Wireshark:显示过滤器与嵌套解剖器

时间:2017-09-11 06:57:57

标签: lua wireshark amqp wireshark-dissector

我有一个通过AMQP发送JSON对象的应用程序,我想用Wireshark检查网络流量。 AMQP剖析器将有效负载作为字段amqp.payload中的一系列字节提供,但我想提取并过滤JSON对象中的特定字段,因此我尝试编写插件在Lua为此。

Wireshark已经有了JSON的解剖器,所以我希望能够捎带它,而不必自己处理JSON解析。

这是我的代码:

local amqp_json_p = Proto("amqp_json", "AMQP JSON payload")
local amqp_json_result = ProtoField.string("amqp_json.result", "Result")
amqp_json_p.fields = { amqp_json_result }
register_postdissector(amqp_json_p)

local amqp_payload_f = Field.new("amqp.payload")
local json_dissector = Dissector.get("json")

local json_member_f = Field.new("json.member")
local json_string_f = Field.new("json.value.string")

function amqp_json_p.dissector(tvb, pinfo, tree)
   local amqp_payload = amqp_payload_f()
   if amqp_payload then
      local payload_tvbrange = amqp_payload.range
      if payload_tvbrange:range(0,1):string() == "{" then
         json_dissector(payload_tvbrange:tvb(), pinfo, tree)
         -- So far so good.  Let's look at what the JSON dissector came up with.
         local members = { json_member_f() }
         local strings = { json_string_f() }
         local subtree = tree:add(amqp_json_p)
         for k, member in pairs(members) do
            if member.display == 'result' then
               for _, s in ipairs(strings) do
                  -- Find the string value inside this member
                  if not (s < member) and (s <= member) then
                     subtree:add(amqp_json_result, s.range)
                     break
                  end
               end
            end
         end
      end
   end
end

(首先,我只是查看result字段,我测试的有效负载是{"result":"ok"}。)

它让我到了一半。以下显示在数据包解析中,而没有我的插件我只获得AMQP部分:

Advanced Message Queueing Protocol
    Type: Content body (3)
    Channel: 1
    Length: 15
    Payload: 7b22726573756c74223a226f6b227d
JavaScript Object Notation
    Object
        Member Key: result
            String value: ok
            Key: result
AMQP JSON payload
    Result: "ok"

现在我希望能够将这些新字段用作显示过滤器,并将它们添加为Wireshark中的列。以下两项工作均为:

  • json(作为列添加时显示为Yes
  • json.value.string(我也可以使用json.value.string == "ok"过滤)
  • amqp_json

但是amqp_json.result不起作用:如果我将它用作显示过滤器,Wireshark不显示任何数据包,如果我将其用作列,则该列为空。< / p>

为什么json.value.stringamqp_json.result的行为有所不同?我怎样才能实现我想要的目标? (似乎我需要自定义解剖器,与json.value.string一样,我只能过滤具有特定值的任何成员,而不一定是result。)

我发现a thread on the wireshark-dev mailing list(&#34; Lua解剖后没有得到字段值&#34;,2009-09-17,2009-09-22,2009-09-23),这指向interesting_hfids哈希表,但从那时起,代码似乎发生了很大的变化。

如果你想尝试这个,这是我的PCAP文件,base64编码,包含一个数据包:

1MOyoQIABAAAAAAAAAAAAAAABAAAAAAAjBi1WfYOCgBjAAAAYwAAAB4AAABgBMEqADcGQA
AAAAAAAAAAAAAAAAAAAAEAAAAAAAAAAAAAAAAAAAAB/tcWKO232y46mkSqgBgxtgA/AAAB
AQgKRjDNvkYwzb4DAAEAAAAPeyJyZXN1bHQiOiJvayJ9zg==

使用base64 -d(在Linux上)或base64 -D(在OSX上)进行解码。

1 个答案:

答案 0 :(得分:1)

事实证明,我不应该尝试比较display字段的json.member属性。有时它由JSON解析器设置,有时它只是Member

正确的解决方案将涉及检查json.key字段的值,但由于我正在寻找的密钥可能永远不会被转义,我可以在{{1}中寻找字符串文字。成员字段的属性。

所以而不是:

range

我有:

            if member.display == 'result' then

现在过滤和列都有效。

相关问题
最新问题