两个参数分别为名称和描述。协议需要一个 fields 表和 dissecotr 函数。我们现在还没有任何 field ，所以 fields 表为空。对于每一个报文， dissctor 函数都会被调用一次。

dissector 函数有三个入参， buffer ， pinfo ，和 tree 。 buffer 包含了网络包的内容，是一个 Tvb 对象。 pinfo 包含了wireshark中展示packet的列信息，是一个 Pinfo 对象。 tree 是wireshark报文详情显示的内容，是 TreeItem 对象。

在 dissector 函数中，我们检查buffer的长度，如果长度为0，则立即返回

pinfo 对象包含着列信息，我们可以将 pinfo 的protocol设置为pulsar，显示在wireshark的界面中。接下来在packet的结构中创建一个子树，最后，我们把协议绑定到6650端口上。让我们加载这个 lua 插件

结果符合预期

让我们添加一个长度字段，pulsar协议中,长度字段即就是前4个字节，定义字段

pulsar.message_length 可以用在过滤器字段中。 messageLength 是子树中的 label 。第三个字段决定了这个值会被如何展示

最后，我们把长度值加入到Wireshark的tree中

pulsar的协议是大端序，我们使用 add 函数。如果协议是小端序，我们就可以使用 addle 函数。

我们添加的 message_length 字段已经可以显示在Wireshark中了

https://www.wireshark.org/docs/wsdg_html_chunked/lua_module_Proto.html#lua_fn_ProtoField_char_abbr___name____base____valuestring____mask____desc__

https://ask.wireshark.org/question/15787/how-to-decode-protobuf-by-wireshark/

1、在互联网搜索到我们想要安装的软件版本，执行安装包后d出如下欢迎界面： 2、点击下一步进行安装！ 3、这一步wireshark会询问我们需要安装哪些程序组件。我们可以选择性的安装我们必须的一些wireshark附带的工具； 4、通常使用到的有：wireshark主程序（图形界面）、TSshark（基于命令行的）、plugins/extensions（wireshark以及TSshark的一些扩展插件）等...在此我们选择安装全部组件程序后点击“Next”进入到下一步安装； 5、所示在此界面wireshark安装程序会询问我们是否要在开始菜单（Start Menu Item）、桌面快捷方式（Desktop Icon）、快速启动栏（Quick Launch Icon）以及是否关联所列出的后缀名文件。在此我们选择建立桌面快捷方式并且关联到列出后缀名文件后点击“Next”进入到下一步安装； 6、wireshark询问我们的安装位置。我们选择F盘点击“Next”；7wireshark安装程序询问我们是否安装依赖软件WinPcap3.0（该软件主要用于捕获网络底层数据包），假如您的电脑上已经安装了该软件，那么我们可以取消掉该软甲的安装。在此处由于我们没有安装过该软件我们勾选该复选框后点击“Install”执行安装； 8、我们进入到WinPcap的安装界面点击“Next”进入到下一步安装；9、点击“Next”进行到WinPcap的下一步安装 *** 作； 10、WinPcap询问我们是否开机自动启动WinPcap驱动程序。我们采取默认选项后点击“Install”；11、那么就是您的电脑已经安装了该类软件，WinPcap询问我们是否卸载以前所安装的WinPcap。在此我们选择“是”后WinPcap开始自动安装； 12说名wireshark已经安装成功了，点击“Finish”后在桌面我们可以看到wireshark的快捷方式；

工具/原料

wireshark软件

方法/步骤

什么是wireshark

Wireshark 是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络

中的数据，并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具

一样，wireshark 也使用pcap network library 来进行封包捕捉。

下载wireshark

百度搜索wireshark 的官方主页，我们可以下载wireshark 的安装文件，在这里我们既可以下载到最新的发布版本软件安装文件，

也可以下载到以前发布的旧版本软件安装文件。

Wireshark 支持多个 *** 作系统，在下载安装文件的时候注意选择与自己PC

的 *** 作系统匹配的安装文件。下面的介绍我们都是以windows XP 系统为例。

选择组件（Choose Components）

Wireshark——GUI 网络分析工具

TSshark-TShark ——命令行的网络分析工具

插件/扩展(Wireshark,TShark 分析引擎):

 Dissector Plugins——分析插件：带有扩展分析的插件

 Tree Statistics Plugins——树状统计插件：统计工具扩展

 Mate - Meta Analysis and Tracing Engine (experimental)——可配置的

显示过滤引擎。

 SNMP MIBs——SNMP，MIBS 的详细分析。

Tools/工具(处理捕捉文件的附加命令行工具)。

 Editcap 是一个读取捕捉文件的程序，还可以将一个捕捉文件力的部分或

所有信息写入另一个捕捉文件。

 Tex2pcap 是一个读取ASCII hex，写入数据到libpcap 个文件的程序。

 Mergecap 是一个可以将多个播捉文件合并为一个的程序。

 Capinfos 是一个显示捕捉文件信息的程序。

User’s Guide 用户手册——本地安装的用户手册。如果不安装用户手册，帮

助菜单的大部分按钮的结果可能就是访问internet。

选择附加任务（Select Additional Tasks）

Start Menu Item——增加一些快捷方式到开始菜单

Desktop Icon——增加Wireshark 图标到桌面

Quick Launch Icon——增加一个Wireshark 图标到快速启动工具栏

Associate file extensions to Wireshark-Wireshark——将捕捉包默认打开方式关

联到Wireshark

选择安装目录（Choose Install Location）

安装路径默认为C 盘，用户可以根据自己的需求更改默认安装路径。

安装WinPcap（Install WinPcap）

Wireshark 安装包里包含了最新版的WinPcap 安装包。如果您没有安装

WinPcap 。您将无法捕捉网络流量。但是您还是可以打开以保存的捕捉包文件。

当一切都选择完成后，点击安装按钮等待完成安装即可。

---