【发布时间】:2016-12-02 11:52:09
【问题描述】:
我正在尝试为某些协议有效负载中的某些数据编写 Lua 解析器。每个数据包都包含一些串行数据。数据需要作为 CR 分隔的 (0x0D/\r) 数据包进行处理,但这些数据包不一定与协议数据包对齐。
如果我报告我没有足够的数据来解析,我遇到了一个问题,即没有使用上次的剩余数据调用解析器函数。
例如,假设我有以下协议包:
1: 01 02 03 0D
2: 11 12 13
3: 21 22 23 24 0D
然后我有两个可剖析的序列:01 02 03 0D(第一个数据包),11 12 13 21 22 23 24 0D(数据包 2 和数据包 3)。
我的策略是:
- 遍历每个数据包,寻找
\r的偏移量 - 如果未找到:
- 设置
desegment_offset = 0 - 设置
desegment_len = DESEGMENT_ONE_MORE_SEGMENT(因为不知道还剩多少数据) - 返回
nil并重试下一个数据包
- 设置
- 如果在中间找到:
- 将
desegment_offset设置为换行的偏移量,这样下一个包就可以得到尾部数据了 - 设置
desegment_len = DESEGMENT_ONE_MORE_SEGMENT(因为不知道还剩多少数据) - 不要返回
- 将
- 如果在末尾找到,则不理会细分参数并继续进行 - 整行是一行数据
- 如果我们没有返回,从 0 到偏移量的缓冲区是一整行数据 - 解析这个
例子:
function myproto.dissector(tvbuf, pinfo, treeitem)
original_dissector:call(tvbuf, pinfo, treeitem)
local endOffset = 0
-- find out if we have any complete chunks
while endOffset < tvbuf:len() do
if tvbuf(endOffset, 1):uint() == 0x0D then
break
end
endOffset = endOffset + 1
end
-- didn't find a complete line in the payload
-- ask for more
if endOffset == tvbuf:len() then
pinfo.desegment_len = DESEGMENT_ONE_MORE_SEGMENT
pinfo.desegment_offset = 0
print(' Incomplete, ask for more')
return
end
-- have more than needed so set offset for next dissection
if tvbuf:len() - 1 > endOffset then
pinfo.desegment_len = DESEGMENT_ONE_MORE_SEGMENT
pinfo.desegment_offset = offset
print(' Too much, leave some for later')
end
print("Whole line dissector:", tvbuf:len())
end
在上面的示例中(有效载荷长度为 4、3、5),我调用了 tvbuf 长度为 4、3、5 的解析器,而我实际上预计为 4、3、8,最后一次调用包含 left覆盖以前数据包的数据。
我确实在第二个数据包上点击了“不完整,返回”分支,但第三个数据包永远不会改变。
这没有发生,我做错了什么?
旁注:我知道上面的方法在每行多个\r 的情况下不起作用,但我认为对于这个问题,像这样布置它更简单。
【问题讨论】:
标签: lua wireshark wireshark-dissector