如何在 Wireshark 中解析 protobuf 数据包

Question

我的目标是拥有一个可以解析基于 protobuf (UDP) 的协议的插件/解析器。
我在网上找到了用于协议缓冲区消息的自动生成 Wireshark/Ethereal 解析器插件：https://code.google.com/archive/p/protobuf-wireshark/
当我关注ReadMe 文件时，我跳过了“第 1 步：从源代码安装 Wireshark”，因为我已经安装了它（版本 1.12.3）。

第 2 步：准备协议缓冲区 -

这一步我不明白，我如何安装 libprotobuf 和 在哪里？

第三步：更新wireshark配置文件 -

我不确定什么是“wireshark_src_dir”

我创建了一个 wireshark.conf 文件：
wireshark_src_dir：C:\Program Files (x86)\Wireshark
wireshark_install_dir：C:\Program文件 (x86)\Wireshark
wireshark_version：1.12.3

第 4 步：运行 make_wireshark_plugin.py - 对于该步骤，我下载并安装了 python-3.6.0-amd64.exe。

当我运行它时，我收到一个错误：Traceback（最近的调用 最后）：文件“C:\ProtoBuff\protobuff\make_wireshark_plugin.py”，行 91，在 f=open("configure.in","r") FileNotFoundError: [Errno 2] 没有这样的文件或目录：'configure.in'。

这个文件在我下载的包中确实不存在 github。我从哪里得到这个文件？我需要创建这样的吗？什么是 这个 make_wireshark_plugin.py 生成？

第 5 步：创建 proto 配置文件 - 所有 proto 配置文件都需要在 /usr/share/wireshark/protobuf 或 $HOME/.wireshark/protobuf。

wireshark 中没有共享文件夹和 protobuf 文件夹 安装路径。我可以简单地将原型配置文件放入 插件文件夹？

Answer 1

关于 Protobuf 和 gRPC 解析器的新功能已添加到 Wireshark 3.2.0 版中：

• 现在可以配置 Protobuf 文件 (*.proto) 以更精确地解析序列化的 Protobuf 数据（例如 gRPC）。
• 现在可以解析流式 gRPC 方法的消息，支持 HTTP2 流式模式重组功能。
• 用户可以在 Protobuf 协议首选项中指定 protobuf 搜索路径（其中有 *.proto 文件）和 protobuf 消息类型映射的 UDP 端口。
• 如果您自己的解析器需要调用protobuf解析器，您可以通过数据参数（在C中）或pinfo->private_table[“pb_msg_type”]（在lua中为pinfo.private[“pb_msg_type”]）将消息类型传递给Protobuf解析器.

另外两个新功能将在 3.3.0 或 3.4.0 中发布：

• Protobuf 字段可以分解为 wireshark（标题）字段，允许用户在过滤器工具栏中输入 Protobuf 字段或消息的全名进行搜索。
• 基于 Protobuf 的解析器可以将自身注册到新的“protobuf_field”解析器表中，该表以字段的全名作为键，用于进一步解析 BYETS 或 STRING 类型的字段。

参考资料：

• https://www.wireshark.org/docs/relnotes/wireshark-3.2.0.html
• https://www.wireshark.org/docs/wsug_html_chunked/ChProtobufSearchPaths.html
• https://www.wireshark.org/docs/wsug_html_chunked/ChProtobufUDPMessageTypes.html

Answer 2

您可以改用这个，它不需要编译任何东西：https://github.com/128technology/protobuf_dissector