Wireshark / TCPDUMP 自訂封包解析與截取檔

目前的工作都是在設計自己的一些通訊協定，所以有時都會需要觀察封包收送的內容，但一直是利用 printk / printf 的方式來做。也曾經想過是不是要弄的高級一點，弄成相容於 tcpdump / wireshark 的格式，再寫個解析器，看起來就很炫酷。但公司就是案子來來去去，很多都是一次性的專案，寫這種東西不太划算。

最近，終於有個做了很久的案子拿到了，而且客戶將來也需要客制化，所以就花了點時間研究一下 wireshark 解析與截取檔案，這樣會比較方便跟客戶吵架合作。

Wireshark 封包解析

本文的範例是參考這篇，再修改成要的樣子而來，並沒有瞭解太深入，主要是以應用為主。而本也只用到了部份功能，有更複雜需求的，可以參考 Wireshark 的文件或 Google 尋找 “Wireshark dissector lua”。原本的參考文章有提到 bool field，也是很值得參考。

Wireshark 支援以 lua 程式外掛的封包解析器，以下是我的程式。

以下說明都是個人心得(直覺)，請酌情參考。

L2: 以Wireshark內建函數 Proto() 建立了一個解析物件 p_vxlan，用以存入其它設定。Proto() 第一個參數是filter名稱，第二個是說明。

L4~L14: 定義 protocol 中的欄位名稱與類型，此處尚位表明其位置。 ProtoField.* 後面接的是其欄位性質，如uint32, uint8。所有列表可參考官方文件的 11.3.7.2 ProtoField 的說明。ProtoFile.*() 第一個是其 filter 的子名稱，第2個是說明，第3個是表現型式(10, 16 進位)。L12,13 最後面使用了 mask，代表其是 bit fields。map1 / map2 分別取了上下 nibble。

L16~L19: 將這些欄位定義加入 p_vxlan 中。可以使用直接指定內容，或用 insert 的方式。在實際使用時，不需全部使用，位置也可另外指定。

L21~50: 是封包進來時會呼叫的判斷 function, 其它是宣告或註冊，這部份較長等一下再說明。

L52~L53: 註冊此 filter 是在 UDP Port 1234 進行過濾。

欄位處理

上面內容是偏向於型態與處理目標宣告，接下來就是要行確切位置的處理與判斷。所謂的進行解析，實現在 Wireshark 上就是把欄位印出來。因此在 Wireshark 上看到的是會多了一個說明欄位。

欄位

L22: 先產生一個此filter的根結節點，後面的說明都會附著在此之下

L23: 取得傳進來的 buf 長度，用以印出最後不解析的內容

L24~32: 加入之前 L4~L14 所定義的欄位。add_le() 是指加入該欄位，但以 little endian 的方式呈現，而後面是其所指定的資料位置。L30~31因為都是4bits，所以佔用同一個位置。而最後面的 bytes 部份，就是其剩餘的資料欄位，以列表的方式列出。

L34~37: 是要 overwrite  eth 的呈現資料，但這邊不需要，就先 comment 掉

L38~48: 是根據 msgtype 在根節點 “t” 旁邊再顯示一些文字。若有需要的話，每個欄位旁都可以類似的方式顯示額外文字

PCAP 截取檔產生

上面講的是如何解析截取檔，那要如何產生符合格式的檔案呢？一個方法是真的產生如上述的實體封包，另一個方法是產生假封包存入檔案，以進行解析。這邊我們說明的是 .pcap 檔，說明是參考LibpcapFileFormat。

PCAP 的內容可以分為3部份，後面2個封包檔頭和內容則是一直重複的

• 全域檔頭
• 封包檔頭
• 封包內容

全域檔頭

參考上述的官方 WiKi，格式等同上面，初始化可用下面內容。

magic_number 肩負了 magic number 的功能，與判斷 endian 的功能。若 wireshark 發現是反過來的，代表截取的系統與解析的系統，endianness 是相反一。其餘項目就填如上表，其中的 network (1)為 ethernet, 目前好像也沒什麼其它比較實用可填的。

封包檔頭

封包檔頭前2個欄位就是關於抓取的時間，第一包的時間為0，後面就需要計算一下前後差距。可以使用 gettimeofday() 來取得包含 usec 的時間，來做較為精確的表示。

後面的 incl_len 是封包實際存在檔案的長度，而 orig_len 則是封包應有的長度。由於有時我們只是要抓 header 而已，所以才會有這種區別。

封包內容

封包內容則只是單純的資料，要靠解析器來解析。

產生封包範例

上面的程式碼，則是一個不完整的 ARP 封包產生程式，但已足夠讓 wireshark 解析其內容。下面是一個比較完整的 Linux 程式，可以封裝到 UDP 層級

結語

一個說有用但也不是很有用的 topic, 單看你的需求是不是夠長久.

相關文章:

使用 Google Cloud Translate API 邏輯捲軸管理員 LVM 簡明指令 架設 SVN Server – Standalone 與 Apache AI 學習紀錄 – 虛擬機加減架