学习wireshark的lua插件(写一个lua脚本来解析协议)

http://blog.csdn.net/wiker_yong/article/details/51568032

参考资料【wireshark 使用lua解析自定义包】


例子代码如下:


do


--创建一个新的协议结构
local wesley_proto= Proto("WESLEY", "Wesely Protocol")


--下面定义字段,其中wp.signature为wireshark中过滤条件项,signature为显示项,
--base.HEX为数值表现形式,base.HEX为十六进制,base.DEC为10进制
local wesley_header_signature = ProtoField.uint16("wp.signature", "signature", base.HEX)
local wesley_header_flag = ProtoField.uint16("wp.flag", "flag", base.HEX)
local wesley_header_length = ProtoField.uint32("wp.length", "length", base.DEC)
local wesley_header_srclen = ProtoField.uint32("wp.srclen", "srclen", base.DEC)


--将字段添加到协议中
wesley_proto.fields = {
wesley_header_signature,
wesley_header_flag,
wesley_header_length,
wesley_header_srclen
}


--[[
下面定义wesley解析器的主函数,这个函数由wireshark调用
第一个参数是Tvb类型,表示的是需要此解析器解析的数据
第二个参数是Pinfo类型,是协议解析数上的信息,包括UI上的显示
第三个参数是TreeItem类型,表示上一级解析树
--]]
function wesley_proto.dissector(tvb, pinfo, treeitem)


--设置一些UI上面的信息
pinfo.cols.protocol:set("WESLEY PROTOCAL")
pinfo.cols.info:set("Wesley info")


local offset = 0
local tvb_len = tvb:len()

--在上一级解析树上创建wesley的根节点
local weley_tree = treeitem:add(wesley_proto, tvb)
weley_tree:add(tvb(0, 0), "------Wesley Header------")
weley_tree:add(wesley_header_signature, tvb(0, 2))
weley_tree:add(wesley_header_flag, tvb(2, 2))
weley_tree:add(wesley_header_length, tvb(4, 4))
weley_tree:add(wesley_header_srclen, tvb(8, 4))
end


--向wireshark注册协议插件被调用的条件
local tcp_port_table = DissectorTable.get("tcp.port")
tcp_port_table:add(810, wesley_proto)


end

你可能感兴趣的:(学习wireshark的lua插件(写一个lua脚本来解析协议))