Skip to content

协议分析

域名:protocol-analysis

自定义协议分析域,支持协议模式定义、自动字段检测、状态机推断和可视化。

Profile

  • full

典型场景

  • 自定义协议模式定义
  • 从十六进制载荷自动检测字段边界
  • 从捕获消息推断协议状态机
  • 生成 Mermaid 状态图

常见组合

  • network + protocol-analysis
  • encoding + protocol-analysis

工具清单(20)

工具说明
proto_define_pattern用分隔符、字节序和字段布局定义协议模式。
proto_auto_detect从一个或多个十六进制负载样本自动检测协议模式。
proto_infer_fields从重复的十六进制负载样本推断可能的协议字段。
proto_infer_state_machine从捕获的消息序列推断协议状态机。
proto_export_schema将协议模式导出为类 .proto 的 schema 定义。
proto_visualize_state从协议状态机定义生成 Mermaid 状态图。
payload_template_build从声明式字段定义构建二进制载荷。支持原始数值字段、原始字节和 UTF-8 字符串。
payload_mutate对十六进制载荷应用确定性字节级变异。用于协议探测、边界测试和重放准备。
ethernet_frame_build从源/目标 MAC 地址、EtherType 和载荷字节构建确定性 Ethernet II 帧。
arp_build构建用于 Ethernet/IPv4 地址解析的确定性 ARP 载荷。
raw_ip_packet_build在现有载荷外构建确定性原始 IPv4 或 IPv6 包头。IPv4 头部校验和自动计算。
icmp_echo_build构建确定性 ICMPv4 回显请求或应答载荷,校验和自动计算。
checksum_apply对载荷切片应用确定性 16 位互联网校验和,可选清零并将校验和字段写回数据包。
pcap_write从确定性数据包字节记录写入紧凑的经典 PCAP 文件。
pcap_read读取经典 PCAP 文件并返回紧凑的确定性数据包摘要。不支持 PCAPNG 格式。
pcapng_write从一个或多个网络接口和确定性数据包字节记录写入 PCAPNG(pcap-ng)抓包文件。生成 Section Header Block、每个接口的 Interface Description Block 和每个数据包的 Enhanced Packet Block。
pcapng_read读取 PCAPNG(pcap-ng)抓包文件并返回结构化的 Section/Interface/Packet 块。支持 Section Header、Interface Description、Enhanced/Simple Packet、Name Resolution 和 Interface Statistics 块;未知块类型以警告形式呈现。
proto_dissect_dns将原始 DNS 载荷(RFC 1035 + EDNS(0))解析为头部标志、问题、回答、授权和附加段,完整支持压缩指针处理和 OPT 伪记录解码。
proto_dissect_http将原始 HTTP/1.x 请求或响应载荷(RFC 7230)解析为起始行、头部和正文。展开 chunked 传输编码,报告 Content-Length / Content-Type / Content-Encoding 提示。
proto_fingerprint从 hex 载荷样本识别协议类型(TLS、HTTP、DNS、WebSocket、SSH)。

Released under AGPL-3.0-only