如何在Wireshark使用Lua字段提取器？

Question

我有这样的协议

“数据包”-一系列信息

{Head}{Content}{Head}{Content}.

“头”-1字节

位1-7 : msg长度

第8位:真或非

这是一个udp通信，我必须使用第8位来确定是否需要跳过消息。

下面是我的玩具解析器，我面临的问题是如何提取bool值，帮助我做出决定。

TOY_proto = Proto("TOY", "TOY Protocol")

local isSkip = ProtoField.new("Is Skip?", "mytoy.isSkip", ftypes.BOOLEAN, {"Yes", "No"}, 8, 0x01)
local msgLen = ProroField.new("Message Length", "mytoy.msgLen", ftypes.UINT8, nil, base.DEC, 0xFE)

TOY_proto.fields = {isSkip, msgLen}

local isSkip_Field = Field.new("mytoy.isSkip")
local function getIsSkip()
    return isSkip_Field()()
end
local msgLen_Field = Field.new("mytoy.msgLen")
local function getMsgLen()
    return msgLen_Field()()
end

function TOY_proto.dissector(tvbuf, pktinfo, root)
    pktinfo.cols.protocol = "TOY"
    local pktlen = tvbuf:reported_length_remaining()
    local pos = 0

    while pos < pktlen do
        local headTree = tree:add("Head")
        headTree:add_le(isSkip, tvbuf:range(pos,1))
        headTree:add_le(msgLen, tvbuf:range(pos,1))
        if getIsSkip() then
            pos = pos + getMsgLen()
        else
            -- do something else
        end
    end
end
udp_table = DissectorTable.get("udp.port")
udp_table:add(6628, TOY_proto)

问题是，在第一个循环中，每个变量都做得很好，但是在第一个循环之后，从getIsSkip()和getMsgLen()返回的值始终保持不变。

Answer 1

当你这样做时：

return isSkip_Field()()

你真正在做的事情在逻辑上相当于这样：

-- extract the FieldInfo object using the Field object "isSkip_Field"
local tempFieldInfo = isSkip_Field()

-- get the Lua boolean value of the FieldInfo object
local tempValue = tempFieldInfo()

-- return it
return tempValue

我提以上这些是为了解释为什么你在后面的答案中得到了你要得到的.

当您调用字段提取器(即调用Field对象来获取FieldInfo对象)时，您实际上得到了在调用提取器时存在于该包中的每个Field类型的 FieldInfo对象。您的数据包包含协议的多个“消息”，因此在每个循环中，您都会得到相同数据包的前一个循环的FieldInfo对象和当前的FieldInfo对象。

换句话说，当您的脚本执行以下操作时：

return isSkip_Field()()

...the第一次为数据包返回一个FieldInfo对象，调用该对象，并获得布尔值。当它第二次运行时，对isSkip_Field()的调用实际上返回了两个 FieldInfo对象，但是它放弃了第二个对象，因为代码在逻辑上等同于我在这个答案顶部编写的代码，而只是调用第一个实例，当然，第一个实例与第一个循环迭代返回相同的布尔值；当它对同一个数据包第三次运行时，它返回了三个FieldInfo对象，丢弃了第二个FieldInfo对象，称为第一个，等等。

因此，您真正想要做的是选择正确的FieldInfo对象--每个循环迭代--也就是最近(最后)一个。您可以使用以下两种方法之一：(1)使用Lua select()函数，或者(2)将返回的FieldInfo对象放入表中并检索最后一个条目。

例如，执行以下操作：

local isSkip_Field = Field.new("mytoy.isSkip")
local function getIsSkip(num)
    return select(num, isSkip_Field())()
end
local msgLen_Field = Field.new("mytoy.msgLen")
local function getMsgLen(num)
    return select(num, msgLen_Field())()
end

function TOY_proto.dissector(tvbuf, pktinfo, root)
    pktinfo.cols.protocol = "TOY"
    local pktlen = tvbuf:reported_length_remaining()
    local pos = 0

    local num = 1
    while pos < pktlen do
        local headTree = tree:add("Head")
        headTree:add_le(isSkip, tvbuf:range(pos,1))
        headTree:add_le(msgLen, tvbuf:range(pos,1))
        if getIsSkip(num) then
            pos = pos + getMsgLen(num)
        else
            -- do something else
        end
        num = num + 1
    end
end

...or这个：

local isSkip_Field = Field.new("mytoy.isSkip")
local function getIsSkip()
    local tbl = { isSkip_Field() }
    return tbl[#tbl]()
end
local msgLen_Field = Field.new("mytoy.msgLen")
local function getMsgLen()
    local tbl = { msgLen_Field() }
    return tbl[#tbl]()
end

function TOY_proto.dissector(tvbuf, pktinfo, root)
    pktinfo.cols.protocol = "TOY"
    local pktlen = tvbuf:reported_length_remaining()
    local pos = 0

    while pos < pktlen do
        local headTree = tree:add("Head")
        headTree:add_le(isSkip, tvbuf:range(pos,1))
        headTree:add_le(msgLen, tvbuf:range(pos,1))
        if getIsSkip() then
            pos = pos + getMsgLen()
        else
            -- do something else
        end
    end
end

...or如果有很多字段，这可能会更好：

local isSkip_Field = Field.new("mytoy.isSkip")
local msgLen_Field = Field.new("mytoy.msgLen")

local function getFieldValue(field)
    local tbl = { field() }
    return tbl[#tbl]()
end

function TOY_proto.dissector(tvbuf, pktinfo, root)
    pktinfo.cols.protocol = "TOY"
    local pktlen = tvbuf:reported_length_remaining()
    local pos = 0

    while pos < pktlen do
        local headTree = tree:add("Head")
        headTree:add_le(isSkip, tvbuf:range(pos,1))
        headTree:add_le(msgLen, tvbuf:range(pos,1))
        if getFieldValue(isSkip_Field) then
            pos = pos + getFieldValue(msgLen_Field)
        else
            -- do something else
        end
    end
end