如何将 Wireshark Lua 解析器脚本移植到 Mac OSX？答案

【问题标题】：How to port a Wireshark Lua dissector Script to Mac OSX?如何将 Wireshark Lua 解析器脚本移植到 Mac OSX？
【发布时间】：2017-04-24 21:51:39
【问题描述】：

是否需要为wireshark 配置任何初始设置才能在Mac OSX 环境中正确处理lua 脚本？

尝试移植 Lua 对问题“如何找出数据包的 HTTP 标头长度？”的回答。 https://stackoverflow.com/a/5794357/1217670

无法让解决方案在 Mac 上运行。

该解决方案在带有 Wireshark 1.6.7、Lua 5.1 的 Windows XP 平台上运行良好。

在带有 Wireshark 1.6.5、Lua 5.1 的 Mac OSX 10.7.3 上运行 http_extra.lua 脚本。 [Header Length (bytes): 917] 头域没有出现。
我确实在自定义 HTTP 标头字段中输入了 http.hdr_len。

过滤 http.hdr_len 不显示任何内容。

http_extra.lua 脚本放在 /Applications/Wireshark.app/Contents/Resources/lib/wireshark/plugins 目录。
如果将脚本移动到个人插件文件夹，结果相同。

这是在 Windows XP 系统上完美运行的确切脚本文件。

关于 Wireshark 插件选项卡将 http_extra.lua 列为类型 lua 脚本。

测试脚本以创建错误可验证wireshark 知道该脚本。

我确实看到了您需要将 LUA_PATH 设置为全局插件目录的注释。这没有效果。

感谢任何建议。

【问题讨论】：

【解决方案1】：

您在 OSX 上的个人 Wireshark 插件目录是：

~/.config/wireshark/plugins

对于较旧的 Wireshark 版本，它可能是：

~/.wireshark/plugins

在您的情况下，将 Lua 脚本放入：

~/.config/wireshark/plugins/http_extra.lua

有关 Lua 初始化路径的更多信息，请参阅这些帖子：

【讨论】：

我刚试过这个，结果一样。我刚刚注意到的一件事，wireshark 过滤器表达式框中的字段名称是：http.header.http.hdr_len - http.hdr_len(header length in bytes) ？ ?这是错的吗？需要重新检查配置。
如果显示过滤器文本框显示为红色（而不是绿色），则表示存在语法错误，其中包含无效字段。验证插件是否真正被加载：在 Lua 文件的顶部放置一个打印语句，从命令行重新启动 Wireshark，然后检查打印输出。
这导致过滤器表达式错误。 “我确实在自定义 HTTP 标头字段中输入了 http.hdr_len。”删除了自定义 http 字段条目，错误的值消失了。解析器设置此字段标题。
是的，这是首选项设置不正确。它们都需要启用。并且自定义过滤器必须为空。您的 cmets 让我根据工作窗口配置仔细检查配置。很明显我在某个地方犯了一个错误，因为你的 cmets 我认为我采取了正确的步骤。
如果有人在 2017 年寻找这个：路径已经改变。目前是~/.config/wireshark/plugins

【解决方案2】：

Wireshark - 首选项 - 协议 - HTTP 面板必须选中所有四个框：

Mac 环境现在与 Windows 配置匹配，并产生相同的结果，显示 [Header Length (bytes): 917]。

相同的结果，而不是您将插件放在全局或本地插件目录中。

Mac osx Lua 插件目录路径位置记录在关于 Wireshark 面板 - 文件夹选项卡中。

【讨论】：