我有一个通过 AMQP 发送 JSON 对象的应用程序,我想使用 Wireshark 检查网络流量。 AMQP 解析器将有效负载作为字段中的一系列字节给出amqp.payload
,但我想提取和过滤 JSON 对象中的特定字段,因此我尝试在 Lua 中为此编写一个插件。
Wireshark 已经有一个 JSON 解析器,所以我希望能够利用它,而不必自己处理 JSON 解析。
这是我的代码:
local amqp_json_p = Proto("amqp_json", "AMQP JSON payload")
local amqp_json_result = ProtoField.string("amqp_json.result", "Result")
amqp_json_p.fields = { amqp_json_result }
register_postdissector(amqp_json_p)
local amqp_payload_f = Field.new("amqp.payload")
local json_dissector = Dissector.get("json")
local json_member_f = Field.new("json.member")
local json_string_f = Field.new("json.value.string")
function amqp_json_p.dissector(tvb, pinfo, tree)
local amqp_payload = amqp_payload_f()
if amqp_payload then
local payload_tvbrange = amqp_payload.range
if payload_tvbrange:range(0,1):string() == "{" then
json_dissector(payload_tvbrange:tvb(), pinfo, tree)
-- So far so good. Let's look at what the JSON dissector came up with.
local members = { json_member_f() }
local strings = { json_string_f() }
local subtree = tree:add(amqp_json_p)
for k, member in pairs(members) do
if member.display == 'result' then
for _, s in ipairs(strings) do
-- Find the string value inside this member
if not (s < member) and (s <= member) then
subtree:add(amqp_json_result, s.range)
break
end
end
end
end
end
end
end
(首先,我只是看看result
字段,我正在测试的有效负载是{"result":"ok"}
.)
它让我成功了一半。以下内容显示在数据包解析中,而如果没有我的插件,我只能得到 AMQP 部分:
Advanced Message Queueing Protocol
Type: Content body (3)
Channel: 1
Length: 15
Payload: 7b22726573756c74223a226f6b227d
JavaScript Object Notation
Object
Member Key: result
String value: ok
Key: result
AMQP JSON payload
Result: "ok"
现在我希望能够使用这些新字段作为显示过滤器,并将它们添加为 Wireshark 中的列。以下工作适用于两者:
-
json
(显示为Yes
当作为列添加时)
-
json.value.string
(我也可以用json.value.string == "ok"
)
amqp_json
But amqp_json.result
不起作用:如果我将它用作显示过滤器,Wireshark 不会显示任何数据包,如果我将它用作列,则该列为空。
为什么它的行为不同json.value.string
and amqp_json.result
?我怎样才能实现我想要的? (看来我确实需要一个自定义解析器,就像json.value.string
我只能过滤any成员具有一定的价值,但不一定result
.)
I found wireshark-dev 邮件列表上的一个帖子 http://wireshark-dev.wireshark.narkive.com/qMnA5KPY/lua-post-dissector-not-getting-field-values(“Lua 后解析器未获取字段值”,2009-09-17、2009-09-22、2009-09-23),指向interesting_hfids
哈希表,但从那时起代码似乎发生了很大变化。
如果您想尝试一下,这里是我的 PCAP 文件,base64 编码,包含一个数据包:
1MOyoQIABAAAAAAAAAAAAAAABAAAAAAAjBi1WfYOCgBjAAAAYwAAAB4AAABgBMEqADcGQA
AAAAAAAAAAAAAAAAAAAAEAAAAAAAAAAAAAAAAAAAAB/tcWKO232y46mkSqgBgxtgA/AAAB
AQgKRjDNvkYwzb4DAAEAAAAPeyJyZXN1bHQiOiJvayJ9zg==
解码用base64 -d
(在 Linux 上)或base64 -D
(在 OSX 上)。