Wireshark Lua 解剖器重组 - 未使用以前的 Tvb 数据调用解剖器
Wireshark Lua dissector reassembly - dissector not called with previous Tvb's data
我正在尝试为某些协议的有效负载中的一些数据编写一个 Lua 解析器。每个数据包都包含一些串行数据。数据需要作为 CR 分隔 (0x0D/\r) 数据包进行处理,但这些数据包不一定与协议数据包一致。
我遇到一个问题,如果我报告我没有足够的数据来解析,则不会使用上次剩余的数据调用解析器函数。
比如我有以下协议包:
1: 01 02 03 0D
2: 11 12 13
3: 21 22 23 24 0D
然后我有两个可分解的序列:01 02 03 0D(第一个数据包),11 12 13 21 22 23 24 0D(数据包 2 和数据包 3)。
我的策略是:
- 遍历每个数据包,寻找
\r 的偏移量
- 如果没有找到:
- 设置
desegment_offset = 0
- 设置
desegment_len = DESEGMENT_ONE_MORE_SEGMENT(因为我不知道还剩多少数据)
- Return
nil 下一个包再试
- 如果在中间找到:
- 设置
desegment_offset为换行的偏移量,这样下一个数据包就可以得到尾部数据
- 设置
desegment_len = DESEGMENT_ONE_MORE_SEGMENT(因为我不知道还剩多少数据)
- 不要return
- 如果在末尾找到,则保留反分段参数并继续 - 整行是一行数据
- 如果我们没有return,从0到偏移量的缓冲区是一整行数据-解析这个
示例:
function myproto.dissector(tvbuf, pinfo, treeitem)
original_dissector:call(tvbuf, pinfo, treeitem)
local endOffset = 0
-- find out if we have any complete chunks
while endOffset < tvbuf:len() do
if tvbuf(endOffset, 1):uint() == 0x0D then
break
end
endOffset = endOffset + 1
end
-- didn't find a complete line in the payload
-- ask for more
if endOffset == tvbuf:len() then
pinfo.desegment_len = DESEGMENT_ONE_MORE_SEGMENT
pinfo.desegment_offset = 0
print(' Incomplete, ask for more')
return
end
-- have more than needed so set offset for next dissection
if tvbuf:len() - 1 > endOffset then
pinfo.desegment_len = DESEGMENT_ONE_MORE_SEGMENT
pinfo.desegment_offset = offset
print(' Too much, leave some for later')
end
print("Whole line dissector:", tvbuf:len())
end
在上面的示例中(有效负载长度 4、3、5),我得到的解析器调用的 tvbuf 长度为 4、3、5,而我实际期望的是 4、3、8,最后一次调用包含来自先前数据包的剩余数据。
我确实在第二个数据包上点击了 "incomplete, return" 分支,但第三个数据包从未改变。
这没有发生,我做错了什么?
旁注:我知道上面的方法在每行多个 \r 的情况下不起作用,但我认为对于这个问题这样布置更简单。
通过设置 desegment_offset 和 desegment_length 的重组功能取决于父协议。我猜你的串行协议运行在 USB 上,事实上,USB 协议没有实现重组,因为 USB 通常是基于 packet/message 的。 (像 TCP 这样的协议确实实现了重组,因为它在逻辑上是一个数据流。)
Wireshark 不会将重组 API 公开给 Lua 解剖器(在当前开发版本 v2.3.0rc0 中仍然适用),所以如果您使用 Lua 很遗憾必须为您自己跟踪以前数据的解析器创建一个变量。
我正在尝试为某些协议的有效负载中的一些数据编写一个 Lua 解析器。每个数据包都包含一些串行数据。数据需要作为 CR 分隔 (0x0D/\r) 数据包进行处理,但这些数据包不一定与协议数据包一致。
我遇到一个问题,如果我报告我没有足够的数据来解析,则不会使用上次剩余的数据调用解析器函数。
比如我有以下协议包:
1: 01 02 03 0D
2: 11 12 13
3: 21 22 23 24 0D
然后我有两个可分解的序列:01 02 03 0D(第一个数据包),11 12 13 21 22 23 24 0D(数据包 2 和数据包 3)。
我的策略是:
- 遍历每个数据包,寻找
\r 的偏移量
- 如果没有找到:
- 设置
desegment_offset = 0 - 设置
desegment_len = DESEGMENT_ONE_MORE_SEGMENT(因为我不知道还剩多少数据) - Return
nil下一个包再试
- 设置
- 如果在中间找到:
- 设置
desegment_offset为换行的偏移量,这样下一个数据包就可以得到尾部数据 - 设置
desegment_len = DESEGMENT_ONE_MORE_SEGMENT(因为我不知道还剩多少数据) - 不要return
- 设置
- 如果在末尾找到,则保留反分段参数并继续 - 整行是一行数据
- 如果我们没有return,从0到偏移量的缓冲区是一整行数据-解析这个
示例:
function myproto.dissector(tvbuf, pinfo, treeitem)
original_dissector:call(tvbuf, pinfo, treeitem)
local endOffset = 0
-- find out if we have any complete chunks
while endOffset < tvbuf:len() do
if tvbuf(endOffset, 1):uint() == 0x0D then
break
end
endOffset = endOffset + 1
end
-- didn't find a complete line in the payload
-- ask for more
if endOffset == tvbuf:len() then
pinfo.desegment_len = DESEGMENT_ONE_MORE_SEGMENT
pinfo.desegment_offset = 0
print(' Incomplete, ask for more')
return
end
-- have more than needed so set offset for next dissection
if tvbuf:len() - 1 > endOffset then
pinfo.desegment_len = DESEGMENT_ONE_MORE_SEGMENT
pinfo.desegment_offset = offset
print(' Too much, leave some for later')
end
print("Whole line dissector:", tvbuf:len())
end
在上面的示例中(有效负载长度 4、3、5),我得到的解析器调用的 tvbuf 长度为 4、3、5,而我实际期望的是 4、3、8,最后一次调用包含来自先前数据包的剩余数据。
我确实在第二个数据包上点击了 "incomplete, return" 分支,但第三个数据包从未改变。
这没有发生,我做错了什么?
旁注:我知道上面的方法在每行多个 \r 的情况下不起作用,但我认为对于这个问题这样布置更简单。
通过设置 desegment_offset 和 desegment_length 的重组功能取决于父协议。我猜你的串行协议运行在 USB 上,事实上,USB 协议没有实现重组,因为 USB 通常是基于 packet/message 的。 (像 TCP 这样的协议确实实现了重组,因为它在逻辑上是一个数据流。)
Wireshark 不会将重组 API 公开给 Lua 解剖器(在当前开发版本 v2.3.0rc0 中仍然适用),所以如果您使用 Lua 很遗憾必须为您自己跟踪以前数据的解析器创建一个变量。