1. Post-dissector

post-dissector和dissector不同，它会在所有dissectors都执行过后再被执行，这也就post前缀的由来。post-dissector的构建方式和dissector差不多，主要一个区别是注册的方式，post-dissector调用的是register_postdissetor接口。下面给出两个示例。

1.1 最简单的Post-dissector

这个示例主要是演示post-dissector脚本的骨架，它的功能是在packet list的所有info列加上了一个字符串"hello world"。

-- @brief A simple post-dissector, just append string to info column

-- @author zzq

-- @date 2015.08.13

local myproto = Proto("hello","Dummy proto to edit info column")

-- the dissector function callback

function myproto.dissector(tvb,pinfo,tree)

    pinfo.cols.info:append(" hello world")

end

-- register our new dummy protocol for post-dissection

register_postdissector(myproto)

此插件运行效果如下图：

1.2 识别协议特征

这个示例简单地演示了如何使用post-dissector来识别协议特征。例子中，通过识别tcp载荷中是否含有字符串”weibo“来判断报文是否为weibo报文，如果是，则在packet list的protocol列标出，并在proto tree添加树节点，给出滑动特征在TCP载荷中的位置。

代码如下，其中有好多小问题，但这不是重点，重点是了解如何编写Lua插件。

-- @brief A post-dissector, to indentify pattern in payload

-- @author zzq

-- @date 2015.08.26

local weibo = Proto("weibo", "Weibo Service")

local function get_payload_offset(data, proto_type)

    local mac_len = ;

    local total_len;

    local ip_len = (data(, ):uint() - ) * ;

    if (proto_type == 0x06) then

        local tcp_len = (data(, ):uint()/) * ;

        total_len = mac_len + ip_len + tcp_len;

    elseif (proto_type == 0x11) then

        local udp_len = ;

        total_len = mac_len + ip_len + udp_len;

    end

    return total_len

end

-- the dissector function callback

function weibo.dissector(tvb, pinfo, tree)

    local proto_type = tvb(, ):uint();

    if(proto_type ~= 0x06) then

        return

    end

    local offset = get_payload_offset(tvb, proto_type)

    local data = tvb(offset):string();

    local i, j = string.find(data, "weibo")

    if(i) then

        pinfo.cols.protocol = weibo.name

        local subtree = tree:add(weibo, tvb(offset+i-))

        subtree:append_text(", ptn_pos: " .. i .. "-" .. j)

    end

end

-- register our plugin for post-dissection

register_postdissector(weibo)

运行效果如下图。

2. Listener

Listner用来设置一个监听条件，当这个条件发生时，执行事先定义的动作。

实现一个Listner插件至少要实现以下接口：

• 创建Listener
  listener = Listener.new([tap], [filter])，其中tap, filter分别是tap和过滤条件
• listener.packet
  在条件命中时调用
• listener.draw
  在每次需要重绘GUI时调用
• listener.reset
  清理时调用

以上实现代码一般都包在一个封装函数中，最后把这个函数注册到GUI菜单：

register_menu(name, action, [group])

下面的示例代码对pcap文件中的http报文进行了简单的计数统计：

-- @brief a simple Listener plugin

-- @author zzq

-- @date 2015.08.13

local function zzq_listener()

    local pkts =

    local win = TextWindow.new("zzq Listener")

    local tap = Listener.new(nil, "http")

    win:set_atclose(function() tap:remove() end)

    function tap.packet (pinfo, tvb, tapinfo)

        pkts = pkts +

    end

    function tap.draw()

        win:set("http pkts: " .. pkts)

    end

    function tap.reset()

        pkts =

    end

    -- Rescan all packets and just run taps - don’t reconstruct the display.

    retap_packets()

end

register_menu("freeland/zzq Listener", zzq_listener, MENU_STAT_GENERIC)

要查看运行结果，要选择”Statistics“菜单中的freeland/zzq Listerner子菜单来触发。此插件的运行效果如下图：

【wireshark】插件开发（四）：Lua插件Post-dissector和Listener的更多相关文章

1. Wireshark使用drcom_2011.lua插件协助分析drcom协议

   drcom_2011.lua是来源于Google code上的一个开源项目中的一个插件,感谢网络大神的分享 需要使用drcom_2011.lua分析drcom协议的话,需要把drcom_2011.lu ...

2. 基于Lua插件化的Pcap流量监听代理

   1.前言 我们在实际工作中,遇到了一个这样的用例,在每天例行扫描活动中,发现有些应用系统不定期的被扫挂,因为我们不是服务的制造者,没有办法在不同的系统里打印日志,所以我们就想用一个工具来获取特定服务的 ...

3. word插件开发 运行时,插件不启动.

     word插件开发 运行时,插件不启动. 查看插件信息时. 在禁用的应用程序加载项中.   启动禁用的插件: 点击转到.  选择你要启动的插件就可以了.

4. Visual Studio2012 Lua插件--BabeLua

   之前,找了好久VS2012的Lua插件,没有找到. 今天在http://www.cocoachina.com/bbs/read.php? tid-205043.html 看到了.cocos2dx-qu ...

5. Lua IDE工具-Intellij IDEA+lua插件配置教程(Chianr出品)

   Lua 编译工具IDE-Intellij IDEA 本文提供全流程,中文翻译. Chinar 坚持将简单的生活方式,带给世人!(拥有更好的阅读体验 -- 高分辨率用户请根据需求调整网页缩放比例) Ch ...

6. 【eclipse插件开发实战】 Eclipse插件开发5——时间插件Timer开发实例详解

   Eclipse插件开发5--时间插件Timer开发实例详解 这里做的TimeHelper插件设定为在菜单栏.工具栏提供快捷方式,需要在相应地方设置扩展点,最后弹出窗体显示时间. 在上一篇文章里创建好了 ...

7. 【wireshark】插件开发（三）：Lua插件 Dissector

   // TODO: 部分内容需要修改 1. 骨架 首先新建一个文件,命名为foo.lua,注意此文件的编码方式不能是带BOM的UTF8,否则wireshark加载它时会出错(不识别BOM): -- @b ...

8. Jenkins插件开发（四）-- 插件发布

   上一篇blog介绍了插件开发中要注意的一些问题, 我们再来介绍插件开发完成后,如何上传到jenkins的插件中心(这里假设你的代码是放在github上的,使用svn或其他版本管理工具的请参考其他文章) ...

9. jQuery插件开发，jquery插件

   关于jQuery插件的开发自己也做了少许研究,自己也写过多个插件,在自己的团队了也分享过一次关于插件的课.开始的时候整觉的很复杂的代码,现在再次看的时候就清晰了许多.这里我把我自己总结出来的东西分享出 ...

随机推荐

1. 多线程_先产后销_运行结果有BUG

   class Shop { public static void main(String[] args) { Things t=new Things(); Custom c=new Custom(t); ...

2. Android Studio配置和使用OpenCV3.x，不需要OpencvManager

   转载声明,本文转自CSDN:http://blog.csdn.net/qq_22033759/article/details/51156121 ps:本来在贴吧上有人问,想自己写的,但时间有限,当初自 ...

3. 【BZOJ2199】 [Usaco2011 Jan]奶牛议会

   Description 由于对Farmer John的领导感到极其不悦,奶牛们退出了农场,组建了奶牛议会.议会以“每头牛 都可以获得自己想要的”为原则,建立了下面的投票系统: M只到场的奶牛 (1 & ...

4. charles抓包

   charles使用教程指南 charles使用教程指南 前言 移动APP抓包 PC端抓包 查看模式 其他功能 问题汇总 1. 前言: Charles是一款抓包修改工具,相比起burp,charles具 ...

5. Android 动画——Frame Animation与Tween Animation

   很多手机应用的引导页都是动画的,添加动画后的应用画面会更加生动灵活,今天博主也学习了Android中Animation的使用,下面来总结下.  android中的Animation分为两种,一种是Fr ...

6. DB2 错误代码

   sqlcode sqlstate 说明 000 00000 SQL语句成功完成 01xxx SQL语句成功完成,但是有警告 +012 01545 未限定的列名被解释为一个有相互关系的引用 +098 0 ...

7. Linux下不停止服务,清空nohup.out文件

   转载:http://www.sucheasy.com/OracleFusionMiddleware/640.html 1.nohup.out的由来及作用 用途:LINUX命令用法,不挂断地运行命令. ...

8. class FrameHandlerMono : public FrameHandlerBase

   单目视觉里程计流程图 class FrameHandlerMono : public FrameHandlerBase FrameHandlerMono::FrameHandlerMono(vk::A ...

9. uva11324 有向图的强连通分量+记忆化dp

   给一张有向图G, 求一个结点数最大的结点集,使得该结点集中任意两个结点u和v满足,要么u可以到达v, 要么v可以到达u(u和v相互可达也可以). 因为整张图可能存在环路,所以不好使用dp直接做,先采用 ...

10. 【数组】Subsets

    题目: Given a set of distinct integers, nums, return all possible subsets. Note: Elements in a subset ...