🧞 🤙🏿 ☦️ Wiresharkのディセクタプラグインの作成 🧒🏻 🙇🏽 👨🏽‍🔧

Wiresharkは、ネットワークプロトコルを使用してネットワークを盗聴するための不可欠なユーティリティの1つです。プログラムには、基本プロトコルのパッケージを詳細に調べるのに役立つ一定数の解剖学^1がすでに含まれています。しかし、Nortel独自のプロトコルで作業しているときに、適切な分析ツールが不足していることがわかりました。そして彼は空気のように必要でした。抜け道は明らかでした-自分で書いてください。私がやった。

したがって、Wiresharkで「解剖学的」プラグインを作成した経験がほとんどなかったため、知識と経験をコミュニティと共有することにしました。将来必要になる場合に備えて、自分で書いてください。

解剖 -緯度解剖、解剖から、解剖

注1：記事を書くとき、読者はWiresharkユーティリティに精通しており、その基本機能の使用方法も知っていると想定しました。

注2：私はLinuxで作業しているため、このOS用のプラグインも作成しました。 Windowsでは、プラグインもコンパイルする必要があります。 違いは、メイクファイルにのみあると思います。

注3：私が取り組んでいたプロトコルは、独自のプロトコルであり、100万件の秘密保持契約のため、この記事では独自のプロトコルを検討しています。

Fooプロトコル

一言で言えば、私は発明されたプロトコルを説明します。このプロトコルをUDPプロトコルの上に置き、次の構造にしましょう。

1バイト-プロトコルバージョン
1バイト-パケットタイプ
1バイト-あらゆる種類のフラグ
1バイト-何らかのブール変数
4バイト-ペイロード長
0〜200バイト-ペイロード

環境設定

プラグインの作成を開始する前に、何かを配置し、作成し、どこかで変更する必要があります。 Wiresharkがインストールを要求するものは次のとおりです。

python（2番目のバージョンだと思いますが、3番目のバージョンではありません）
シマケ
バイソン
フレックス

必要なライブラリとユーティリティの完全なリストはこちらです。

必要なものをすべてインストールしたら、プラグインを作成するバージョンのWiresharkソースコードをダウンロードします。私の場合、安定ブランチ1.6のソース：

$ cd $HOME $ svn co http://buildbot.wireshark.org/trunk-1.6/ wireshark

コンパイルが機能していること、および必要なすべてのユーティリティとライブラリがインストールされていることを確認するには、次を実行します。

  $ cd wireshark $ ./autogen.sh $ ./configure

すべてが正常な場合は、プラグインフォルダーに移動し、そこにプロトコル名を持つ独自のフォルダーを作成します。

  $ cd $HOME/wireshark/plugins $ mkdir foo $ cd foo $ touch packet-foo.c

フレーム

ここでは、その主要部分であるプラグインフレームワークを強調表示することから始めたいと思います。これは、Wiresharkがプラグインを「ピックアップ」するのに十分です。

packet-foo.c

 #ifdef HAVE_CONFIG_H # include "config.h" #endif #include <epan/packet.h> #define FOO_PORT 35000 /*  UDP ,       FOO . */ static int proto_foo = -1; /*       . */ void proto_register_foo(void) { proto_foo = proto_register_protocol ( "FOO Protocol", /*   */ "FOO", /*   */ "foo" /*  */ ); }

最初に、 proto_register_protocol（）関数を呼び出します。この関数はプロトコルを登録し、一意の識別子を返します。プログラムのさまざまな部分に表示されるプロトコルの3つの異なる名前に関数を転送します。（たとえば、「shark」設定では「FOO Protocol」および「FOO」という名前が使用され、フィルターフィールドでは「foo」という略語が使用されます。）

次に、キャッチされたfooパッケージを解読するために必要な場合に呼び出される関数を割り当てる必要があります。これは、 create_dissector_handle（）関数を呼び出すことによって行われます。

 void proto_reg_handoff_foo(void) { static dissector_handle_t foo_handle; foo_handle = create_dissector_handle(dissect_foo, proto_foo); dissector_add_uint("udp.port", FOO_PORT, foo_handle); }

ここでは、構成に関してプロトコルを分解し、 proto_fooプロトコルにバインドするという汚い作業を行うディセクタハンドラを登録します。次に、ハンドラーを、トラフィックが進むと予想されるUDPポートに関連付けます。したがって、Wiresharkは、当社が指定したポート（35000）で何らかのアクティビティが発生すると「us」を呼び出します。

関数proto_register_foo（）およびproto_reg_handoff_foo（）をソースファイルの最後に記述する必要があるという合意があります。

現在、最も重要なことは、ディセクタコード自体を記述することです。

 static void dissect_foo(tvbuff_t *tvb, packet_info *pinfo, proto_tree *tree) { col_set_str(pinfo->cinfo, COL_PROTOCOL, "FOO"); col_clear(pinfo->cinfo, COL_INFO); }

この関数は、詳細に渡されるパッケージで機能するために呼び出されます。パケットデータは特別なバッファtvbに保存されます。 pinfoには 、プロトコルに関する一般情報を入れます。また、 ツリーでは、Wiresharkの出力でプロトコルの最終タイプが決定されると、主な変更が発生します。

最初の行では、[ プロトコル ]列に値を設定します。 2番目では、[ 情報 ]列をクリアします。（通常、両方の列はパケットキャプチャ中に表示されます。）

現在、プラグインを安全にビルドしてWiresharkにアップロードできるように、現時点では最小限のコードがあります。

プラグインアセンブリ

（Linux用に）ビルドするには、ディレクトリMakefile.am、Makefile.common、moduleinfo.hにいくつかのファイルを取得する必要があります。

Makefile.am-UNIX / Linux makeファイル
Makefile.common-UNIX / LinuxおよびWindows用の汎用メイクファイル。プラグインファイル名が含まれています
Makefile.nmake-Windows用のメイクファイル
moduleinfo.h-プラグインのバージョンが含まれています
moduleinfo.nmake-Windows用のDLLのバージョン情報が含まれています
packet-foo.c-ディセクタのソースコード

ところで、Wiresharkはより簡単な方法-cmakeを使用する-を提供しているので、多くのmakefileに自分を埋める必要はありません。これにより、メイクファイルの変更数が最小限に抑えられます。これを行うには、次の内容のプラグインを含むフォルダーにCMakeLists.txtを作成します。

 set(DISSECTOR_SRC packet-foo.c ) set(PLUGIN_FILES plugin.c ${DISSECTOR_SRC} ) set(CLEAN_FILES ${PLUGIN_FILES} ) if (WERROR) set_source_files_properties( ${CLEAN_FILES} PROPERTIES COMPILE_FLAGS -Werror ) endif() include_directories(${CMAKE_CURRENT_SOURCE_DIR}) register_dissector_files(plugin.c plugin ${DISSECTOR_SRC} ) add_library(foo ${LINK_MODE_MODULE} ${PLUGIN_FILES} ) set_target_properties(foo PROPERTIES PREFIX "") set_target_properties(foo PROPERTIES LINK_FLAGS "${WS_LINK_FLAGS}") target_link_libraries(foo epan) install(TARGETS foo LIBRARY DESTINATION ${CMAKE_INSTALL_LIBDIR}/@CPACK_PACKAGE_NAME@/plugins/${CPACK_PACKAGE_VERSION} NAMELINK_SKIP RUNTIME DESTINATION ${CMAKE_INSTALL_LIBDIR}/@CPACK_PACKAGE_NAME@/plugins/${CPACK_PACKAGE_VERSION} ARCHIVE DESTINATION ${CMAKE_INSTALL_LIBDIR}/@CPACK_PACKAGE_NAME@/plugins/${CPACK_PACKAGE_VERSION} )

注： CMakeLists.txtファイルがどのように見えるかを毎回思い出すことはできませんが、たとえば、インターリンクなどの既存のプラグインのフォルダーからコピーします。 そして、このファイル内のインターリンクへのすべての参照をfooに置き換えます。

次に、アセンブリプロセスを自動化するためのプラグインツールについてお知らせください。

  $ cd $HOME/wireshark/ $ vim CMakeLists.txt

インデントが指定された行「plugins / foo」を追加します。

 ....... if(ENABLE_PLUGINS) set(HAVE_PLUGINS 1) set(PLUGIN_DIR="${DATAFILE_DIR}/plugins/${CPACK_PACKAGE_VERSION}") set(PLUGIN_SRC_DIRS plugins/foo plugins/asn1 plugins/docsis .......

ここで、コンパイルおよびリンク中に作成されたファイルが保存されるディレクトリを作成します。次に、アセンブリプロセス自体を実行します。次の手順は、 $ HOME / wireshark /ディレクトリから実行されます

  $ mkdir build $ cd build $ cmake .. $ make foo

コンパイルに成功すると、 foo.soライブラリを$ HOME / wireshark / build / lib /フォルダに取得します。

試運転

ファイルfoo.soを/usr/lib/wireshark/plugins/1.6.0/ディレクトリにコピーし、Wiresharkを実行します。 [ヘルプ-> Wiresharkについて]に移動し、[ プラグイン ]タブに移動して、表示されるリストでプラグインfoo.soを見つけます。

プラグインがプロトコルを認識することを確認するために、パケットキャプチャを開始し、ネットワークを介してプロトコルを使用してパケットを送信します。（例として、UDPネットワークを介してFOOプロトコルパケットを送信するプログラムを作成しました。そのコードは記事の最後にあります。）

ワーキングディセクター

プラグインフレームワークが用意できたので、まだ何の役にも立ちませんが、少なくとも起動したら、プロトコルを「書き込み」ます。できる最も簡単なことは、プロトコルの境界を定義することです。

これを行うには、まず、ツリー（ tree ）にブランチを作成し、そこにデコード結果を配置します。ディセクタは、2つの異なるケースで呼び出されます。1つはパッケージに関する概要情報を取得する必要がある場合、もう1つは同じパッケージに関する詳細情報を表示する必要がある場合です。 ツリーへのポインターがNULLの場合、サマリー情報のみが要求されます。それ以外の場合、Wiresharkユーザーに表示される詳細情報をツリーに追加するよう求められます。これを念頭に置いて、ディセクタは次の形式を取ります。

 static void dissect_foo(tvbuff_t *tvb, packet_info *pinfo, proto_tree *tree) { col_set_str(pinfo->cinfo, COL_PROTOCOL, "FOO"); col_clear(pinfo->cinfo, COL_INFO); if (tree) { proto_item *ti = NULL; ti = proto_tree_add_item(tree, proto_foo, tvb, 0, -1, FALSE); } }

ここで、 proto_tree_add_item（）を呼び出してツリーにブランチを追加しました。このスレッドには、 fooプロトコルに関するすべての詳細が含まれます。また、プロトコルが使用するパケットのデータ領域をマークします。私たちの場合、これはUDPパケットのデータを超える領域全体です。これは、プロトコルに別のプロトコルが含まれる場合を考慮しないためです。

proto_tree_add_item（）関数のパラメーター：

tree-パッケージに関する情報のツリー全体
proto_foo-プロトコルの識別子
tvb-データブロック（プロトコルによって送信されるデータ）
0 - tvbブロック内のデータがどの位置からfooプロトコルのデータであるかを示します
-1-プロトコルが占有するバイト数（「-1」は「データブロックの終わりまで」を意味する）
FALSE-バイト順を示します（TRUE-バイトがネットワーク順に配置されている場合）。

これらの変更後、Wiresharkはプロトコルのスコープの開始位置と終了位置の決定を開始し、「FOOプロトコル」としてマークします。

次のステップは、詳細を追加することです。このステップでは、復号化に役立ついくつかの配列と追加の関数呼び出しを作成する必要があります。変更は、前に示したproto_register_foo（）関数の本体に影響します。

proto_register_foo（）の先頭に2つの静的配列を追加します。次に、 proto_register_protocol（）関数を呼び出した後にこれらの配列を登録します。

 void proto_register_foo(void) { static hf_register_info hf[] = { { &hf_foo_hdr_version, { "FOO Header Version", "foo.hdr.version", FT_UINT8, BASE_DEC, NULL, 0x0, NULL, HFILL } }, { &hf_foo_hdr_type, { "FOO Header Type", "foo.hdr.type", FT_UINT8, BASE_DEC, NULL, 0x0, NULL, HFILL } } }; static gint *ett[] = { &ett_foo }; proto_foo = proto_register_protocol ( "FOO Protocol", "FOO", "foo" ); proto_register_field_array(proto_foo, hf, array_length(hf)); proto_register_subtree_array(ett, array_length(ett)); }

そして、グローバル変数proto_fooの宣言の直後に、さらに3つの宣言を追加します。

 static gint ett_foo = -1; static int hf_foo_hdr_version = -1; static int hf_foo_hdr_type = -1;

次に、プロトコルの表示を改善します。

 if (tree) { proto_item *ti = NULL; proto_tree *foo_tree = NULL; ti = proto_tree_add_item(tree, proto_foo, tvb, 0, -1, FALSE); foo_tree = proto_item_add_subtree(ti, ett_foo); proto_tree_add_item(foo_tree, hf_foo_hdr_version, tvb, 0, 1, FALSE); proto_tree_add_item(foo_tree, hf_foo_hdr_type, tvb, 1, 1, FALSE); }

プロトコルに関するWiresharkの知識は、現在さらに詳細になっています。これまでのところ、fooプロトコルの最初の2バイトのみを認識しており、これらはそれぞれプロトコルバージョンとパケットタイプを担当しています。

proto_item_add_subtree（）関数の呼び出しは、到着したパケット全体に関する情報のツリーに、fooプロトコルに関する詳細を含む追加のブランチ（ foo_tree ）を追加しました。 foo_treeでは 、プロトコルを詳細に説明します。

ett_foo変数は、Wiresharkプログラムの出力のプロトコル情報ツリーの「拡張」を制御します。この変数は、パケットを移動するときにプロトコルを展開する必要があるかどうかを記憶します。

proto_tree_add_item（）は 、今回はhf_foo_hdr_version変数を使用して、目的の形式で値を出力します。 hdr_version-位置0から始まるtvbからの1バイト。hdr_type-位置1から始まるtvbからの1バイト

静的配列のhf_foo_hdr_version宣言を見ると、詳細なフィールドが表示されます。

hf_foo_hdr_version-ブランチインデックス
FOOヘッダーバージョン -フィールドの命名
foo.hdr.versionはパッケージのフィルタリングに使用される行です（このタイプの行はフィルターフィールドにあります）
FT_UNIT8 - tvbデータブロックから読み取る要素のタイプとサイズを示します。この場合、「プロトコルバージョン」フィールドが符号なし整数型の1バイトであることを示します。（他の可能なタイプは、 wireshark / epan / ftypes / ftypes.hにあります ）
BASE_DEC-数値型の場合、数値を出力するシステムを示します。（BASE_HEXまたはBASE_OCTにすることもできます。非数値型の場合は、BASE_NONEを使用します。）

残りの使用方法-以下を参照してください。

これで、プラグインを再度ビルドし、Wiresharkと一緒に実行できます。 Wiresharkの出力がより適切になったことがわかります。

さて、fooプロトコルのデコードに関する作業を終了しましょう。これを行うには、さらにいくつかのグローバル変数を宣言し、いくつかの追加の呼び出しを行う必要があります。

 ... static int hf_foo_hdr_flags = -1; static int hf_foo_hdr_bool = -1; static int hf_foo_pl_len = -1; static int hf_foo_payload = -1; ... void proto_register_foo(void) { ... { &hf_foo_hdr_flags, { "FOO Header Flags", "foo.hdr.flags", FT_UINT8, BASE_HEX, NULL, 0x0, NULL, HFILL } }, { &hf_foo_hdr_bool, { "FOO Header Boolean", "foo.hdr.bool", FT_BOOLEAN, BASE_NONE, NULL, 0x0, NULL, HFILL } }, { &hf_foo_pl_len, { "FOO Payload Length", "foo.pl_len", FT_UINT8, BASE_DEC, NULL, 0x0, NULL, HFILL } }, { &hf_foo_payload, { "FOO Payload", "foo.payload", FT_STRING, BASE_NONE, NULL, 0x0, NULL, HFILL } } ... } static void dissect_foo(tvbuff_t *tvb, packet_info *pinfo, proto_tree *tree) { ... if (tree) { gint offset = 0; proto_item *ti = NULL; proto_tree *foo_tree = NULL; ti = proto_tree_add_item(tree, proto_foo, tvb, 0, -1, FALSE); foo_tree = proto_item_add_subtree(ti, ett_foo); proto_tree_add_item(foo_tree, hf_foo_hdr_version, tvb, offset, 1, FALSE); offset += 1; proto_tree_add_item(foo_tree, hf_foo_hdr_type, tvb, offset, 1, FALSE); offset += 1; proto_tree_add_item(foo_tree, hf_foo_hdr_flags, tvb, offset, 1, FALSE); offset += 1; proto_tree_add_item(foo_tree, hf_foo_hdr_bool, tvb, offset, 1, FALSE); offset += 1; proto_tree_add_item(foo_tree, hf_foo_pl_len, tvb, offset, 4, TRUE); offset += 4; proto_tree_add_item(foo_tree, hf_foo_payload, tvb, offset, -1, FALSE); } }

したがって、発明したプロトコルのすべてのビットを解読しました。

復号化中に使用したさまざまなタイプの要素、FT_BOOLEAN、FT_STRING、およびFT_UINT8を確認できます。また、非数値要素の場合は、BASE_NONEが使用されました。

これで、Wiresharkはプロトコルについてかなり良い考えを持っています。そして、このステップでそのような詳細が常に十分であれば停止することができます。 フラグフィールドはまだあり、ビット単位で手動で展開する必要があります。また、プロトコルのバージョンが不明な場合、結論を信頼することは可能ですか？まあ、そして最も重要なポイント- ペイロードフィールドなしでpl_len値がゼロでパケットが到着した場合、ディセクタは例外をスローします。そのため、プラグインを改善する場所があります。続けましょう...

出力にパーツを追加する

完璧に制限はありません！私たちの場合です。まず、到着したパッケージのバージョンとタイプに名前を付けることから始めましょう。これにより、パッケージを表示するときに情報をはるかに速く認識できるようになります。これを行うには、2つの配列が必要です。

 static const value_string packetversions[] = { { 1, "Version 1" }, { 0, NULL } }; static const value_string packettypes[] = { { 1, "Ping request" }, { 2, "Ping acknowledgment" }, { 3, "Print payload" }, { 0, NULL } };

配列の依存関係は非常に単純です-「値、値の名前」。したがって、パッケージを表示するとき、パッケージの型番号は表示されず、その意味を覚えていませんが、すぐに型の説明が表示されます。これらの配列にアクセスするには、Wireshark自身が提供するVALSマクロを使用します。

  { &hf_foo_hdr_version, { "FOO Header Version", "foo.hdr.version", FT_UINT8, BASE_DEC, VALS(packetversions), 0x0, NULL, HFILL } }, { &hf_foo_hdr_type, { "FOO Header Type", "foo.hdr.type", FT_UINT8, BASE_DEC, VALS(packettypes), 0x0, NULL, HFILL } }

パッケージのバージョンとタイプを決定しました。次に、フラグについて詳しく説明します。

 #define FOO_FIRST_FLAG 0x01 #define FOO_SECOND_FLAG 0x02 #define FOO_ONEMORE_FLAG 0x04 static int hf_foo_flags_first = -1; static int hf_foo_flags_second = -1; static int hf_foo_flags_onemore = -1; void proto_register_foo(void) { ... { &hf_foo_flags_first, { "FOO first flag", "foo.hdr.flags.first", FT_BOOLEAN, FT_INT8, NULL, FOO_FIRST_FLAG, NULL, HFILL } }, { &hf_foo_flags_second, { "FOO second flag", "foo.hdr.flags.second", FT_BOOLEAN, FT_INT8, NULL, FOO_SECOND_FLAG, NULL, HFILL } }, { &hf_foo_flags_onemore, { "FOO onemore flag", "foo.hdr.flags.onemore", FT_BOOLEAN, FT_INT8, NULL, FOO_ONEMORE_FLAG, NULL, HFILL } } ... } static void dissect_foo(tvbuff_t *tvb, packet_info *pinfo, proto_tree *tree) { ... proto_tree_add_item(foo_tree, hf_foo_hdr_flags, tvb, offset, 1, FALSE); proto_tree_add_item(foo_tree, hf_foo_flags_first, tvb, offset, 1, FALSE); proto_tree_add_item(foo_tree, hf_foo_flags_second, tvb, offset, 1, FALSE); proto_tree_add_item(foo_tree, hf_foo_flags_onemore, tvb, offset, 1, FALSE); offset += 1; ... }

フラグは値が「1」または「0」の1ビットの情報であるため、タイプFT_BOOLEANを使用します。また、6番目のパラメーター（FOO_FIRST_FLAG、FOO_SECOND_FLAG、FOO_ONEMORE_FLAG）を使用して各フラグのマスクを設定し、バイトのどのビットを解釈するかを決定します。すべてのフラグに同じオフセット変数を使用していることに注意してください。

結論は、はるかに読みやすくなりました。しかし、停止することはなく、さらに有益なものにします。注：Wiresharkでは、パッケージを「FOOプロトコル」と呼びます。プロトコルの登録時にこの名前を設定します。 Wiresharkは、この名前に追加情報を追加する機能を提供します。このフィールドには、プロトコルのタイプに関する情報が表示されます。これを行うには、 tvb_get_guint8（） ²を使用して型の値を取得する必要があります。結果の値は、プロトコル名の直後と[ 情報 ]列の2つの場所に表示されます。

 static void dissect_foo(tvbuff_t *tvb, packet_info *pinfo, proto_tree *tree) { guint8 packet_version = tvb_get_guint8(tvb, 0); guint8 packet_type = tvb_get_guint8(tvb, 1); guint32 packet_pl_len = 0; col_set_str(pinfo->cinfo, COL_PROTOCOL, "FOO"); col_clear(pinfo->cinfo, COL_INFO); if (tree) { gint offset = 0; proto_item *ti = NULL; proto_tree *foo_tree = NULL; ti = proto_tree_add_item(tree, proto_foo, tvb, 0, -1, FALSE); foo_tree = proto_item_add_subtree(ti, ett_foo); proto_tree_add_item(foo_tree, hf_foo_hdr_version, tvb, offset, 1, FALSE); offset += 1; switch ( packet_version ) { case 1: col_add_fstr(pinfo->cinfo, COL_INFO, "Type: %s", val_to_str(packet_type, packettypes, "Unknown (0x%02x)")); proto_item_append_text(ti, ", Type: %s", val_to_str(packet_type, packettypes, "Unknown (0x%02x)")); proto_tree_add_item(foo_tree, hf_foo_hdr_type, tvb, offset, 1, FALSE); offset += 1; proto_tree_add_item(foo_tree, hf_foo_hdr_flags, tvb, offset, 1, FALSE); proto_tree_add_item(foo_tree, hf_foo_flags_first, tvb, offset, 1, FALSE); proto_tree_add_item(foo_tree, hf_foo_flags_second, tvb, offset, 1, FALSE); proto_tree_add_item(foo_tree, hf_foo_flags_onemore, tvb, offset, 1, FALSE); offset += 1; proto_tree_add_item(foo_tree, hf_foo_hdr_bool, tvb, offset, 1, FALSE); offset += 1; proto_tree_add_item(foo_tree, hf_foo_pl_len, tvb, offset, 4, TRUE); packet_pl_len = tvb_get_ntohl(tvb, offset); offset += 4; if ( packet_pl_len ) proto_tree_add_item(foo_tree, hf_foo_payload, tvb, offset, -1, FALSE); break; default: col_add_fstr(pinfo->cinfo, COL_INFO, "Unknown version of Foo protocol (0x%02x)", packet_version); } } }

取得した値をマクロval_to_str（）に渡し、渡された値の説明文字列、または説明が見つからない場合は指定した文字列を返します。

また、例外がスローされた場合の不適切なペイロード処理に関するエラーも修正しました。

さらに、異なるバージョンのプロトコルに分岐を追加しました。

追加

Fooプロトコルのワーキングディセクタの例

tvb_get_guint8（）

tvb_get_guint8（）関数に加えて、 wireshark / epan / tvbuff.hというファイルに説明が記載されているものがいくつかあります。

fooパケットをポート35000に送信するプログラムのリスト*

 #include <arpa/inet.h> #include <stdio.h> #include <stdlib.h> #include <string.h> #include <fcntl.h> #define FOO_PORT 35000 #define BUFFER_SIZE 210 struct _message { unsigned char pck_version; // = argv[1] unsigned char pck_type; // = 1 | 3 unsigned char pck_flags; // = rand unsigned char pck_boolean; // = rand unsigned int pck_payload_len; // = strlen(argv[2]) }; int main(int argc, char ** argv) { if ( argc != 3 ) { printf("Usage: %s <version> <ping|\"text\">\n", argv[0]); return 1; } struct sockaddr_in cli_addr; int s, cli_len = sizeof(cli_addr); char buf[BUFFER_SIZE]; struct _message msg; msg.pck_version = atoi(argv[1]); msg.pck_payload_len = 0; unsigned int randomData = open("/dev/urandom", O_RDONLY); unsigned int myRandomInteger; read(randomData, &myRandomInteger, sizeof(myRandomInteger)); msg.pck_flags |= myRandomInteger%8; read(randomData, &myRandomInteger, sizeof(myRandomInteger)); msg.pck_boolean = myRandomInteger%2; close(randomData); if ( (s=socket(AF_INET, SOCK_DGRAM, IPPROTO_UDP)) == -1 ) { perror("socket"); exit(1); } memset((char*)&cli_addr, 0, sizeof(cli_addr)); cli_addr.sin_family = AF_INET; cli_addr.sin_port = htons(FOO_PORT); cli_addr.sin_addr.s_addr = htonl(INADDR_LOOPBACK); memset(buf, 0, BUFFER_SIZE); if ( ! strcmp(argv[2], "ping") ) { msg.pck_type = 1; } else { msg.pck_type = 3; msg.pck_payload_len = (strlen(argv[2])<200)?strlen(argv[2]):200; strncpy(buf+sizeof(struct _message), argv[2], (strlen(argv[2])<200)?strlen(argv[2]):199); } memcpy(buf, (char*)&msg, sizeof(struct _message)); if ( sendto(s, buf, sizeof(struct _message)+msg.pck_payload_len, 0, (struct sockaddr*)&cli_addr, cli_len) == -1 ) { perror("sendto"); exit(1); } exit(0); }

  *愚か者から保護されていないプログラム

Wiresharkのディセクタプラグインの作成

解剖 -緯度解剖、解剖から、解剖

Fooプロトコル

環境設定

フレーム

packet-foo.c

プラグインアセンブリ

試運転

ワーキングディセクター

出力にパーツを追加する

追加

Fooプロトコルのワーキングディセクタの例

tvb_get_guint8（）

アーカイブ

fooパケットをポート35000に送信するプログラムのリスト*

More articles:

Wiresharkのディセクタプラグインの作成

解剖 -緯度 解剖、解剖から、解剖

Fooプロトコル

環境設定

フレーム

packet-foo.c

プラグインアセンブリ

試運転

ワーキングディセクター

出力にパーツを追加する

追加

Fooプロトコルのワーキングディセクタの例

tvb_get_guint8（）

アーカイブ

fooパケットをポート35000に送信するプログラムのリスト*

More articles:

解剖 -緯度解剖、解剖から、解剖