Wireshark分析私有网络协议的方法

协议分析

使用WireShark分析私有网络协议的难度很高，具体方法可以参考以下链接：

• 一次私有协议的流量分析
• 私有协议的解密游戏：从秘文到明文

WireShark使用方法

请参考wireshark抓包新手使用教程。

协议分析插件开发

请参考以下链接：

• Wireshark录取自定义报文的方法
• 实战编写 wireshark 插件解析私有协议
• Wireshark C 插件开发之插件框架
• wireshark插件开发 - 自定义协议

注意事项：

• 一个端口只能绑定一个协议解析器，不管改端口下有多少中报文格式
• 解析树的TreeItem添加协议字段时，应使用TvbRange数据类型，否则对应hex数据无法高亮显示，示例如下：

local t = tree:add( proto_foo, buf() )
t:add_le( proto_foo.fields.bytes, buf(0,4) )
# 实现日期字段的显示
t:add_le( proto_foo.fields.string, buf(0,8), datetime)

数据包回放

wireshark以pcap格式保存抓取的流量。pcap的具体格式请参考Wireshark文件pcap的格式详细解析有实例（Global Header、Packet Header）

可使用tcpreplay、scap、xcap、netassisnt等工具回放pcap文件。

参考链接

1. wireshark抓包新手使用教程,by Beng Dou.
2. 一次私有协议的流量分析,by 聚铭网络.
3. 私有协议的解密游戏：从秘文到明文,by Smoke0901.
4. Wireshark文件pcap的格式详细解析有实例（Global Header、Packet Header）,by Hollake.
5. 实战编写 wireshark 插件解析私有协议,by 信安之路.
6. Wireshark C 插件开发之插件框架,by 大川搬砖.
7. Tcpreplay安装和使用,by lanyou1900.
8. tcpreplay 快速入门使用,by CAPTIAN船长.
9. pcap回放——tcpreplay,by zhuxian2009.
10. Pcap,by wikipedia.
11. 两款造包工具，科来和xcap,by 周中山.
12. 报文回放工具：xcap的使用方法,by 荭知.
13. wireshark插件开发 - 自定义协议,by m0w3n.
14. Wireshark录取自定义报文的方法,by 卓_然.
15. Adding Information To The Dissection Tree,by wireshark.