【wireshark】插件开发（一）：概述

1. 概述

wireshark提供了灵活的插件机制，使用户可以方便地扩展wireshark的功能。插件的功能主要包括，但不限于协议解析器。

可以使用Lua或C语言来编写Wireshark插件，下表对比了这两种方式，绿色背景代表占优的一方。

对比项目	C插件	Lua插件
开发难度	难	容易，只需要了解Lua语言
开发语言	难以掌握的C	轻巧方便的Lua
开发环境	C编译器、第三方库、复杂的环境搭建等等	文本编辑器即可
代码量	多	少
可测试性	难	方便
插件执行速度	非常快	较慢
可调用的已有功能代码	所有	仅一部分
部署方式	与主程序一起编译，或插件目录	插件目录

2. 待分析的杜撰协议

假定我们要分析一个私有协议Foo，这个协议使用UDP端口9877传输数据，其报文格式如下表所示，括号内为字节数：

type (1) 1 - 初始化 2 - 终止 3 - 数据

flag (1) …….1 正常 ……1. 拥塞 …..1..  优先

seqNo (2) 包序号

ipAddr (4) IP地址

Data 不定长数据

产生此协议报文的C++程序如下(for VC++ on Windows)

// TODO：代码待修改

#include <WinSock2.h>
#include <stdio.h>
#include <time.h>
#pragma comment(lib, "ws2_32.lib")

#define  UDP_PORT_FOO  9877

struct proto_foo
{
    UINT8  type;
    UINT8  flags;
    UINT16 seqno;
    UINT32 ipaddr;
};

int main(int argc, char** argv)
{
    int ret;
    SOCKET sockfd;
    SOCKADDR_IN addr;
    proto_foo data;
    INT16 seq = ;

    WORD dwVersion = MAKEWORD(, );
    WSAData wsaData;
    WSAStartup(dwVersion, &wsaData);

    sockfd = socket(AF_INET, SOCK_DGRAM, );
    addr.sin_family = AF_INET;
    addr.sin_port = htons(UDP_PORT_FOO);

    if(argc < )
    {
        printf("will send to 220.181.57.217\n");
        addr.sin_addr.s_addr = inet_addr("220.181.57.217");
    }
    else
        addr.sin_addr.s_addr = inet_addr(argv[]);

    data.ipaddr = 0x04030201;
    for(;;)
    {
        srand((unsigned int)time(NULL));
        data.type = rand() %  + ;
        data.flags = rand() %  + ;
        if(data.flags == )
            data.flags = ;
        data.seqno = htons(seq++);

        ret = sendto(sockfd, (const char*)&data, sizeof(proto_foo), ,
            (SOCKADDR*)&addr, sizeof(addr));
        if(SOCKET_ERROR == ret)
        {
            printf("sendto error\n");
            break;
        }
        Sleep();
    }

    closesocket(sockfd);
    WSACleanup();

    return ;
}

编译并运行以上程序，并用wireshark抓包保存，之后要使用这个pcap文件来测试编写的foo解析插件。

下面将要两种方式实现foo协议的解析插件，结合这个实例介绍这两种插件的开发方法。