Wireshark：自定义类型帧解析

1. 前言

限于作者能力水平，本文可能存在谬误，因此而给读者带来的损失，作者不做任何承诺。

2. 背景

Wireshark 不认识用 tcpdump 抓取的数据帧，仔细分析相关代码和数据帧后，发现是交换芯片在以太网帧头和 IP 帧头之间插入了 6 个字节。由于要做对这些数据帧做分析工作，同时又想利用 Wireshark 的便利，于是想到 Wireshark 的 Lua 插件功能。

3. 开发 Lua 插件

在应用 Lua 插件解析数据帧前，Wireshark 的解析如下图：

可见 Wireshark 无法正常解析数据帧。接下来编写 Lua 脚本 edsa.lua 如下：

-- 定义协议
local edsap = Proto("edsa", "EDSA Protocol")-- 添加字段
local f_edsa_field1 = ProtoField.uint8("edsa.field1", "Field 1", base.DEC)
local f_edsa_field2 = ProtoField.uint8("edsa.field2", "Field 2", base.DEC)
local f_edsa_field3 = ProtoField.uint16("edsa.field3", "Index", base.DEC)
local f_edsa_field4 = ProtoField.uint8("edsa.field4", "Field 4", base.DEC)
local f_edsa_field5 = ProtoField.uint8("edsa.field5", "Field 5", base.DEC)edsap.fields = {f_edsa_field1, f_edsa_field2, f_edsa_field3, f_edsa_field4, f_edsa_field5}-- 定义 dissector 函数
-- 注意，这里 tvbuf 的数据，不包含以太网帧头的 14 字节
function edsap.dissector(tvbuf, pinfo, tree)if tvbuf:len() < 6 then return endpinfo.cols.protocol = edsap.namelocal edsa_tree = tree:add(edsap, tvbuf(0,6), "EDSA Protocol")edsa_tree:add(f_edsa_field1, tvbuf(0,1):uint())edsa_tree:add(f_edsa_field2, tvbuf(1,1):uint())edsa_tree:add(f_edsa_field3, tvbuf(2,2):uint())edsa_tree:add(f_edsa_field4, tvbuf(3,1):uint())edsa_tree:add(f_edsa_field5, tvbuf(4,1):uint())-- 处理剩余的数据local new_tvbuf = tvbuf(6+2):tvb()Dissector.get("ip"):call(new_tvbuf, pinfo, tree)
end-- 注册到以太网帧类型 0xdada :
-- 当 wireshark 发现以太网帧的 EtherType 字段为 0xdada 时，
-- 则调用 dsap.dissector()
local edsa_type = DissectorTable.get("ethertype")
edsa_type:add(0xdada, edsap)

然后把 edsa.lua 放到下图 Wireshark 设定的路径中：

然后重启 Wireshark 加载 tcpdump 抓取的数据包：

可以看到，已经可以正常解析了。

在开发 Lua 脚本的过程中，可以开启 Wireshark 的控制台，Lua 的 print() 信息会输出到控制台，帮助定位开发过程中遇到的问题：

调试完成后，记得关闭它。