Wireshark Lua dissector reassembly - dissector not called with previous Tvb's data

2016-7-28 8:1:36
收藏:0
阅读:74
评论:1

我正在尝试为某些协议负载中传输的一些数据编写Lua解析器。每个数据包包含一些串行数据。数据需要作为CR分隔符(0x0D/\r)数据包进行处理,但这些数据包不一定与协议数据包对齐。

我的问题在于,如果我报告我没有足够的数据进行解析,则解析器函数不会使用上次剩余的数据进行调用。

例如,假设我有以下协议数据包:

1: 01 02 03 0D
2: 11 12 13
3: 21 22 23 24 0D

然后我有两个可解析的序列:01 02 03 0D(第一个数据包),11 12 13 21 22 23 24 0D(包2和包3)。

我的策略是:

  • 遍历每个数据包,查找\r的偏移量

  • 如果未找到:

    • 设置desegment_offset=0
    • 设置desegment_len=DESEGMENT_ONE_MORE_SEGMENT(因为我不知道还有多少数据)
    • 返回nil,然后再试一次下一个数据包

  • 如果在中间找到:

    • desegment_offset设置为换行符的偏移量,这样下一个数据包可以获取尾部数据
    • 设置desegment_len=DESEGMENT_ONE_MORE_SEGMENT(因为我不知道还有多少数据)
    • 不要返回

  • 如果在结尾处找到,则保留解缩参数并继续进行-整行是一行数据

  • 如果我们没有返回,则从0到偏移量的缓冲区是一行数据-解析此数据

例如:

function myproto.dissector(tvbuf, pinfo, treeitem)

    original_dissector:call(tvbuf, pinfo, treeitem)

    local endOffset = 0

    -- find out if we have any complete chunks
    while endOffset < tvbuf:len() do

        if tvbuf(endOffset, 1):uint() == 0x0D then
            break
        end

        endOffset = endOffset + 1
    end

    -- didn't find a complete line in the payload
    -- ask for more
    if endOffset == tvbuf:len() then
        pinfo.desegment_len = DESEGMENT_ONE_MORE_SEGMENT
        pinfo.desegment_offset = 0
        print(' Incomplete, ask for more')
        return
    end

     -- have more than needed so set offset for next dissection
    if tvbuf:len() - 1 > endOffset then
        pinfo.desegment_len = DESEGMENT_ONE_MORE_SEGMENT
        pinfo.desegment_offset = offset
        print(' Too much, leave some for later')
    end

    print("Whole line dissector:", tvbuf:len())
end

在上面的示例中(负载长度为4、3、5),当我实际上希望获得上一个数据包的剩余数据的最后一个调用包含长度为4、3、8的 tvbuf长度时,我会获得具有长度为4、3、5的解析器调用。

我确实在第二个数据包上击中了“不完整,返回”分支,但第三个数据包从未改变。

这没有发生,我做错了什么?

副笔:我知道上面的方法在多个每行\r 的情况下不起作用,但对于这个问题,我认为用这样的方式更简单。

点赞
用户427545
用户427545 
`desegment_offset` 和 `desegment_length` 设置的重新组装功能依赖于父协议。我猜您的串行协议是通过USB运行的,事实上,USB协议通常不实现重新组装,因为它是基于分组/消息的。(像TCP这样的协议实现重新组装,因为逻辑上是数据流。)

Wireshark 不会向 Lua 解析器公开重新组装 API(在当前开发版本v2.3.0rc0中仍然适用),因此,如果您使用的是 Lua ,不幸的是,您必须为解析器创建一个变量,以跟踪先前的数据。
2016-07-28 14:09:17

作者:

用户1381158

用户1381158
推荐文章