实战过程:
1.安装wireshark、lua。
2.利用lua为wirashark写一个协议的dissector,并部署到lua上。
2.1 参照http://wiki.wireshark.org/Lua/Examples中的例子,进行修改。其中要注意的一点是TCP协议中的粘包现象(如果是UDP则不考虑)。 解决这点的关键是在dissector(buffer, pinfo, tree)函数中设置好以下两个属性(具体含义参见wireshark文档)。
- pinfo.desegment_len
- pinfo.desegment_offset
2.2 把编辑好的lua文件(比如说文件名为ProprietaryProtocol.lua)放到wireshark的安装目录。
2.3 在wireshark安装目录的init.lua文件中,增加一行,内容为dofile(DATA_DIR.."ProprietaryProtocol.lua")。
3.启动wireshark、启动专有程序。
之后就可以在wireshark中监听并分析专有协议的数据包了。
另外,关于监听127.0.0.1地址,有两个坑要注意避开:
1.wireshark是监听不了127.0.0.1地址的(原因见wireshark官网http://wiki.wireshark.org/CaptureSetup/Loopback)。
2.即使你把程序的远程IP地址修改为本地的IP地址(就是在ipconfig中看到的地址),有的通信底层库仍然会自动与127.0.0.1建立连接。
避开的一种方式是借助于rawcap软件。基本步骤为:
1.下载rawcap(可搜索官网下载)。
2.在window下的cmd中进行"rawcap.exe 127.0.0.1 capture.cap"。其中capture.cap是用于dump数据包的文件名。
3.运行自己的专有程序。
之后rawcap就会把在127.0.0.1地址上监听到的数据包记录到capture.cap文件。
以上步骤运行结束后,关闭rawcap,在wireshark中打开capture.cap文件,就可以进行分析数据包了。
当然,借助于rawcap后,就只能进行离线分析。
下面是运行截图,其中红框内的部分都是专有协议的内容。各个字段都解析了出来,看起来还是很爽的。
