Wireshark 如何按动态字段名进行过滤

我建议取消字段名称的索引，而直接为它们使用一个公共过滤器。如果“ServerBlocks”代表所有块，你应该为每个块创建一个可折叠树形结构，并使用摘要行为每个块提供概述信息，这样你就不需要展开树形结构就可以很容易地查看它包含的信息。通过这种方式，你可以在任何块中过滤名称。

因此，你应该有类似以下的显示方式，而不是现在所展示的块：

[+] DataBlocks：3 块

如果你展开该树，你会看到以下内容：

[-] DataBlocks：3 块
    [+] DataBlock 1: name1, city1, origin1
    [+] DataBlock 2: name2, city2, origin2
    [+] DataBlock 3: name3, city3, origin3

当然，如果展开一个特定的 DataBlock，你将以你提供的方式看到各个详细信息。

为了过滤特定的名称，你可以使用 myproto.datablocks.datablock.name == foo 这样的过滤器。它将匹配所有名称为 foo 的数据包，而不管它们在哪个 datablock 中。

那么，在仍然使用相同的过滤器名称的情况下，如何为每个块应用枚举？首先，你需要预先知道有多少块，或者可能需要通过数据不断循环，直到耗尽字节。这完全取决于协议和编码方式。这里，我假设你有一种方式可以确定有多少块，然后下面的伪代码可能对你有所帮助：

blocks_tree = myproto_tree:add(datablocks, tvbuf(offset, datablocks_len))

for i = 1, numblocks do
    datablock_len = TODO
    block_tree = blocks_tree:add(datablock, tvbuf(offset, datablock_len):set_text(
        string.format("DataBlock %d: ", i)

    block_tree:add(datablock_name, tvbuf(offset, namelen))
    block_tree:append_text(tvbuf(offset, namelen):string() .. ", ")

    block_tree:add(datablock_city, tvbuf(offset + namelen, citylen))
    block_tree:append_text(tvbuf(offset + namelen, citylen):string() .. ", ")

    block_tree:add(datablock_origin, tvbuf(offset + namelen + citylen, originlen))
    block_tree:append_text(tvbuf(offset + namelen + citylen, originlen):string())

    offset = offset + namelen + citylen + originlen
end

如果你事先不知道 datablocks_len，你可以稍后使用 blocks_tree:set_len(somelen)，一旦你确定其长度时就可以这样做。我还假设名称、城市和来源都是字符串，并且你知道如何确定每个字符串的长度（即 namelen、citylen 和 originlen）。

有关更多信息，请参阅 Wireshark Lua 和相关 wiki 页面，包括一些可能对你在这里使用的示例脚本。同时也别忘了《Wireshark Lua API 参考手册》（Wireshark’s Lua API Reference Manual）。