使用 Wireshark 分析 gRPC 消息
Wireshark 是一款开源网络协议分析器,可用于协议开发、网络故障排除和教育。Wireshark 允许你分析通过网络传输的 gRPC 消息,并了解这些消息的二进制格式。
本文将介绍如何配置和使用 Wireshark gRPC 解剖器(dissector) 和 Protocol Buffers (Protobuf) 解剖器,这些是协议特定的组件,允许你使用 Wireshark 分析 gRPC 消息。
特性
gRPC 和 Protobuf 解剖器的主要功能如下:
支持解剖(解码)以 protocol buffer wire format 或 JSON 序列化的 gRPC 消息
支持解剖一元(unary)、服务器流(server streaming)、客户端流(client streaming)和双向流(bidirectional streaming)RPC 调用的 gRPC 消息
通过以下方式增强对序列化 protocol buffers 数据的解剖:
- 加载相关的
.proto文件 - 为类型为
byte或string的 protocol buffer 字段注册自己的子解剖器
- 加载相关的
捕获 gRPC 流量
本文重点介绍对已捕获 gRPC 消息的分析。要了解如何将网络流量存储在*捕获文件*中,请参阅 《Wireshark 用户指南》中的 捕获实时网络数据。
注意
目前,Wireshark 只能解析**纯文本** gRPC 消息。虽然 Wireshark 支持 TLS 解剖,但这需要每个会话的密钥。截至撰写本文时,只有 Go gRPC 支持导出此类密钥。要了解如何使用 Go gRPC 导出密钥(以及在其他语言支持可用时),请参阅 如何导出 gRPC 的 TLS 主密钥。示例
让我们看看分析以前捕获的消息所需的设置,这些消息由 Protocol Buffers 教程中使用的*地址簿*应用程序稍作扩展的版本生成。
地址簿 .proto 文件
应用程序的主要协议文件是 addressbook.proto
syntax = "proto3";
package tutorial;
import "google/protobuf/timestamp.proto";
message Person {
string name = 1;
int32 id = 2; // Unique ID number for this person.
string email = 3;
enum PhoneType {
MOBILE = 0;
HOME = 1;
WORK = 2;
}
message PhoneNumber {
string number = 1;
PhoneType type = 2;
}
repeated PhoneNumber phone = 4;
google.protobuf.Timestamp last_updated = 5;
bytes portrait_image = 6;
}
message AddressBook {
repeated Person people = 1;
}
该文件与 Protocol Buffers 教程版本相同,但额外添加了 portrait_image 字段。
注意文件顶部的 import 语句,它用于导入 Timestamp,这是许多 Protocol Buffers Well-Known Types(知名类型)之一。
我们的应用程序变体还定义了一个*人员搜索*服务,可用于根据选定的 Person 属性搜索地址簿条目。该服务在 person_search_service.proto 中定义。
syntax = "proto3";
package tutorial;
import "addressbook.proto";
message PersonSearchRequest {
repeated string name = 1;
repeated int32 id = 2;
repeated string phoneNumber = 3;
}
service PersonSearchService {
rpc Search (PersonSearchRequest) returns (stream Person) {}
}
由于该服务使用了 addressbook.proto 中定义的 Person 类型,因此在该文件开头导入了地址簿 .proto 文件。
设置 protobuf 搜索路径
Wireshark 在知道你正在分析的应用程序使用的 .proto 文件时,可以提供最有意义的解码。
你可以通过在 Edit 菜单下的 Preferences > Protocols > Protobuf 中访问的首选项里设置 Protobuf Search Paths 来告诉 Wireshark 哪里可以找到 .proto 文件。
如果我们的示例应用程序的 .proto 文件位于 d:/protos/my_proto_files 目录中,并且官方 Protobuf 库目录是 d:/protos/protobuf-3.4.1/include,则将这两个路径添加为*源目录*,如下所示:
通过为应用程序的协议目录选择 Load all files 选项,你可以预加载 addressbook.proto 和 person_search_service.proto 文件中的消息定义。
加载捕获文件
从 Wireshark SampleCaptures 页面下载运行应用程序并发出搜索请求生成的以下示例 gRPC 捕获文件:grpc_person_search_protobuf_with_image.pcapng。
从 File 菜单中选择 Open 以在 Wireshark 中加载捕获文件。Wireshark 会按顺序在窗口顶部的 **Packet-list pane** 中显示捕获文件中的所有网络流量。
从数据包列表窗格中选择一个条目,Wireshark 将对其进行解码并在下面的窗格中显示其详细信息,如下所示:
从详细信息窗格中选择一个条目,即可查看与该条目对应的字节序列。
设置端口流量类型
应用程序的服务端端口是 50051。客户端端口对于每次 RPC 调用都不同,在示例捕获文件中是 51035。
你需要告诉 Wireshark 这些端口正在传输 HTTP2 流量。可以通过 Decode As 对话框进行设置,该对话框可以通过 Analyze 菜单(或在数据包列表窗格中的条目上右键单击)访问。你只需要注册服务端端口:
查看数据包列表窗格,你会看到 Wireshark 现在正在解码 HTTP2 和 gRPC 消息:
解码搜索请求消息
选择发送到端口 50051 的第一个 gRPC 消息,它对应于示例的服务请求消息。Wireshark 对 gRPC 请求的解剖如下:
通过检查 HTTP2 消息头部的 path 字段,你会看到应用程序服务的 URL (/tutorial.PersonSearchService),后跟调用的 RPC 名称 (Search)。
由 gRPC 库设置的 content-type 通知 Wireshark 该 HTTP2 消息内容是 gRPC 消息。通过检查示例 gRPC 请求的已解码 Protocol Buffers 消息,你可以看到搜索请求是针对姓名“Jason”和“Lily”的。
解码服务器流式响应
由于 Search RPC 响应是服务器流,因此 Person 对象可以一个接一个地返回给客户端。
选择响应流中返回的第二个 Person 消息以查看其详细信息:
通过注册子解剖器,你可以让 Wireshark 进一步解码 byte 或 string 类型的字段。例如,要了解如何为 portrait_image 字段注册 PNG 解码器,请参阅 Protobuf 字段子解剖器。
gRPC 和 Protocol Buffers 支持历史
以下是 Wireshark 版本与其对 gRPC 和 Protocol Buffers 支持相关的简要列表(带注释):
- v2.6.0: gRPC 和 Protobuf 解剖器首次发布,不支持
.proto文件或流式 RPC。 - v3.2.0: 基于
.proto文件改进了对序列化 protocol buffers 数据的解剖,并支持流式 RPC。 - v3.3.0: 改进并增强了
.proto文件支持,例如根据 protocol buffer 字段值在捕获文件中进行搜索。 - v3.4.0: Protocol Buffers Timestamp 时间显示为本地日期时间字符串。
了解更多
有兴趣了解更多吗?从 《Wireshark 用户指南》开始。有关本文示例的更多详细信息以及包含 gRPC 消息的其他示例捕获文件,请参阅 gRPC 解剖器和 Protocol Buffers 解剖器的 wiki 页面。