Fatal编程技术网
  • lua/
  • Wireshark Lua解剖器重新组装-以前Tvb未调用解剖器';s数据

Wireshark Lua解剖器重新组装-以前Tvb未调用解剖器';s数据

lua

Wireshark Lua解剖器重新组装-以前Tvb未调用解剖器';s数据,lua,wireshark,wireshark-dissector,Lua,Wireshark,Wireshark Dissector,我正试图为一些协议的有效负载中的数据编写一个Lua解析器。每个数据包都包含一些串行数据。数据需要作为CR分隔(0x0D/\r)数据包进行处理,但这些数据包不一定与协议数据包对齐 我遇到了一个问题,如果我报告没有足够的数据进行解析,则不会使用上次的剩余数据调用dissector函数 例如,假设我有以下协议包: 1: 01 02 03 0D 2: 11 12 13 3: 21 22 23 24 0D 然后我有两个可分解的序列:01 02 03 0D(第一个数据包),11 12 13 21 2

我正试图为一些协议的有效负载中的数据编写一个Lua解析器。每个数据包都包含一些串行数据。数据需要作为CR分隔(
0x0D
/
\r
)数据包进行处理,但这些数据包不一定与协议数据包对齐

我遇到了一个问题,如果我报告没有足够的数据进行解析,则不会使用上次的剩余数据调用dissector函数

例如,假设我有以下协议包:

1:  01 02 03 0D
2:  11 12 13
3:  21 22 23 24 0D
然后我有两个可分解的序列:
01 02 03 0D
(第一个数据包),
11 12 13 21 22 23 24 0D
(数据包2和数据包3)

我的策略是:

  • 遍历每个数据包,查找
    \r
  • 如果未找到:
    • 设置
      desegment\u offset=0
    • 设置
      desegment\u len=desegment\u一个\u多个\u段
      (因为我不知道剩下多少数据)
    • 返回
      nil
      并在下一个数据包中重试
  • 如果在中间找到: 
    • desegment\u offset
      设置为换行符的偏移量,以便下一个数据包可以获得尾部数据
    • 设置
      desegment\u len=desegment\u一个\u多个\u段
      (因为我不知道剩下多少数据)
    • 不要回来
  • 如果在末尾找到,请不要使用desegmentation参数,继续执行-整行是一行数据
  • 如果我们没有返回,从0到偏移量的缓冲区就是一整行数据——解析这个
例如:

function myproto.dissector(tvbuf, pinfo, treeitem)

    original_dissector:call(tvbuf, pinfo, treeitem)

    local endOffset = 0

    -- find out if we have any complete chunks
    while endOffset < tvbuf:len() do

        if tvbuf(endOffset, 1):uint() == 0x0D then
            break
        end

        endOffset = endOffset + 1
    end

    -- didn't find a complete line in the payload
    -- ask for more
    if endOffset == tvbuf:len() then
        pinfo.desegment_len = DESEGMENT_ONE_MORE_SEGMENT
        pinfo.desegment_offset = 0
        print(' Incomplete, ask for more')
        return
    end

     -- have more than needed so set offset for next dissection
    if tvbuf:len() - 1 > endOffset then
        pinfo.desegment_len = DESEGMENT_ONE_MORE_SEGMENT
        pinfo.desegment_offset = offset
        print(' Too much, leave some for later')
    end

    print("Whole line dissector:", tvbuf:len())
end

函数myproto.dissector(tvbuf、pinfo、treeitem)
原始解剖器:呼叫(tvbuf、pinfo、treeitem)
局部内偏移=0
--看看我们是否有完整的块
而endOffset内偏移,则
pinfo.desegment\u len=desegment\u一段或多段
pinfo.desegment_offset=偏移量
打印(‘太多了,留些给以后用’)
结束
打印(“整行剖析器:,tvbuf:len())
结束
在上面的示例(有效负载长度4,3,5)中,我使用
tvbuf
长度4,3,5调用了解析器,而我实际期望的是4,3,8,最后一次调用包含以前数据包的剩余数据

我确实在第二个数据包中点击了“complete,return”分支,但第三个数据包从未改变

这没有发生,我做错了什么

旁注:我知道上面的方法在每行多个
\r
的情况下不起作用,但我认为对于这个问题,这样安排更简单。

通过设置
分段偏移量
分段长度
的重组功能取决于父协议。我猜您的串行协议是通过USB运行的,实际上,USB协议没有实现重新组装,因为USB通常是基于数据包/消息的。(像TCP这样的协议实现重组,因为它在逻辑上是一个数据流。)

Wireshark不会将重组API公开给Lua解析器(在当前的开发版本v2.3.0rc0中仍然适用),因此如果您使用Lua,很遗憾,您必须为解析器创建一个变量,以便自己跟踪以前的数据