Вивисекция пакетов. Типы данных и выбиратор.

Чтобы Wireshark понял, что нужно показывать и из чего пакет состоит, надо указать ему размер и тип всех полей данных. Размер - чтобы всё бралось с нужных мест и в нужном порядке, а тип - чтобы программа знала, как данные показать и что там записано. Для особо сложных случаев можно сделать свои правила отображения и пересчёта в человекопонятные величины.

Посмотрим на типы данных:
intX — число со знаком, X бит;
uintX — число без знака, X бит;
boolX — логическое значение (0 - ложь, остальное — истина), X бит;
enumX — перечисление, X бит;
bitfieldX — битовое поле, Х бит;
struct — структура со вложенными полями.

читать дальшеВ пакетах и структурах размеры данных, а также размеры битовых полей и перечислений должны быть кратны 8 битам: int8, bool16, uint32, enum8...
В битовых масках размеры могут быть какими угодно: bool3, uint2, enum5 ...

Битовые поля служат для деления байта/слова и т.д. на более мелкие части, если такое требуется.

Рассмотрим по очереди перечисления, структуры и битовые поля:
1. Перечисления.
По сути это то же самое, что и перечисления в Си — последовательность символов ассоциируется с некоторым числом. Размер поля, которое занимает перечисление, указывается сразу: enum1, enum2, enum8, enum32...
enum8 T_nya_command { KISKIS 0x00 JRATIDI 0x01 NYA 0x10 MURMUR 0x11 PSHH 0xFF }

Обращаться к элементам перечисления надо с использованием названия типа: T_nya_command::KISKIS и т.д, иначе вас не поймут.

2. Структуры.
Все размеры полей структур должны быть кратны 8 битам. Порядок байт в полях, чей размер больше байта, определяется параметром, указываемым в начале структуры:
byte_order little_endian;
или
byte_order big_endian;

Дальше идут сами поля в определённом протоколе порядке:
struct T_packet_header_type { byte_order little_endian; uint8 start_code; T_nya_command command; uint16 length; }

Выглядит эта структура примерно так в wireshark:


Полям можно указывать способ форматирования чисел, задавать строку форматирования вывода или заменять целиком (правда, при этом не будет подсветки положения поля в hex-просмотрщике.
Например, чтоб показать hex:
uint16{d=hex} length; # Будет length: 0x1 (1)
Или, более гибко:
uint16{d=0x%04x} length; # Будет length: 0x0001 (1)

В принципе, любое поле можно скрыть и вывести текстом с описанием, выделением цветом и как угодно. Из минусов — нельзя по нему будет фильтровать и нет подсветки поля в просмотрщике байт
hide uint16 length; print ("Length of the data in packet: %u", length); # Будет Length of the data in packet: 1

Вместо print можно использовать chat (светло-фиолетовый фон), note (голубой фон), warning (жёлтый фон), error (красный фон). Главное, не забывать пробел перед скобочкой. Ну и помнить, что это употребляется в связи со всякими ошибками и лажей.
Там же можно использовать условные выражения для вывода:
if (length == 0) # пробел и тут перед скобочкой нужен { error length; } else { print ("length: %d", length); }

Для простых условий может хватить и внутристрочного условия:
hide bool8 state; print ("state: %s", (state) ? "on" : "off");

Для сложных расчётов и хитрого форматирования можно использовать даже функции.

Все структуры сворачиваются в одну строчку. И к ней тоже можно прицепить краткое описание. Например, IP:
struct T_IP_Address print (": %d:%d:%d:%d", Data[0], Data[1], Data[2], Data[3]) { uint8[4] Data; }

Или МАС:
struct T_MAC_Address print (": %02x:%02x:%02x:%02x:%02x:%02x", Data[0], Data[1], Data[2], Data[3], Data[4], Data[5]) { uint8[6] Data; }
И эта отформатированная строчка напишется рядом с названием поля, которое представлено структурой:


3. Битовые поля.
Битовое поле — это такая структура, работающая в пределах нескольких байт, где размеры элементов могут быть какими угодно:
bitfield8 Flags { bool1 on; bool1 dmx; uint6 channel; }
Размер всех полей в сумме должен быть равен размеру всего битового поля.
К слову, если числа бывают какие угодно, то bool ограничены в размерах: 1, 8, 16, 32 бит. bool2 не бывает.

Процесс разбора происходит в несколько этапов, часть из которых от нас не зависят:
1. После приёма пакета проверяются фильтры на пакет, которые указаны в файле wsgd (например, номер порта).
2. Если всё ок, то данные пакета накладываются на структуру, указанную в параметре MSG_HEADER_TYPE и у ряда переменных появляются вполне определённые значения. В нашем случае интересует только поле command;
3. Содержимое поля подставляется в конструкцию выбора switch, указанную в параметре MSG_MAIN_TYPE;
4. Тип пакета, который соответстует данному значению команды, и указан в выбираторе, и будет использован для отображения:
switch T_packet_switch T_nya_command { case T_nya_command::KISKIS : T_nya_KISKIS_request "" ; case T_nya_command::JRATIDI : T_nya_JRATIDI_request "" ; case T_nya_command::NYA : T_nya_NYA_response "" ; case T_nya_command::MURMUR : T_nya_MURMUR_response "" ; case T_nya_command::PSHH : T_nya_PSHH_response "" ; }
Вместо кавычек "" можно написать любой идентификатор, тогда все поля структуры будут во вкладке с этим же названием:
case T_nya_command::JRATIDI : T_nya_JRATIDI_request JRATIDI;

структуры можно вкладывать друг в друга, причём даже не объявляя отдельно:
struct A { struct { uint32[4] Mimimi; } B; }

Размер массива указывается около типа. Их лучше оборачивать в структурки, потому что каждому элементу соответствует отдельная строка вывода. И если их много, то получится простыня. Лучше такое прятать.

1. Введение;
2. Пример;
3. Типы данных и выбиратор.
...