source: lib/format_pcap.c @ 708f9ae

4.0.1-hotfixescachetimestampsdevelopdpdk-ndagetsilivegetfragoffhelplibtrace4ndag_formatpfringrc-4.0.1rc-4.0.2rc-4.0.3rc-4.0.4ringdecrementfixringperformanceringtimestampfixes
Last change on this file since 708f9ae was 708f9ae, checked in by Shane Alcock <salcock@…>, 15 years ago
  • Updated a number of formats to not set the libtrace error for config options they didn't understand. trace_config will attempt to set the option upon their return and should be trusted to set the error appropriately if it also fails.
  • Updated the synopt report to report percentages of option combos in SYNs and SYNACKs separately
  • Property mode set to 100644
File size: 17.2 KB
Line 
1/*
2 * This file is part of libtrace
3 *
4 * Copyright (c) 2007 The University of Waikato, Hamilton, New Zealand.
5 * Authors: Daniel Lawson
6 *          Perry Lorier
7 *         
8 * All rights reserved.
9 *
10 * This code has been developed by the University of Waikato WAND
11 * research group. For further information please see http://www.wand.net.nz/
12 *
13 * libtrace is free software; you can redistribute it and/or modify
14 * it under the terms of the GNU General Public License as published by
15 * the Free Software Foundation; either version 2 of the License, or
16 * (at your option) any later version.
17 *
18 * libtrace is distributed in the hope that it will be useful,
19 * but WITHOUT ANY WARRANTY; without even the implied warranty of
20 * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
21 * GNU General Public License for more details.
22 *
23 * You should have received a copy of the GNU General Public License
24 * along with libtrace; if not, write to the Free Software
25 * Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307  USA
26 *
27 * $Id$
28 *
29 */
30
31#include "common.h"
32#include "config.h"
33#include "libtrace.h"
34#include "libtrace_int.h"
35#include "format_helper.h"
36
37#include <sys/stat.h>
38#include <assert.h>
39#include <stdio.h>
40#include <stdlib.h>
41#include <string.h>
42#include <errno.h>
43
44#ifdef HAVE_PCAP_H
45#  include <pcap.h>
46#  ifdef HAVE_PCAP_INT_H
47#    include <pcap-int.h>
48#  endif
49#endif
50
51#ifdef HAVE_LIBPCAP
52static struct libtrace_format_t pcap;
53static struct libtrace_format_t pcapint;
54
55#define DATA(x) ((struct pcap_format_data_t*)((x)->format_data))
56#define DATAOUT(x) ((struct pcap_format_data_out_t*)((x)->format_data))
57
58#define INPUT DATA(libtrace)->input
59#define OUTPUT DATAOUT(libtrace)->output
60struct pcap_format_data_t {
61        /** Information about the current state of the input device */
62        union {
63                pcap_t *pcap;
64        } input;
65        int snaplen;
66        libtrace_filter_t *filter;
67        int promisc;
68};
69
70struct pcap_format_data_out_t {
71        union {
72                struct {
73                        pcap_t *pcap;
74                        pcap_dumper_t *dump;
75                } trace;
76
77        } output;
78};
79
80static int pcap_init_input(libtrace_t *libtrace) {
81        libtrace->format_data = malloc(sizeof(struct pcap_format_data_t));
82
83        INPUT.pcap = NULL;
84        DATA(libtrace)->filter = NULL;
85        DATA(libtrace)->snaplen = LIBTRACE_PACKET_BUFSIZE;
86        DATA(libtrace)->promisc = 0;
87
88        return 0;
89}
90
91static int pcap_start_input(libtrace_t *libtrace) {
92        char errbuf[PCAP_ERRBUF_SIZE];
93
94        /* if the file is already open */
95        if (INPUT.pcap)
96                return 0; /* success */
97
98        if ((INPUT.pcap = 
99                pcap_open_offline(libtrace->uridata,
100                        errbuf)) == NULL) {
101                trace_set_err(libtrace,TRACE_ERR_INIT_FAILED,"%s",
102                                errbuf);
103                return -1;
104        }
105        if (DATA(libtrace)->filter) {
106                pcap_compile(INPUT.pcap, &DATA(libtrace)->filter->filter,
107                                DATA(libtrace)->filter->filterstring, 1, 0);
108                if (pcap_setfilter(INPUT.pcap,&DATA(libtrace)->filter->filter) 
109                                == -1) {
110                        trace_set_err(libtrace,TRACE_ERR_INIT_FAILED,"%s",
111                                        pcap_geterr(INPUT.pcap));
112                        return -1;
113                }
114        }
115        return 0;
116}
117
118static int pcap_config_input(libtrace_t *libtrace,
119                trace_option_t option,
120                void *data)
121{
122        switch(option) {
123                case TRACE_OPTION_FILTER:
124                        DATA(libtrace)->filter=data;
125                        return 0;
126                case TRACE_OPTION_SNAPLEN:
127                        /* Snapping isn't supported directly, so fall thru
128                         * and let libtrace deal with it
129                         */
130                case TRACE_OPTION_PROMISC:
131                        /* can't do promisc on a trace! fall thru */
132                case TRACE_OPTION_META_FREQ:
133                        /* No meta data for this format */
134                case TRACE_OPTION_EVENT_REALTIME:
135                default:
136                        return -1;
137        }
138        assert(0);
139}
140
141static int pcap_init_output(libtrace_out_t *libtrace) {
142        libtrace->format_data = malloc(sizeof(struct pcap_format_data_out_t));
143        OUTPUT.trace.pcap = NULL;
144        OUTPUT.trace.dump = NULL;
145        return 0;
146}
147
148static int pcapint_init_output(libtrace_out_t *libtrace) {
149#ifdef HAVE_PCAP_INJECT
150        libtrace->format_data = malloc(sizeof(struct pcap_format_data_out_t));
151        OUTPUT.trace.pcap = NULL;
152        OUTPUT.trace.dump = NULL;
153        return 0;
154#else
155#ifdef HAVE_PCAP_SENDPACKET
156        libtrace->format_data = malloc(sizeof(struct pcap_format_data_out_t));
157        OUTPUT.trace.pcap = NULL;
158        OUTPUT.trace.dump = NULL;
159        return 0;
160#else
161        trace_set_err_out(libtrace,TRACE_ERR_UNSUPPORTED,
162                        "writing not supported by this version of pcap");
163        return -1;
164#endif
165#endif
166}
167
168static int pcapint_init_input(libtrace_t *libtrace) {
169        libtrace->format_data = malloc(sizeof(struct pcap_format_data_t));
170        DATA(libtrace)->filter = NULL;
171        DATA(libtrace)->snaplen = LIBTRACE_PACKET_BUFSIZE;
172        DATA(libtrace)->promisc = 0;
173        return 0; /* success */
174}
175
176static int pcapint_config_input(libtrace_t *libtrace,
177                trace_option_t option,
178                void *data)
179{
180        switch(option) {
181                case TRACE_OPTION_FILTER:
182                        DATA(libtrace)->filter=(libtrace_filter_t*)data;
183                        return 0;
184                case TRACE_OPTION_SNAPLEN:
185                        DATA(libtrace)->snaplen=*(int*)data;
186                        return 0;
187                case TRACE_OPTION_PROMISC:
188                        DATA(libtrace)->promisc=*(int*)data;
189                        return 0;
190                case TRACE_OPTION_META_FREQ:
191                        /* No meta-data for this format */
192                case TRACE_OPTION_EVENT_REALTIME:
193                        /* live interface is always real-time! */
194                default:
195                        /* Don't set an error here - trace_config will try
196                         * to handle the option when we return. If it can't
197                         * deal with it, then it will do the necessary
198                         * error-setting. */
199                        return -1;
200        }
201        assert(0);
202}
203
204static int pcapint_start_input(libtrace_t *libtrace) {
205        char errbuf[PCAP_ERRBUF_SIZE];
206        if ((INPUT.pcap = 
207                        pcap_open_live(libtrace->uridata,
208                        DATA(libtrace)->snaplen,
209                        DATA(libtrace)->promisc,
210                        1,
211                        errbuf)) == NULL) {
212                trace_set_err(libtrace,TRACE_ERR_INIT_FAILED,"%s",errbuf);
213                return -1; /* failure */
214        }
215        /* Set a filter if one is defined */
216        if (DATA(libtrace)->filter) {
217                if (pcap_setfilter(INPUT.pcap,&DATA(libtrace)->filter->filter)
218                        == -1) {
219                        trace_set_err(libtrace,TRACE_ERR_INIT_FAILED,"%s",
220                                        pcap_geterr(INPUT.pcap));
221                        return -1; /* failure */
222                }
223        }
224#ifdef HAVE_PCAP_SETNONBLOCK
225        pcap_setnonblock(INPUT.pcap,0,errbuf);
226#endif
227        return 0; /* success */
228}
229
230static int pcap_pause_input(libtrace_t *libtrace)
231{
232        pcap_close(INPUT.pcap);
233        INPUT.pcap=NULL;
234        return 0; /* success */
235}
236
237
238static int pcap_fin_input(libtrace_t *libtrace) 
239{
240        free(libtrace->format_data);
241        return 0; /* success */
242}
243
244static int pcap_fin_output(libtrace_out_t *libtrace) 
245{
246        if (OUTPUT.trace.dump) {
247                pcap_dump_flush(OUTPUT.trace.dump);
248                pcap_dump_close(OUTPUT.trace.dump);
249        }
250        pcap_close(OUTPUT.trace.pcap);
251        free(libtrace->format_data);
252        return 0;
253}
254
255static int pcapint_fin_output(libtrace_out_t *libtrace)
256{
257        pcap_close(OUTPUT.trace.pcap);
258        free(libtrace->format_data);
259        return 0;
260}
261
262
263static int pcap_read_packet(libtrace_t *libtrace, libtrace_packet_t *packet) {
264        int ret = 0;
265        int linktype;
266
267        assert(libtrace->format_data);
268        linktype = pcap_datalink(DATA(libtrace)->input.pcap);
269        packet->type = pcap_linktype_to_rt(linktype);
270
271        packet->buf_control = TRACE_CTRL_PACKET;
272
273        /* If we're using the replacement pcap_next_ex() we need to
274         * make sure we have a buffer to *shudder* memcpy into
275         */
276        if (!packet->buffer) {
277                packet->buffer = malloc(LIBTRACE_PACKET_BUFSIZE);
278                if (!packet->buffer) {
279                        trace_set_err(libtrace, errno, 
280                                        "Cannot allocate memory");
281                        return -1;
282                }
283                       
284                packet->header = packet->buffer;
285                packet->payload = (char *)packet->buffer + 
286                                        sizeof(struct pcap_pkthdr);
287        }
288       
289        for(;;) {
290
291                ret=pcap_next_ex(INPUT.pcap, 
292                                (struct pcap_pkthdr **)&packet->header,
293                                (const u_char **)&packet->payload);
294
295                switch(ret) {
296                        case 1: break; /* no error */
297                        case 0: continue; /* timeout expired */
298                        case -1:
299                                trace_set_err(libtrace,TRACE_ERR_BAD_PACKET,
300                                                "%s",pcap_geterr(INPUT.pcap));
301                                return -1; /* Error */
302                        case -2:
303                                return 0; /* EOF */
304                }
305
306                return ((struct pcap_pkthdr*)packet->header)->len
307                        +sizeof(struct pcap_pkthdr);
308        }
309}
310
311static int pcap_write_packet(libtrace_out_t *libtrace, 
312                libtrace_packet_t *packet) 
313{
314        struct pcap_pkthdr pcap_pkt_hdr;
315
316        /* If this packet cannot be converted to a pcap linktype then
317         * pop off the top header until it can be converted
318         */
319        while (libtrace_to_pcap_linktype(trace_get_link_type(packet))==~0U) {
320                if (!demote_packet(packet)) {
321                        trace_set_err_out(libtrace, 
322                                TRACE_ERR_NO_CONVERSION,
323                                "pcap does not support this format");
324                        return -1;
325                }
326        }
327
328
329        if (!OUTPUT.trace.pcap) {
330                int linktype=libtrace_to_pcap_dlt(trace_get_link_type(packet));
331                OUTPUT.trace.pcap = pcap_open_dead(linktype,65536);
332                if (!OUTPUT.trace.pcap) {
333                        trace_set_err_out(libtrace,TRACE_ERR_INIT_FAILED,
334                                        "Failed to open dead trace: %s\n",
335                                        pcap_geterr(OUTPUT.trace.pcap));
336                }
337                OUTPUT.trace.dump = pcap_dump_open(OUTPUT.trace.pcap,
338                                libtrace->uridata);
339                if (!OUTPUT.trace.dump) {
340                        char *errmsg = pcap_geterr(OUTPUT.trace.pcap);
341                        trace_set_err_out(libtrace,TRACE_ERR_INIT_FAILED,"Failed to open output file: %s\n",
342                                        errmsg ? errmsg : "Unknown error");
343                        return -1;
344                }
345        }
346
347        /* Corrupt packet, or other "non data" packet, so skip it */
348        if (trace_get_link(packet) == NULL) {
349                /* Return "success", but nothing written */
350                return 0;
351        }
352
353        if (packet->trace->format == &pcap || 
354                        packet->trace->format == &pcapint) {
355                pcap_dump((u_char*)OUTPUT.trace.dump,
356                                (struct pcap_pkthdr *)packet->header,
357                                packet->payload);
358        } else {
359                /* Leave the manual copy as it is, as it gets around
360                 * some OS's having different structures in pcap_pkt_hdr
361                 */
362                struct timeval ts = trace_get_timeval(packet);
363                pcap_pkt_hdr.ts.tv_sec = ts.tv_sec;
364                pcap_pkt_hdr.ts.tv_usec = ts.tv_usec;
365                pcap_pkt_hdr.caplen = trace_get_capture_length(packet);
366                /* trace_get_wire_length includes FCS, while pcap doesn't */
367                if (trace_get_link_type(packet)==TRACE_TYPE_ETH)
368                        if (trace_get_wire_length(packet) >= 4) { 
369                                pcap_pkt_hdr.len = 
370                                        trace_get_wire_length(packet)-4;
371                        }
372                        else {
373                                pcap_pkt_hdr.len = 0;
374                        }
375                else
376                        pcap_pkt_hdr.len = trace_get_wire_length(packet);
377
378                assert(pcap_pkt_hdr.caplen<65536);
379                assert(pcap_pkt_hdr.len<65536);
380
381                pcap_dump((u_char*)OUTPUT.trace.dump, &pcap_pkt_hdr, packet->payload);
382        }
383        return 0;
384}
385
386static int pcapint_write_packet(libtrace_out_t *libtrace,
387                libtrace_packet_t *packet) 
388{
389        int err;
390
391        if (!OUTPUT.trace.pcap) {
392                OUTPUT.trace.pcap = (pcap_t *)pcap_open_live(
393                        libtrace->uridata,65536,0,0,NULL);
394        }
395#ifdef HAVE_PCAP_INJECT
396        err=pcap_inject(OUTPUT.trace.pcap,
397                        packet->payload,
398                        trace_get_capture_length(packet));
399        if (err!=(int)trace_get_capture_length(packet))
400                err=-1;
401#else
402#ifdef HAVE_PCAP_SENDPACKET
403        err=pcap_sendpacket(OUTPUT.trace.pcap,
404                        packet->payload,
405                        trace_get_capture_length(packet));
406#else
407    trace_set_err(packet->trace,TRACE_ERR_UNSUPPORTED,"writing is not supported on this platform");
408        return -1;
409#endif
410#endif
411        return err;
412}
413
414static libtrace_linktype_t pcap_get_link_type(const libtrace_packet_t *packet) {
415        /* pcap doesn't store linktype in the framing header so we need
416         * rt to do it for us
417         */
418        int linktype = rt_to_pcap_linktype(packet->type);
419        return pcap_linktype_to_libtrace(linktype);
420}
421
422static libtrace_direction_t pcap_set_direction(libtrace_packet_t *packet,
423                libtrace_direction_t dir) {
424        libtrace_sll_header_t *sll;
425        promote_packet(packet);
426        sll=packet->payload;
427        /* sll->pkttype should be in the endianness of the host that the
428         * trace was taken on.  this is impossible to achieve
429         * so we assume host endianness
430         */
431        if(dir==TRACE_DIR_OUTGOING)
432                sll->pkttype=TRACE_SLL_OUTGOING;
433        else
434                sll->pkttype=TRACE_SLL_HOST;
435        return dir;
436}
437
438static libtrace_direction_t pcap_get_direction(const libtrace_packet_t *packet) {
439        libtrace_direction_t direction  = -1;
440        switch(pcap_get_link_type(packet)) {
441                case TRACE_TYPE_LINUX_SLL:
442                {
443                        libtrace_sll_header_t *sll;
444                        sll = trace_get_link(packet);
445                        if (!sll) {
446                                trace_set_err(packet->trace,
447                                        TRACE_ERR_BAD_PACKET,
448                                                "Bad or missing packet");
449                                return -1;
450                        }
451                        /* 0 == LINUX_SLL_HOST */
452                        /* the Waikato Capture point defines "packets
453                         * originating locally" (ie, outbound), with a
454                         * direction of 0, and "packets destined locally"
455                         * (ie, inbound), with a direction of 1.
456                         * This is kind-of-opposite to LINUX_SLL.
457                         * We return consistent values here, however
458                         *
459                         * Note that in recent versions of pcap, you can
460                         * use "inbound" and "outbound" on ppp in linux
461                         */
462                        if (sll->pkttype == TRACE_SLL_OUTGOING) {
463                                direction = TRACE_DIR_OUTGOING;
464                        } else {
465                                direction = TRACE_DIR_INCOMING;
466                        }
467                        break;
468
469                }
470                case TRACE_TYPE_PFLOG:
471                {
472                        libtrace_pflog_header_t *pflog;
473                        pflog = trace_get_link(packet);
474                        if (!pflog) {
475                                trace_set_err(packet->trace,
476                                                TRACE_ERR_BAD_PACKET,
477                                                "Bad or missing packet");
478                                return -1;
479                        }
480                        /* enum    { PF_IN=0, PF_OUT=1 }; */
481                        if (ntohs(pflog->dir==0)) {
482
483                                direction = TRACE_DIR_INCOMING;
484                        }
485                        else {
486                                direction = TRACE_DIR_OUTGOING;
487                        }
488                        break;
489                }
490                default:
491                        break;
492        }       
493        return direction;
494}
495
496
497static struct timeval pcap_get_timeval(const libtrace_packet_t *packet) {
498        struct pcap_pkthdr *pcapptr = (struct pcap_pkthdr *)packet->header;
499        struct timeval ts;
500        ts.tv_sec = pcapptr->ts.tv_sec;
501        ts.tv_usec = pcapptr->ts.tv_usec;
502        return ts;
503}
504
505
506static int pcap_get_capture_length(const libtrace_packet_t *packet) {
507        struct pcap_pkthdr *pcapptr = 0;
508        pcapptr = (struct pcap_pkthdr *)packet->header;
509        assert(pcapptr->caplen<=65536);
510
511        return pcapptr->caplen;
512}
513
514static int pcap_get_wire_length(const libtrace_packet_t *packet) {
515        struct pcap_pkthdr *pcapptr = 0;
516        pcapptr = (struct pcap_pkthdr *)packet->header;
517        if (packet->type==pcap_linktype_to_rt(TRACE_DLT_EN10MB))
518                return pcapptr->len+4; /* Include the missing FCS */
519        else if (packet->type==pcap_linktype_to_rt(TRACE_DLT_IEEE802_11_RADIO)) {
520                /* If the packet is Radiotap and the flags field indicates
521                 * that the FCS is not included in the 802.11 frame, then
522                 * we need to add 4 to the wire-length to account for it.
523                 */
524                uint8_t flags;
525                trace_get_wireless_flags(trace_get_link(packet), 
526                                trace_get_link_type(packet), &flags);
527                if ((flags & TRACE_RADIOTAP_F_FCS) == 0)
528                        return pcapptr->len + 4;
529        }
530        return pcapptr->len;
531}
532
533static int pcap_get_framing_length(UNUSED const libtrace_packet_t *packet) {
534        return sizeof(struct pcap_pkthdr);
535}
536
537static size_t pcap_set_capture_length(libtrace_packet_t *packet,size_t size) {
538        struct pcap_pkthdr *pcapptr = 0;
539        assert(packet);
540        if (size > trace_get_capture_length(packet)) {
541                /* can't make a packet larger */
542                return trace_get_capture_length(packet);
543        }
544        pcapptr = (struct pcap_pkthdr *)packet->header;
545        pcapptr->caplen = size;
546        return trace_get_capture_length(packet);
547}
548
549static int pcap_get_fd(const libtrace_t *trace) {
550
551        assert(trace->format_data);
552        return pcap_fileno(DATA(trace)->input.pcap);
553}
554
555static void pcap_help(void) {
556        printf("pcap format module: $Revision$\n");
557        printf("Supported input URIs:\n");
558        printf("\tpcap:/path/to/file\n");
559        printf("\n");
560        printf("\te.g.: pcap:/tmp/trace.pcap\n");
561        printf("\n");
562        printf("Supported output URIs:\n");
563        printf("\tnone\n");
564        printf("\n");
565}
566
567static void pcapint_help(void) {
568        printf("pcapint format module: $Revision$\n");
569        printf("Supported input URIs:\n");
570        printf("\tpcapint:interface\n");
571        printf("\n");
572        printf("\te.g.: pcapint:eth0\n");
573        printf("\n");
574        printf("Supported output URIs:\n");
575        printf("\tnone\n");
576        printf("\n");
577}
578
579
580static struct libtrace_format_t pcap = {
581        "pcap",
582        "$Id$",
583        TRACE_FORMAT_PCAP,
584        pcap_init_input,                /* init_input */
585        pcap_config_input,              /* config_input */
586        pcap_start_input,               /* start_input */
587        NULL,                           /* pause_input */
588        pcap_init_output,               /* init_output */
589        NULL,                           /* config_output */
590        NULL,                           /* start_output */
591        pcap_fin_input,                 /* fin_input */
592        pcap_fin_output,                /* fin_output */
593        pcap_read_packet,               /* read_packet */
594        NULL,                           /* fin_packet */
595        pcap_write_packet,              /* write_packet */
596        pcap_get_link_type,             /* get_link_type */
597        pcap_get_direction,             /* get_direction */
598        pcap_set_direction,             /* set_direction */
599        NULL,                           /* get_erf_timestamp */
600        pcap_get_timeval,               /* get_timeval */
601        NULL,                           /* get_seconds */
602        NULL,                           /* seek_erf */
603        NULL,                           /* seek_timeval */
604        NULL,                           /* seek_seconds */
605        pcap_get_capture_length,        /* get_capture_length */
606        pcap_get_wire_length,           /* get_wire_length */
607        pcap_get_framing_length,        /* get_framing_length */
608        pcap_set_capture_length,        /* set_capture_length */
609        NULL,                           /* get_fd */
610        trace_event_trace,              /* trace_event */
611        pcap_help,                      /* help */
612        NULL                            /* next pointer */
613};
614
615static struct libtrace_format_t pcapint = {
616        "pcapint",
617        "$Id$",
618        TRACE_FORMAT_PCAP,
619        pcapint_init_input,             /* init_input */
620        pcapint_config_input,           /* config_input */
621        pcapint_start_input,            /* start_input */
622        pcap_pause_input,               /* pause_input */
623        pcapint_init_output,            /* init_output */
624        NULL,                           /* config_output */
625        NULL,                           /* start_output */
626        pcap_fin_input,                 /* fin_input */
627        pcapint_fin_output,             /* fin_output */
628        pcap_read_packet,               /* read_packet */
629        NULL,                           /* fin_packet */
630        pcapint_write_packet,           /* write_packet */
631        pcap_get_link_type,             /* get_link_type */
632        pcap_get_direction,             /* get_direction */
633        pcap_set_direction,             /* set_direction */
634        NULL,                           /* get_erf_timestamp */
635        pcap_get_timeval,               /* get_timeval */
636        NULL,                           /* get_seconds */
637        NULL,                           /* seek_erf */
638        NULL,                           /* seek_timeval */
639        NULL,                           /* seek_seconds */
640        pcap_get_capture_length,        /* get_capture_length */
641        pcap_get_wire_length,           /* get_wire_length */
642        pcap_get_framing_length,        /* get_framing_length */
643        pcap_set_capture_length,        /* set_capture_length */
644        pcap_get_fd,                    /* get_fd */
645        trace_event_device,             /* trace_event */
646        pcapint_help,                   /* help */
647        NULL                            /* next pointer */
648};
649
650void pcap_constructor(void) {
651        register_format(&pcap);
652        register_format(&pcapint);
653}
654
655
656#endif
Note: See TracBrowser for help on using the repository browser.