本文将通过一些示例介绍如何使用wireshark插件修改 PCAP 报文中的数据内容,具体包括增加一片报文中协议层,删除整个文件中多余的报文,为整个文件增加一些必要的报文片等,作为我的专栏《wireshark从入门到精通》中的一篇。
在抓包不是很方便的情况下,需要去构造或者修改一些特定格式的报文用以数据的测试。当然wireshark中手动方式也是可以修改报文的,在本专栏的前述文章也有提及。但是突出的问题就是效率非常的低下,如果要求修改1000个报文的话,相信你并不会使用手动的方式,那么本文的插件方式应该会帮到你。
场景一
通常抓包获取的报文中TCP上层的HTTP层只有一层,现在要求构造一个特殊的测试报文,使得应用层包含两个HTTP层的报文头,如图1:
图1
其实整体的思路并不复杂,即在一个HTTP报文中,将HTTP的头部复制一份,插入到HTTP报文头和body之间即可,实现代码如下:
local getTcpStream = Field.new("tcp.stream")
local getSrcIp = Field.new("ip.src")
local getDstIp = Field.new("ip.dst")
local getSrcPort = Field.new("tcp.srcport")
local getDstPort = Field.new("tcp.dstport")
local getIpVersion = Field.new("ip.version")
local getIpLen = Field.new("ip.len")
local getArrival