详解使用Lua编写Wireshark的Dissector插件

使用Lua编写Wireshark的Dissector插件是本文要介绍的内容，Dissector 插件可以用来对特定的协议内容进行分析展示，在分析自己实现的应用层协议时还是很有用的。 dissector 插件一般用 C 来实现，具体如何实现可以参考 Wireshark 代码目录下面的 \epan\dissectors 中的源代码和 plugins 目录下面的源代码。

一些简单的对性能要求不高的 dissector 插件也可以使用 Lua 来实现。 Wireshark 已经嵌入了对 Lua 的支持。

下面就是一个简单的例子： 

定义协议，可以在wireshark中使用trivial过滤

trivial_proto = Proto("trivial","TRIVIAL","Trivial Protocol") 

dissector函数

function trivial_proto.dissector(buffer,pinfo,tree) 

pinfo的成员可以参考用户手册

pinfo.cols.protocol = "TRIVIAL" 



pinfo.cols.info = "TRIVIAL data" 




local subtree = tree:add(trivial_proto,buffer(),"Trivial Protocol") 

不对应任何数据

subtree:add(buffer(0,0),"Message Header: ") 

版本号对应于第一个字节

subtree:add(buffer(0,1),"Version: " .. buffer(0,1):uint()) 

类型对应于第二个字节

type = buffer(1,1):uint()  



type_str = "Unknown" 




if type == 1 then  




    type_str = "REQUEST" 




elseif type == 2 then  




    type_str = "RESPONSE" 



end  


subtree:add(buffer(1,1), "Type: " .. type_str) 

从第三个字节开始是数据

    size = buffer:len()  


    subtree:add(buffer(2,size-2), "Data: ")  


end  



tcp_table = DissectorTable.get("tcp.port") 

注册到tcp的8888端口

tcp_table:add(8888,trivial_proto) 

插件编写完成后保持为 test.lua 文件，我们就可以抓包测试一下了。