-- 定义协议解析器的逻辑
function p_myproto.dissector(buffer, pinfo, tree)
pinfo.cols.protocol = p_myproto.name
local subtree = tree:add(p_myproto, buffer())
subtree:add(f_command, buffer(0,2))
subtree:add(f_length, buffer(2,2))
local data_length = buffer(2,2):uint()
subtree:add(f_data, buffer(4, data_length))
end
这部分代码是Wireshark LUA插件中的核心,它定义了协议解析器的逻辑,即如何解析网络数据包中的数据。下面逐行解释这段代码:
代码行解析
function p_myproto.dissector(buffer, pinfo, tree)- function p_myproto.dissector:定义了一个名为
dissector的函数,这是Wireshark调用的主要解析器函数。此函数属于我们定义的协议p_myproto。 - buffer:代表当前数据包的数据缓存区,可以被读取和解析。
- pinfo:包含当前处理的数据包的信息,可以用来修改数据包列表中显示的信息。
- tree:用于在Wireshark的包详情面板中添加解析信息。
pinfo.cols.protocol = p_myproto.name- 这行代码将数据包列表中的协议列设置为我们定义的协议的名称,
"My Protocol",从而在用户界面中标识当前数据包使用的协议。
local subtree = tree:add(p_myproto, buffer())- tree:add(p_myproto, buffer()):在包详情面板中添加一个新的条目,显示整个数据包的内容。这个新条目被称为
subtree,代表了我们协议的解析树,是后续添加更多协议详情的基础。 - buffer():没有参数时,返回整个数据包的数据缓存。
subtree:add(f_command, buffer(0,2))- subtree:add(f_command, buffer(0,2)):向
subtree添加一个子项,展示数据包中从位置0开始的2字节的内容,作为命令字段。这表示命令字段占据了数据包的前两个字节。
subtree:add(f_length, buffer(2,2))- 与前一个添加命令字段类似,这行代码展示了数据包中从位置2开始的2字节的内容,作为长度字段。这指示数据长度字段紧跟在命令字段之后。
local data_length = buffer(2,2):uint()- buffer(2,2):uint():这行代码读取了长度字段的值,并将其转换为一个无符号整数,存储在
data_length变量中。这个值表示后续数据字段的长度。
subtree:add(f_data, buffer(4, data_length))- 最后,使用
data_length从数据包中位置4开始读取指定长度的数据,并将这部分数据作为数据字段添加到解析树中。这里的位置4是因为前面的命令和长度字段已经占用了前4字节。
总结
通过这个解析器函数,Wireshark可以在捕获网络流量时,解析每个数据包是否符合自定义的"My Protocol"协议,并在UI中适当显示协议的各个字段的值。这对于调试和分析特定于应用的网络通信非常有帮助。
