source: lib/trace.c @ 212faa13

4.0.1-hotfixescachetimestampsdevelopdpdk-ndagetsilivegetfragoffhelplibtrace4ndag_formatpfringrc-4.0.1rc-4.0.2rc-4.0.3rc-4.0.4ringdecrementfixringperformanceringtimestampfixes
Last change on this file since 212faa13 was 212faa13, checked in by Shane Alcock <salcock@…>, 8 years ago
  • It turns out the return value of erf_get_timestamp is always going to be in host byte order, so we don't need a special code path for big endian machines at all!
  • Property mode set to 100644
File size: 53.2 KB
Line 
1/*
2 * This file is part of libtrace
3 *
4 * Copyright (c) 2007,2008,2009,2010 The University of Waikato, Hamilton,
5 * New Zealand.
6 *
7 * Authors: Daniel Lawson
8 *          Perry Lorier
9 *          Shane Alcock
10 *         
11 * All rights reserved.
12 *
13 * This code has been developed by the University of Waikato WAND
14 * research group. For further information please see http://www.wand.net.nz/
15 *
16 * libtrace is free software; you can redistribute it and/or modify
17 * it under the terms of the GNU General Public License as published by
18 * the Free Software Foundation; either version 2 of the License, or
19 * (at your option) any later version.
20 *
21 * libtrace is distributed in the hope that it will be useful,
22 * but WITHOUT ANY WARRANTY; without even the implied warranty of
23 * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
24 * GNU General Public License for more details.
25 *
26 * You should have received a copy of the GNU General Public License
27 * along with libtrace; if not, write to the Free Software
28 * Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307  USA
29 *
30 * $Id$
31 *
32 */
33
34
35#define _GNU_SOURCE
36#include "common.h"
37#include "config.h"
38#include <assert.h>
39#include <errno.h>
40#include <fcntl.h>
41#include <stdio.h>
42#include <stdlib.h>
43#include <string.h>
44#include <sys/stat.h>
45#include <sys/types.h>
46#ifndef WIN32
47#include <sys/socket.h>
48#endif
49#include <stdarg.h>
50#include <sys/param.h>
51
52#ifdef HAVE_LIMITS_H
53#  include <limits.h>
54#endif
55
56#ifdef HAVE_SYS_LIMITS_H
57#  include <sys/limits.h>
58#endif
59
60#ifdef HAVE_NET_IF_ARP_H
61#  include <net/if_arp.h>
62#endif
63
64#ifdef HAVE_NET_IF_H
65#  include <net/if.h>
66#endif
67
68#ifdef HAVE_NETINET_IN_H
69#  include <netinet/in.h>
70#endif
71
72#ifdef HAVE_NET_ETHERNET_H
73#  include <net/ethernet.h>
74#endif
75
76#ifdef HAVE_NETINET_IF_ETHER_H
77#  include <netinet/if_ether.h>
78#endif
79
80#include <time.h>
81#ifdef WIN32
82#include <sys/timeb.h>
83#endif
84
85#include "libtrace.h"
86#include "libtrace_int.h"
87
88#ifdef HAVE_PCAP_BPF_H
89#  include <pcap-bpf.h>
90#else
91#  ifdef HAVE_NET_BPF_H
92#    include <net/bpf.h>
93#  endif
94#endif
95
96
97#include "libtrace_int.h"
98#include "format_helper.h"
99#include "rt_protocol.h"
100
101#define MAXOPTS 1024
102
103/* This file contains much of the implementation of the libtrace API itself. */
104
105static struct libtrace_format_t *formats_list = NULL;
106
107int libtrace_halt = 0;
108
109/* strncpy is not assured to copy the final \0, so we
110 * will use our own one that does
111 */
112static void xstrncpy(char *dest, const char *src, size_t n)
113{
114        strncpy(dest,src,n);
115        dest[n]='\0';
116}
117 
118static char *xstrndup(const char *src,size_t n)
119{       
120        char *ret=(char*)malloc(n+1);
121        if (ret==NULL) {
122                fprintf(stderr,"Out of memory");
123                exit(EXIT_FAILURE);
124        }
125        xstrncpy(ret,src,n);
126        return ret;
127}
128
129
130/* call all the constructors if they haven't yet all been called */
131static void trace_init(void)
132{
133        if (!formats_list) {
134                duck_constructor();
135                erf_constructor();
136                tsh_constructor();
137                legacy_constructor();
138                atmhdr_constructor();
139                linuxnative_constructor();
140#ifdef HAVE_LIBPCAP
141                pcap_constructor();
142#endif
143                bpf_constructor();
144                pcapfile_constructor();
145                rt_constructor();
146#ifdef HAVE_DAG
147                dag_constructor();
148#endif
149        }
150}
151
152/* Prints help information for libtrace
153 *
154 * Function prints out some basic help information regarding libtrace,
155 * and then prints out the help() function registered with each input module
156 */
157DLLEXPORT void trace_help(void) {
158        struct libtrace_format_t *tmp;
159        trace_init();
160        printf("libtrace %s\n\n",PACKAGE_VERSION);
161        printf("Following this are a list of the format modules supported in this build of libtrace\n\n");
162        for(tmp=formats_list;tmp;tmp=tmp->next) {
163                if (tmp->help)
164                        tmp->help();
165        }
166}
167
168#define URI_PROTO_LINE 16U
169
170/* Try to guess which format module is appropriate for a given trace file or
171 * device */
172static void guess_format(libtrace_t *libtrace, const char *filename)
173{
174        struct libtrace_format_t *tmp;
175       
176        /* Try and guess based on filename */
177        for(tmp = formats_list; tmp; tmp=tmp->next) {
178                if (tmp->probe_filename && tmp->probe_filename(filename)) {
179                        libtrace->format = tmp;
180                        libtrace->uridata = strdup(filename);
181                        return;
182                }
183        }
184
185        libtrace->io = wandio_create(filename);
186        if (!libtrace->io)
187                return;
188
189        /* Try and guess based on file magic */
190        for(tmp = formats_list; tmp; tmp=tmp->next) {
191                if (tmp->probe_magic && tmp->probe_magic(libtrace->io)) {
192                        libtrace->format = tmp;
193                        libtrace->uridata = strdup(filename);
194                        return;
195                }
196        }
197       
198        /* Oh well */
199        return;
200}
201
202/* Creates an input trace from a URI
203 *
204 * @params char * containing a valid libtrace URI
205 * @returns opaque pointer to a libtrace_t
206 *
207 * Some valid URI's are:
208 *  erf:/path/to/erf/file
209 *  erf:/path/to/erf/file.gz
210 *  erf:-                       (stdin)
211 *  dag:/dev/dagcard
212 *  pcapint:pcapinterface               (eg: pcapint:eth0)
213 *  pcapfile:/path/to/pcap/file
214 *  pcapfile:-
215 *  int:interface                       (eg: int:eth0) only on Linux
216 *  rt:hostname
217 *  rt:hostname:port
218 *
219 * If an error occured when attempting to open a trace, NULL is returned
220 * and an error is output to stdout.
221 */
222DLLEXPORT libtrace_t *trace_create(const char *uri) {
223        libtrace_t *libtrace = 
224                        (libtrace_t *)malloc(sizeof(libtrace_t));
225        char *scan = 0;
226        const char *uridata = 0;                 
227
228        trace_init();
229
230        assert(uri && "Passing NULL to trace_create makes me a very sad program");
231
232        if (!libtrace) {
233                /* Out of memory */
234                return NULL;
235        }
236       
237        libtrace->err.err_num = TRACE_ERR_NOERROR;
238        libtrace->format=NULL;
239       
240        libtrace->event.tdelta = 0.0;
241        libtrace->event.packet = NULL;
242        libtrace->event.psize = 0;
243        libtrace->event.trace_last_ts = 0.0;
244        libtrace->event.waiting = false;
245        libtrace->filter = NULL;
246        libtrace->snaplen = 0;
247        libtrace->started=false;
248        libtrace->uridata = NULL;
249        libtrace->io = NULL;
250        libtrace->filtered_packets = 0;
251        libtrace->accepted_packets = 0;
252
253        /* Parse the URI to determine what sort of trace we are dealing with */
254        if ((uridata = trace_parse_uri(uri, &scan)) == 0) {
255                /* Could not parse the URI nicely */
256                guess_format(libtrace,uri);
257                if (!libtrace->format) {
258                        trace_set_err(libtrace,TRACE_ERR_BAD_FORMAT,"Unable to guess format (%s)",uri);
259                        return libtrace;
260                }
261        }
262        else {
263                struct libtrace_format_t *tmp;
264
265                /* Find a format that matches the first part of the URI */
266                for (tmp=formats_list;tmp;tmp=tmp->next) {
267                        if (strlen(scan) == strlen(tmp->name) &&
268                                        strncasecmp(scan, tmp->name, strlen(scan)) == 0
269                                        ) {
270                                libtrace->format=tmp;
271                                break;
272                        }
273                }
274
275                if (libtrace->format == 0) {
276                        trace_set_err(libtrace, TRACE_ERR_BAD_FORMAT,
277                                        "Unknown format (%s)",scan);
278                        return libtrace;
279                }
280
281                libtrace->uridata = strdup(uridata);
282        }
283        /* libtrace->format now contains the type of uri
284         * libtrace->uridata contains the appropriate data for this
285         */
286       
287        /* Call the init_input function for the matching capture format */ 
288        if (libtrace->format->init_input) {
289                int err=libtrace->format->init_input(libtrace);
290                assert (err==-1 || err==0);
291                if (err==-1) {
292                        /* init_input should call trace_set_err to set
293                         * the error message
294                         */
295                        return libtrace;
296                }
297        } else {
298                trace_set_err(libtrace,TRACE_ERR_UNSUPPORTED,
299                                "Format does not support input (%s)",scan);
300                return libtrace;
301        }
302       
303        if (scan)
304                free(scan);
305        libtrace->err.err_num=TRACE_ERR_NOERROR;
306        libtrace->err.problem[0]='\0';
307        return libtrace;
308}
309
310/* Creates a "dummy" trace file that has only the format type set.
311 *
312 * @returns opaque pointer to a (sparsely initialised) libtrace_t
313 *
314 * IMPORTANT: Do not attempt to call trace_read_packet or other such functions
315 * with the dummy trace. Its intended purpose is to act as a packet->trace for
316 * libtrace_packet_t's that are not associated with a libtrace_t structure.
317 */
318DLLEXPORT libtrace_t * trace_create_dead (const char *uri) {
319        libtrace_t *libtrace = (libtrace_t *) malloc(sizeof(libtrace_t));
320        char *scan = (char *)calloc(sizeof(char),URI_PROTO_LINE);
321        char *uridata;
322        struct libtrace_format_t *tmp;
323
324        trace_init();
325       
326        libtrace->err.err_num = TRACE_ERR_NOERROR;
327
328        if((uridata = strchr(uri,':')) == NULL) {
329                xstrncpy(scan, uri, strlen(uri));
330        } else {
331                xstrncpy(scan,uri, (size_t)(uridata - uri));
332        }
333       
334        libtrace->err.err_num = TRACE_ERR_NOERROR;
335        libtrace->format=NULL;
336       
337        libtrace->event.tdelta = 0.0;
338        libtrace->event.packet = NULL;
339        libtrace->event.psize = 0;
340        libtrace->event.trace_last_ts = 0.0;
341        libtrace->filter = NULL;
342        libtrace->snaplen = 0;
343        libtrace->started=false;
344        libtrace->uridata = NULL;
345        libtrace->io = NULL;
346        libtrace->filtered_packets = 0;
347       
348        for(tmp=formats_list;tmp;tmp=tmp->next) {
349                if (strlen(scan) == strlen(tmp->name) &&
350                                !strncasecmp(scan,
351                                        tmp->name,
352                                        strlen(scan))) {
353                                libtrace->format=tmp;
354                                break;
355                                }
356        }
357        if (libtrace->format == 0) {
358                trace_set_err(libtrace,TRACE_ERR_BAD_FORMAT,
359                                "Unknown format (%s)",scan);
360        }
361
362        libtrace->format_data = NULL;
363        free(scan);
364        return libtrace;
365
366}
367
368/* Creates an output trace from a URI.
369 *
370 * @param uri   the uri string describing the output format and destination
371 * @returns opaque pointer to a libtrace_output_t
372 *
373 *  If an error occured when attempting to open the output trace, NULL is
374 *  returned and trace_errno is set.
375 */
376       
377DLLEXPORT libtrace_out_t *trace_create_output(const char *uri) {
378        libtrace_out_t *libtrace = 
379                        (libtrace_out_t*)malloc(sizeof(libtrace_out_t));
380       
381        char *scan = 0;
382        const char *uridata = 0;
383        struct libtrace_format_t *tmp;
384
385        trace_init();
386
387        libtrace->err.err_num = TRACE_ERR_NOERROR;
388        strcpy(libtrace->err.problem,"Error message set\n");
389        libtrace->format = NULL;
390        libtrace->uridata = NULL;
391       
392        /* Parse the URI to determine what capture format we want to write */
393
394        if ((uridata = trace_parse_uri(uri, &scan)) == 0) {
395                trace_set_err_out(libtrace,TRACE_ERR_BAD_FORMAT,
396                                "Bad uri format (%s)",uri);
397                return libtrace;
398        }
399       
400        /* Attempt to find the format in the list of supported formats */
401        for(tmp=formats_list;tmp;tmp=tmp->next) {
402                if (strlen(scan) == strlen(tmp->name) &&
403                                !strncasecmp(scan,
404                                        tmp->name,
405                                        strlen(scan))) {
406                                libtrace->format=tmp;
407                                break;
408                                }
409        }
410        free(scan);
411
412        if (libtrace->format == NULL) {
413                trace_set_err_out(libtrace,TRACE_ERR_BAD_FORMAT,
414                                "Unknown output format (%s)",scan);
415                return libtrace;
416        }
417        libtrace->uridata = strdup(uridata);
418
419        /* libtrace->format now contains the type of uri
420         * libtrace->uridata contains the appropriate data for this
421         */
422
423        if (libtrace->format->init_output) {
424                /* 0 on success, -1 on failure */
425                switch(libtrace->format->init_output(libtrace)) {
426                        case -1: /* failure */
427                                return libtrace;
428                        case 0: /* success */
429                                break;
430                        default:
431                                assert(!"Internal error: init_output() should return -1 for failure, or 0 for success");
432                }
433        } else {
434                trace_set_err_out(libtrace,TRACE_ERR_UNSUPPORTED,
435                                "Format does not support writing (%s)",scan);
436                return libtrace;
437        }
438
439
440        libtrace->started=false;
441        return libtrace;
442}
443
444/* Start an input trace
445 * @param libtrace      the input trace to start
446 * @returns 0 on success
447 *
448 * This does the work associated with actually starting up
449 * the trace.  it may fail.
450 */
451DLLEXPORT int trace_start(libtrace_t *libtrace)
452{
453        assert(libtrace);
454        if (trace_is_err(libtrace))
455                return -1;
456        if (libtrace->format->start_input) {
457                int ret=libtrace->format->start_input(libtrace);
458                if (ret < 0) {
459                        return ret;
460                }
461        }
462
463        libtrace->started=true;
464        return 0;
465}
466
467/* Start an output trace */
468DLLEXPORT int trace_start_output(libtrace_out_t *libtrace) 
469{
470        assert(libtrace);
471        if (libtrace->format->start_output) {
472                int ret=libtrace->format->start_output(libtrace);
473                if (ret < 0) {
474                        return ret;
475                }
476        }
477
478        libtrace->started=true;
479        return 0;
480}
481
482DLLEXPORT int trace_pause(libtrace_t *libtrace)
483{
484        assert(libtrace);
485        if (!libtrace->started) {
486                trace_set_err(libtrace,TRACE_ERR_BAD_STATE, "You must call trace_start() before calling trace_pause()");
487                return -1;
488        }
489        if (libtrace->format->pause_input)
490                libtrace->format->pause_input(libtrace);
491        libtrace->started=false;
492        return 0;
493}
494
495DLLEXPORT int trace_config(libtrace_t *libtrace,
496                trace_option_t option,
497                void *value)
498{
499        int ret;
500
501        if (trace_is_err(libtrace)) {
502                return -1;
503        }
504       
505        /* If the capture format supports configuration, try using their
506         * native configuration first */
507        if (libtrace->format->config_input) {
508                ret=libtrace->format->config_input(libtrace,option,value);
509                if (ret==0)
510                        return 0;
511        }
512
513        /* If we get here, either the native configuration failed or the
514         * format did not support configuration. However, libtrace can
515         * deal with some options itself, so give that a go */
516        switch(option) {
517                case TRACE_OPTION_SNAPLEN:
518                        /* Clear the error if there was one */
519                        if (trace_is_err(libtrace)) {
520                                trace_get_err(libtrace);
521                        }
522                        if (*(int*)value<0 
523                                || *(int*)value>LIBTRACE_PACKET_BUFSIZE) {
524                                trace_set_err(libtrace,TRACE_ERR_BAD_STATE,
525                                        "Invalid snap length");
526                        }
527                        libtrace->snaplen=*(int*)value;
528                        return 0;
529                case TRACE_OPTION_FILTER:
530                        /* Clear the error if there was one */
531                        if (trace_is_err(libtrace)) {
532                                trace_get_err(libtrace);
533                        }
534                        libtrace->filter=(libtrace_filter_t *)value;
535                        return 0;
536                case TRACE_OPTION_PROMISC:
537                        if (!trace_is_err(libtrace)) {
538                                trace_set_err(libtrace,TRACE_ERR_OPTION_UNAVAIL,
539                                                "Promisc mode is not supported by this format module");
540                        }
541                        return -1;
542                case TRACE_OPTION_META_FREQ:
543                        if (!trace_is_err(libtrace)) {
544                                trace_set_err(libtrace, 
545                                                TRACE_ERR_OPTION_UNAVAIL,
546                                                "This format does not support meta-data gathering");
547                        }
548                        return -1;
549                case TRACE_OPTION_EVENT_REALTIME:
550                        if (!trace_is_err(libtrace)) {
551                                trace_set_err(libtrace, 
552                                                TRACE_ERR_OPTION_UNAVAIL,
553                                                "This format does not support realtime events");
554                        }
555                        return -1;
556                       
557        }
558        if (!trace_is_err(libtrace)) {
559                trace_set_err(libtrace,TRACE_ERR_UNKNOWN_OPTION,
560                        "Unknown option %i", option);
561        }
562        return -1;
563}
564
565DLLEXPORT int trace_config_output(libtrace_out_t *libtrace, 
566                trace_option_output_t option,
567                void *value) {
568       
569        /* Unlike the input options, libtrace does not natively support any of
570         * the output options - the format module must be able to deal with
571         * them. */
572        if (libtrace->format->config_output) {
573                return libtrace->format->config_output(libtrace, option, value);
574        }
575        return -1;
576}
577
578/* Close an input trace file, freeing up any resources it may have been using
579 *
580 */
581DLLEXPORT void trace_destroy(libtrace_t *libtrace) {
582        assert(libtrace);
583        if (libtrace->format) {
584                if (libtrace->started && libtrace->format->pause_input)
585                        libtrace->format->pause_input(libtrace);
586                if (libtrace->format->fin_input)
587                        libtrace->format->fin_input(libtrace);
588        }
589        /* Need to free things! */
590        if (libtrace->uridata)
591                free(libtrace->uridata);
592        if (libtrace->event.packet) {
593                /* Don't use trace_destroy_packet here - there is almost
594                 * certainly going to be another libtrace_packet_t that is
595                 * pointing to the buffer for this packet, so we don't want
596                 * to free it. Rather, it will get freed when the user calls
597                 * trace_destroy_packet on the libtrace_packet_t that they
598                 * own.
599                 *
600                 * All we need to do then is free our packet structure itself.
601                 */
602                 free(libtrace->event.packet);
603        }
604        free(libtrace);
605}
606
607
608DLLEXPORT void trace_destroy_dead(libtrace_t *libtrace) {
609        assert(libtrace);
610
611        /* Don't call pause_input or fin_input, because we should never have
612         * used this trace to do any reading anyway. Do make sure we free
613         * any format_data that has been created, though. */
614        if (libtrace->format_data)
615                free(libtrace->format_data);
616        free(libtrace);
617}
618/* Close an output trace file, freeing up any resources it may have been using
619 *
620 * @param libtrace      the output trace file to be destroyed
621 */
622DLLEXPORT void trace_destroy_output(libtrace_out_t *libtrace) 
623{
624        assert(libtrace);
625        if (libtrace->format && libtrace->format->fin_output)
626                libtrace->format->fin_output(libtrace);
627        if (libtrace->uridata)
628                free(libtrace->uridata);
629        free(libtrace);
630}
631
632DLLEXPORT libtrace_packet_t *trace_create_packet(void) 
633{
634        libtrace_packet_t *packet = 
635                (libtrace_packet_t*)calloc((size_t)1,sizeof(libtrace_packet_t));
636
637        packet->buf_control=TRACE_CTRL_PACKET;
638        trace_clear_cache(packet);
639        return packet;
640}
641
642DLLEXPORT libtrace_packet_t *trace_copy_packet(const libtrace_packet_t *packet) {
643        libtrace_packet_t *dest = 
644                (libtrace_packet_t *)malloc(sizeof(libtrace_packet_t));
645        if (!dest) {
646                printf("Out of memory constructing packet\n");
647                abort();
648        }
649        dest->trace=packet->trace;
650        dest->buffer=malloc(65536);
651        if (!dest->buffer) {
652                printf("Out of memory allocating buffer memory\n");
653                abort();
654        }
655        dest->header=dest->buffer;
656        dest->payload=(void*)
657                ((char*)dest->buffer+trace_get_framing_length(packet));
658        dest->type=packet->type;
659        dest->buf_control=TRACE_CTRL_PACKET;
660        /* Reset the cache - better to recalculate than try to convert
661         * the values over to the new packet */
662        trace_clear_cache(dest);       
663        /* Ooooh nasty memcpys! This is why we want to avoid copying packets
664         * as much as possible */
665        memcpy(dest->header,packet->header,trace_get_framing_length(packet));
666        memcpy(dest->payload,packet->payload,trace_get_capture_length(packet));
667
668        return dest;
669}
670
671/** Destroy a packet object
672 */
673DLLEXPORT void trace_destroy_packet(libtrace_packet_t *packet) {
674        if (packet->buf_control == TRACE_CTRL_PACKET && packet->buffer) {
675                free(packet->buffer);
676        }
677        packet->buf_control=(buf_control_t)'\0'; 
678                                /* A "bad" value to force an assert
679                                 * if this packet is ever reused
680                                 */
681        free(packet);
682}       
683
684/* Read one packet from the trace into buffer. Note that this function will
685 * block until a packet is read (or EOF is reached).
686 *
687 * @param libtrace      the libtrace opaque pointer
688 * @param packet        the packet opaque pointer
689 * @returns 0 on EOF, negative value on error
690 *
691 */
692DLLEXPORT int trace_read_packet(libtrace_t *libtrace, libtrace_packet_t *packet) {
693
694        assert(libtrace && "You called trace_read_packet() with a NULL libtrace parameter!\n");
695        if (trace_is_err(libtrace))
696                return -1;
697        if (!libtrace->started) {
698                trace_set_err(libtrace,TRACE_ERR_BAD_STATE,"You must call libtrace_start() before trace_read_packet()\n");
699                return -1;
700        }
701        if (!(packet->buf_control==TRACE_CTRL_PACKET || packet->buf_control==TRACE_CTRL_EXTERNAL)) {
702                trace_set_err(libtrace,TRACE_ERR_BAD_STATE,"Packet passed to trace_read_packet() is invalid\n");
703                return -1;
704        }
705        assert(packet);
706     
707        /* Store the trace we are reading from into the packet opaque
708         * structure */
709        packet->trace = libtrace;
710
711        /* Finalise the packet, freeing any resources the format module
712         * may have allocated it
713         */
714        if (libtrace->format->fin_packet) {
715                libtrace->format->fin_packet(packet);
716        }
717
718
719        if (libtrace->format->read_packet) {
720                do {
721                        size_t ret;
722                        /* Clear the packet cache */
723                        trace_clear_cache(packet);
724                        ret=libtrace->format->read_packet(libtrace,packet);
725                        if (ret==(size_t)-1 || ret==0) {
726                                return ret;
727                        }
728                        if (libtrace->filter) {
729                                /* If the filter doesn't match, read another
730                                 * packet
731                                 */
732                                if (!trace_apply_filter(libtrace->filter,packet)){
733                                        ++libtrace->filtered_packets;
734                                        continue;
735                                }
736                        }
737                        if (libtrace->snaplen>0) {
738                                /* Snap the packet */
739                                trace_set_capture_length(packet,
740                                                libtrace->snaplen);
741                        }
742                        ++libtrace->accepted_packets;
743                        return ret;
744                } while(1);
745        }
746        trace_set_err(libtrace,TRACE_ERR_UNSUPPORTED,"This format does not support reading packets\n");
747        return ~0U;
748}
749
750/* Converts the provided buffer into a libtrace packet of the given type.
751 *
752 * Unlike trace_construct_packet, the buffer is expected to begin with the
753 * appropriate capture format header for the format type that the packet is
754 * being converted to. This also allows for a packet to be converted into
755 * just about capture format that is supported by libtrace, provided the
756 * format header is present in the buffer.
757 *
758 * This function is primarily used to convert packets received via the RT
759 * protocol back into their original capture format. The RT header encapsulates
760 * the original capture format header, so after removing it the packet must
761 * have it's header and payload pointers updated and the packet format and type
762 * changed, amongst other things.
763 *
764 * Intended only for internal use at this point - this function is not
765 * available through the external libtrace API.
766 */
767int trace_prepare_packet(libtrace_t *trace, libtrace_packet_t *packet,
768                void *buffer, libtrace_rt_types_t rt_type, uint32_t flags) {
769
770        assert(packet);
771        assert(trace);
772       
773        /* XXX Proper error handling?? */
774        if (buffer == NULL)
775                return -1;
776
777        if (!(packet->buf_control==TRACE_CTRL_PACKET || packet->buf_control==TRACE_CTRL_EXTERNAL)) {
778                trace_set_err(trace,TRACE_ERR_BAD_STATE,"Packet passed to trace_read_packet() is invalid\n");
779                return -1;
780        }
781       
782        packet->trace = trace;
783       
784        /* Clear packet cache */
785        trace_clear_cache(packet);
786
787        if (trace->format->prepare_packet) {
788                return trace->format->prepare_packet(trace, packet,
789                                buffer, rt_type, flags);
790        }
791        trace_set_err(trace, TRACE_ERR_UNSUPPORTED, 
792                        "This format does not support preparing packets\n");
793        return -1;
794
795}
796
797/* Writes a packet to the specified output trace
798 *
799 * @param libtrace      describes the output format, destination, etc.
800 * @param packet        the packet to be written out
801 * @returns the number of bytes written, -1 if write failed
802 */
803DLLEXPORT int trace_write_packet(libtrace_out_t *libtrace, libtrace_packet_t *packet) {
804        assert(libtrace);
805        assert(packet); 
806        /* Verify the packet is valid */
807        if (!libtrace->started) {
808                trace_set_err_out(libtrace,TRACE_ERR_BAD_STATE,
809                        "Trace is not started before trace_write_packet");
810                return -1;
811        }
812
813        if (libtrace->format->write_packet) {
814                return libtrace->format->write_packet(libtrace, packet);
815        }
816        trace_set_err_out(libtrace,TRACE_ERR_UNSUPPORTED,
817                "This format does not support writing packets");
818        return -1;
819}
820
821/* Get a pointer to the first byte of the packet payload */
822DLLEXPORT void *trace_get_packet_buffer(const libtrace_packet_t *packet,
823                libtrace_linktype_t *linktype, uint32_t *remaining) {
824        int cap_len;
825        int wire_len;
826
827        assert(packet != NULL);
828        if (linktype) *linktype = trace_get_link_type(packet);
829        if (remaining) {
830                /* I think we should choose the minimum of the capture and
831                 * wire lengths to be the "remaining" value. If the packet has
832                 * been padded to increase the capture length, we don't want
833                 * to allow subsequent protocol decoders to consider the
834                 * padding as part of the packet.
835                 *
836                 * For example, in Auck 4 there is a trace where the IP header
837                 * length is incorrect (24 bytes) followed by a 20 byte TCP
838                 * header. Total IP length is 40 bytes. As a result, the
839                 * legacyatm padding gets treated as the "missing" bytes of
840                 * the TCP header, which isn't the greatest. We're probably
841                 * better off returning an incomplete TCP header in that case.
842                 */
843               
844                cap_len = trace_get_capture_length(packet);
845                wire_len = trace_get_wire_length(packet);
846
847                assert(cap_len >= 0);
848
849                /* There is the odd corrupt packet, e.g. in IPLS II, that have
850                 * massively negative wire lens. We could assert fail here on
851                 * them, but we could at least try the capture length instead.
852                 *
853                 * You may still run into problems if you try to write that
854                 * packet, but at least reading should work OK.
855                 */
856                if (wire_len < 0)
857                        *remaining = cap_len;
858                else if (wire_len < cap_len)
859                        *remaining = wire_len;
860                else
861                        *remaining = cap_len;
862                /* *remaining = trace_get_capture_length(packet); */
863        }
864        return (void *) packet->payload;
865}
866
867
868/* Get a pointer to the first byte of the packet payload
869 *
870 * DEPRECATED - use trace_get_packet_buffer() instead */
871DLLEXPORT void *trace_get_link(const libtrace_packet_t *packet) {
872        return (void *)packet->payload;
873}
874
875/* Get the current time in DAG time format
876 * @param packet        a pointer to a libtrace_packet structure
877 * @returns a 64 bit timestamp in DAG ERF format (upper 32 bits are the seconds
878 * past 1970-01-01, the lower 32bits are partial seconds)
879 */ 
880DLLEXPORT uint64_t trace_get_erf_timestamp(const libtrace_packet_t *packet) {
881        if (packet->trace->format->get_erf_timestamp) {
882                /* timestamp -> timestamp */
883                return packet->trace->format->get_erf_timestamp(packet);
884        } else if (packet->trace->format->get_timespec) {
885                /* timespec -> timestamp */
886                struct timespec ts;
887                ts = packet->trace->format->get_timespec(packet);
888                return ((((uint64_t)ts.tv_sec) << 32) +
889                                (((uint64_t)ts.tv_nsec << 32)/1000000000));
890        } else if (packet->trace->format->get_timeval) {
891                /* timeval -> timestamp */
892                struct timeval tv;
893                tv = packet->trace->format->get_timeval(packet);
894                return ((((uint64_t)tv.tv_sec) << 32) +
895                                (((uint64_t)tv.tv_usec << 32)/1000000));
896        } else if (packet->trace->format->get_seconds) {
897                /* seconds -> timestamp */
898                double seconds = packet->trace->format->get_seconds(packet);
899                return (((uint64_t)seconds)<<32)
900                          + (uint64_t)((seconds-(uint64_t)seconds)*UINT_MAX);
901        }
902        else {
903                return (uint64_t)0;
904        }
905                     
906}
907
908/* Get the current time in struct timeval
909 * @param packet        a pointer to a libtrace_packet structure
910 *
911 * @returns time that this packet was seen in a struct timeval
912 * @author Daniel Lawson
913 * @author Perry Lorier
914 */ 
915DLLEXPORT struct timeval trace_get_timeval(const libtrace_packet_t *packet) {
916        struct timeval tv;
917        uint64_t ts = 0;
918        if (packet->trace->format->get_timeval) {
919                /* timeval -> timeval */
920                tv = packet->trace->format->get_timeval(packet);
921        } else if (packet->trace->format->get_erf_timestamp) {
922                /* timestamp -> timeval */
923                ts = packet->trace->format->get_erf_timestamp(packet);
924                tv.tv_sec = ts >> 32;
925                tv.tv_usec = ((ts&0xFFFFFFFF)*1000000)>>32;
926                if (tv.tv_usec >= 1000000) {
927                        tv.tv_usec -= 1000000;
928                        tv.tv_sec += 1;
929                }
930        } else if (packet->trace->format->get_timespec) {
931                struct timespec ts = packet->trace->format->get_timespec(packet);
932                tv.tv_sec = ts.tv_sec;
933                tv.tv_usec = ts.tv_nsec/1000;
934        } else if (packet->trace->format->get_seconds) {
935                /* seconds -> timeval */
936                double seconds = packet->trace->format->get_seconds(packet);
937                tv.tv_sec = (uint32_t)seconds;
938                tv.tv_usec = (uint32_t)(((seconds - tv.tv_sec) * 1000000)/UINT_MAX);
939        }
940        else {
941                tv.tv_sec=-1;
942                tv.tv_usec=-1;
943        }
944
945        return tv;
946}
947
948DLLEXPORT struct timespec trace_get_timespec(const libtrace_packet_t *packet) {
949        struct timespec ts;
950
951        if (packet->trace->format->get_timespec) {
952                return packet->trace->format->get_timespec(packet);
953        } else if (packet->trace->format->get_erf_timestamp) {
954                /* timestamp -> timeval */
955                uint64_t erfts = packet->trace->format->get_erf_timestamp(packet);
956                ts.tv_sec = erfts >> 32;
957                ts.tv_nsec = ((erfts&0xFFFFFFFF)*1000000000)>>32;
958                if (ts.tv_nsec >= 1000000000) {
959                        ts.tv_nsec -= 1000000000;
960                        ts.tv_sec += 1;
961                }
962                return ts;
963        } else if (packet->trace->format->get_timeval) {
964                /* timeval -> timespec */
965                struct timeval tv = packet->trace->format->get_timeval(packet);
966                ts.tv_sec = tv.tv_sec;
967                ts.tv_nsec = tv.tv_usec*1000;
968                return ts;
969        } else if (packet->trace->format->get_seconds) {
970                /* seconds -> timespec */
971                double seconds = packet->trace->format->get_seconds(packet);
972                ts.tv_sec = (uint32_t)seconds;
973                ts.tv_nsec = (long)(((seconds - ts.tv_sec) * 1000000000)/UINT_MAX);
974                return ts;
975        }
976        else {
977                ts.tv_sec=-1;
978                ts.tv_nsec=-1;
979                return ts;
980        }
981}
982
983
984/* Get the current time in floating point seconds
985 * @param packet        a pointer to a libtrace_packet structure
986 * @returns time that this packet was seen in 64bit floating point seconds
987 */ 
988DLLEXPORT double trace_get_seconds(const libtrace_packet_t *packet) {
989        double seconds = 0.0;
990
991        if (packet->trace->format->get_seconds) {
992                /* seconds->seconds */
993                seconds = packet->trace->format->get_seconds(packet);
994        } else if (packet->trace->format->get_erf_timestamp) {
995                /* timestamp -> seconds */
996                uint64_t ts = 0;
997                ts = packet->trace->format->get_erf_timestamp(packet);
998                seconds =  (ts>>32) + ((ts & UINT_MAX)*1.0 / UINT_MAX);
999        } else if (packet->trace->format->get_timespec) {
1000                /* timespec -> seconds */
1001                struct timespec ts;
1002                ts = packet->trace->format->get_timespec(packet);
1003                seconds = ts.tv_sec + ((ts.tv_nsec * 1.0) / 1000000000);
1004        } else if (packet->trace->format->get_timeval) {
1005                /* timeval -> seconds */
1006                struct timeval tv;
1007                tv = packet->trace->format->get_timeval(packet);
1008                seconds = tv.tv_sec + ((tv.tv_usec * 1.0) / 1000000);
1009        }
1010
1011        return seconds;
1012}
1013
1014DLLEXPORT size_t trace_get_capture_length(const libtrace_packet_t *packet) 
1015{
1016        /* Cache the capture length */
1017        if (packet->capture_length == -1) {
1018                if (!packet->trace->format->get_capture_length)
1019                        return ~0U;
1020                /* Cast away constness because this is "just" a cache */
1021                ((libtrace_packet_t*)packet)->capture_length = 
1022                        packet->trace->format->get_capture_length(packet);
1023        }
1024
1025        assert(packet->capture_length < LIBTRACE_PACKET_BUFSIZE);
1026
1027        return packet->capture_length;
1028}
1029       
1030/* Get the size of the packet as it was seen on the wire.
1031 * @param packet        a pointer to a libtrace_packet structure
1032 *
1033 * @returns the size of the packet as it was on the wire.
1034 * @note Due to the trace being a header capture, or anonymisation this may
1035 * not be the same as the Capture Len.
1036 */ 
1037DLLEXPORT size_t trace_get_wire_length(const libtrace_packet_t *packet){
1038       
1039        if (packet->wire_length == -1) {
1040                if (!packet->trace->format->get_wire_length) 
1041                        return ~0U;
1042                ((libtrace_packet_t *)packet)->wire_length = 
1043                        packet->trace->format->get_wire_length(packet);
1044        }
1045
1046        assert(packet->wire_length < LIBTRACE_PACKET_BUFSIZE);
1047        return packet->wire_length;
1048
1049}
1050
1051/* Get the length of the capture framing headers.
1052 * @param packet        the packet opaque pointer
1053 * @returns the size of the packet as it was on the wire.
1054 * @note this length corresponds to the difference between the size of a
1055 * captured packet in memory, and the captured length of the packet
1056 */ 
1057DLLEXPORT SIMPLE_FUNCTION
1058size_t trace_get_framing_length(const libtrace_packet_t *packet) {
1059        if (packet->trace->format->get_framing_length) {
1060                return packet->trace->format->get_framing_length(packet);
1061        }
1062        return ~0U;
1063}
1064
1065
1066/* Get the type of the link layer
1067 * @param packet        a pointer to a libtrace_packet structure
1068 * @returns libtrace_linktype_t
1069 */
1070DLLEXPORT libtrace_linktype_t trace_get_link_type(const libtrace_packet_t *packet ) {
1071
1072        if (packet->link_type == 0) {
1073                if (!packet->trace->format->get_link_type)
1074                        return (libtrace_linktype_t)-1;
1075                ((libtrace_packet_t *)packet)->link_type =
1076                        packet->trace->format->get_link_type(packet);
1077        }
1078
1079        return packet->link_type;
1080}
1081
1082/* process a libtrace event
1083 * @param trace the libtrace opaque pointer
1084 * @param packet the libtrace_packet opaque pointer
1085 * @returns
1086 *  TRACE_EVENT_IOWAIT  Waiting on I/O on fd
1087 *  TRACE_EVENT_SLEEP   Next event in seconds
1088 *  TRACE_EVENT_PACKET  Packet arrived in buffer with size size
1089 *  TRACE_EVENT_TERMINATE Trace terminated (perhaps with an error condition)
1090 * FIXME currently keeps a copy of the packet inside the trace pointer,
1091 * which in turn is stored inside the new packet object...
1092 */
1093DLLEXPORT libtrace_eventobj_t trace_event(libtrace_t *trace, 
1094                libtrace_packet_t *packet) {
1095        libtrace_eventobj_t event = {TRACE_EVENT_IOWAIT,0,0.0,0};
1096
1097        if (!trace) {
1098                fprintf(stderr,"You called trace_event() with a NULL trace object!\n");
1099        }
1100        assert(trace);
1101        assert(packet);
1102
1103        /* Clear the packet cache */
1104        trace_clear_cache(packet);
1105       
1106        /* Store the trace we are reading from into the packet opaque
1107         * structure */
1108        packet->trace = trace;
1109
1110        if (packet->trace->format->trace_event) {
1111                event=packet->trace->format->trace_event(trace,packet);
1112                if (event.type == TRACE_EVENT_PACKET) {
1113                        ++trace->accepted_packets;
1114                }
1115        }
1116        return event;
1117
1118}
1119
1120/** Setup a BPF filter based on pre-compiled byte-code.
1121 * @param bf_insns      A pointer to the start of the byte-code
1122 * @param bf_len        The number of BPF instructions
1123 * @returns             an opaque pointer to a libtrace_filter_t object
1124 * @note                The supplied byte-code is not checked for correctness.
1125 * @author              Scott Raynel
1126 */
1127DLLEXPORT libtrace_filter_t *
1128trace_create_filter_from_bytecode(void *bf_insns, unsigned int bf_len)
1129{
1130#ifndef HAVE_BPF_FILTER
1131        fprintf(stderr, "This version of libtrace does not have BPF support\n");
1132        return NULL;
1133#else
1134        struct libtrace_filter_t *filter = (struct libtrace_filter_t *)
1135                malloc(sizeof(struct libtrace_filter_t));
1136        filter->filter.bf_insns = (struct bpf_insn *)
1137                malloc(sizeof(struct bpf_insn) * bf_len);
1138       
1139        memcpy(filter->filter.bf_insns, bf_insns,
1140                        bf_len * sizeof(struct bpf_insn));
1141       
1142        filter->filter.bf_len = bf_len;
1143        filter->filterstring = NULL;
1144        filter->jitfilter = NULL;
1145        /* "flag" indicates that the filter member is valid */
1146        filter->flag = 1; 
1147       
1148        return filter;
1149#endif
1150}
1151
1152/* Create a BPF filter
1153 * @param filterstring a char * containing the bpf filter string
1154 * @returns opaque pointer pointer to a libtrace_filter_t object
1155 */
1156DLLEXPORT libtrace_filter_t *trace_create_filter(const char *filterstring) {
1157#ifdef HAVE_BPF_FILTER
1158        libtrace_filter_t *filter = (libtrace_filter_t*)
1159                                malloc(sizeof(libtrace_filter_t));
1160        filter->filterstring = strdup(filterstring);
1161        filter->jitfilter = NULL;
1162        filter->flag = 0;
1163        return filter;
1164#else
1165        fprintf(stderr,"This version of libtrace does not have bpf filter support\n");
1166        return NULL;
1167#endif
1168}
1169
1170DLLEXPORT void trace_destroy_filter(libtrace_filter_t *filter)
1171{
1172#ifdef HAVE_BPF_FILTER
1173        free(filter->filterstring);
1174        if (filter->flag)
1175                pcap_freecode(&filter->filter);
1176#ifdef HAVE_LLVM
1177        if (filter->jitfilter) 
1178                destroy_program(filter->jitfilter);
1179#endif
1180        free(filter);
1181#else
1182
1183#endif
1184}
1185
1186/* Compile a bpf filter, now we know the link type for the trace that we're
1187 * applying it to.
1188 *
1189 * @internal
1190 *
1191 * @returns -1 on error, 0 on success
1192 */
1193static int trace_bpf_compile(libtrace_filter_t *filter,
1194                const libtrace_packet_t *packet,
1195                void *linkptr, 
1196                libtrace_linktype_t linktype    ) {
1197#ifdef HAVE_BPF_FILTER
1198        assert(filter);
1199
1200        /* If this isn't a real packet, then fail */
1201        if (!linkptr) {
1202                trace_set_err(packet->trace,
1203                                TRACE_ERR_BAD_FILTER,"Packet has no payload");
1204                return -1;
1205        }
1206       
1207        if (filter->filterstring && ! filter->flag) {
1208                pcap_t *pcap = NULL;
1209                if (linktype==(libtrace_linktype_t)-1) {
1210                        trace_set_err(packet->trace,
1211                                        TRACE_ERR_BAD_FILTER,
1212                                        "Packet has an unknown linktype");
1213                        return -1;
1214                }
1215                if (libtrace_to_pcap_dlt(linktype) == ~1U) {
1216                        trace_set_err(packet->trace,TRACE_ERR_BAD_FILTER,
1217                                        "Unknown pcap equivalent linktype");
1218                        return -1;
1219                }
1220                pcap=(pcap_t *)pcap_open_dead(
1221                                (int)libtrace_to_pcap_dlt(linktype),
1222                                1500U);
1223                /* build filter */
1224                assert(pcap);
1225                if (pcap_compile( pcap, &filter->filter, filter->filterstring, 
1226                                        1, 0)) {
1227                        trace_set_err(packet->trace,TRACE_ERR_BAD_FILTER,
1228                                        "Unable to compile the filter \"%s\": %s", 
1229                                        filter->filterstring,
1230                                        pcap_geterr(pcap));
1231                        pcap_close(pcap);
1232                        return -1;
1233                }
1234                pcap_close(pcap);
1235                filter->flag=1;
1236        }
1237        return 0;
1238#else
1239        assert(!"Internal bug: This should never be called when BPF not enabled");
1240        trace_set_err(packet->trace,TRACE_ERR_OPTION_UNAVAIL,
1241                                "Feature unavailable");
1242        return -1;
1243#endif
1244}
1245
1246DLLEXPORT int trace_apply_filter(libtrace_filter_t *filter,
1247                        const libtrace_packet_t *packet) {
1248#ifdef HAVE_BPF_FILTER
1249        void *linkptr = 0;
1250        uint32_t clen = 0;
1251        bool free_packet_needed = false;
1252        int ret;
1253        libtrace_linktype_t linktype;
1254        libtrace_packet_t *packet_copy = (libtrace_packet_t*)packet;
1255
1256        assert(filter);
1257        assert(packet);
1258
1259        /* Match all non-data packets as we probably want them to pass
1260         * through to the caller */
1261        linktype = trace_get_link_type(packet);
1262
1263        if (linktype == TRACE_TYPE_NONDATA)
1264                return 1;       
1265
1266        if (libtrace_to_pcap_dlt(linktype)==~0U) {
1267               
1268                /* If we cannot get a suitable DLT for the packet, it may
1269                 * be because the packet is encapsulated in a link type that
1270                 * does not correspond to a DLT. Therefore, we should try
1271                 * popping off headers until we either can find a suitable
1272                 * link type or we can't do any more sensible decapsulation. */
1273               
1274                /* Copy the packet, as we don't want to trash the one we
1275                 * were passed in */
1276                packet_copy=trace_copy_packet(packet);
1277                free_packet_needed=true;
1278
1279                while (libtrace_to_pcap_dlt(linktype) == ~0U) {
1280                        if (!demote_packet(packet_copy)) {
1281                                trace_set_err(packet->trace, 
1282                                                TRACE_ERR_NO_CONVERSION,
1283                                                "pcap does not support this format");
1284                                if (free_packet_needed) {
1285                                        trace_destroy_packet(packet_copy);
1286                                }
1287                                return -1;
1288                        }
1289                        linktype = trace_get_link_type(packet_copy);
1290                }
1291
1292        }
1293       
1294        linkptr = trace_get_packet_buffer(packet_copy,NULL,&clen);
1295        if (!linkptr) {
1296                if (free_packet_needed) {
1297                        trace_destroy_packet(packet_copy);
1298                }
1299                return 0;
1300        }
1301
1302        /* We need to compile the filter now, because before we didn't know
1303         * what the link type was
1304         */
1305        if (trace_bpf_compile(filter,packet_copy,linkptr,linktype)==-1) {
1306                if (free_packet_needed) {
1307                        trace_destroy_packet(packet_copy);
1308                }
1309                return -1;
1310        }
1311
1312        /* If we're jitting, we may need to JIT the BPF code now too */
1313#if HAVE_LLVM
1314        if (!filter->jitfilter) {
1315                filter->jitfilter = compile_program(filter->filter.bf_insns, filter->filter.bf_len);
1316        }
1317#endif
1318
1319        assert(filter->flag);
1320        /* Now execute the filter */
1321#if HAVE_LLVM
1322        ret=filter->jitfilter->bpf_run((unsigned char *)linkptr, clen);
1323#else
1324        ret=bpf_filter(filter->filter.bf_insns,(u_char*)linkptr,(unsigned int)clen,(unsigned int)clen);
1325#endif
1326
1327        /* If we copied the packet earlier, make sure that we free it */
1328        if (free_packet_needed) {
1329                trace_destroy_packet(packet_copy);
1330        }
1331        return ret;
1332#else
1333        fprintf(stderr,"This version of libtrace does not have bpf filter support\n");
1334        return 0;
1335#endif
1336}
1337
1338/* Set the direction flag, if it has one
1339 * @param packet the packet opaque pointer
1340 * @param direction the new direction (0,1,2,3)
1341 * @returns a signed value containing the direction flag, or -1 if this is not supported
1342 */
1343DLLEXPORT libtrace_direction_t trace_set_direction(libtrace_packet_t *packet, 
1344                libtrace_direction_t direction) 
1345{
1346        assert(packet);
1347        if (packet->trace->format->set_direction) {
1348                return packet->trace->format->set_direction(packet,direction);
1349        }
1350        return (libtrace_direction_t)~0U;
1351}
1352
1353/* Get the direction flag, if it has one
1354 * @param packet a pointer to a libtrace_packet structure
1355 * @returns a signed value containing the direction flag, or -1 if this is not supported
1356 * The direction is defined as 0 for packets originating locally (ie, outbound)
1357 * and 1 for packets originating remotely (ie, inbound).
1358 * Other values are possible, which might be overloaded to mean special things
1359 * for a special trace.
1360 */
1361DLLEXPORT libtrace_direction_t trace_get_direction(const libtrace_packet_t *packet) 
1362{
1363        assert(packet);
1364        if (packet->trace->format->get_direction) {
1365                return packet->trace->format->get_direction(packet);
1366        }
1367        return (libtrace_direction_t)~0U;
1368}
1369
1370#define ROOT_SERVER(x) ((x) < 512)
1371#define ROOT_CLIENT(x) ((512 <= (x)) && ((x) < 1024))
1372#define NONROOT_SERVER(x) ((x) >= 5000)
1373#define NONROOT_CLIENT(x) ((1024 <= (x)) && ((x) < 5000))
1374#define DYNAMIC(x) ((49152 < (x)) && ((x) < 65535))
1375#define SERVER(x) ROOT_SERVER(x) || NONROOT_SERVER(x)
1376#define CLIENT(x) ROOT_CLIENT(x) || NONROOT_CLIENT(x)
1377
1378/* Attempt to deduce the 'server' port
1379 * @param protocol the IP protocol (eg, 6 or 17 for TCP or UDP)
1380 * @param source the TCP or UDP source port
1381 * @param dest the TCP or UDP destination port
1382 * @returns a hint as to which port is the server port
1383 */
1384DLLEXPORT int8_t trace_get_server_port(UNUSED uint8_t protocol, 
1385                uint16_t source, uint16_t dest) 
1386{
1387        /*
1388         * * If the ports are equal, return DEST
1389         * * Check for well-known ports in the given protocol
1390         * * Root server ports: 0 - 511
1391         * * Root client ports: 512 - 1023
1392         * * non-root client ports: 1024 - 4999
1393         * * non-root server ports: 5000+
1394         * * Check for static ranges: 1024 - 49151
1395         * * Check for dynamic ranges: 49152 - 65535
1396         * * flip a coin.
1397         */
1398       
1399        /* equal */
1400        if (source == dest)
1401                return USE_DEST;
1402
1403        /* root server port, 0 - 511 */
1404        if (ROOT_SERVER(source) && ROOT_SERVER(dest)) {
1405                if (source < dest)
1406                        return USE_SOURCE;
1407                return USE_DEST;
1408        }
1409
1410        if (ROOT_SERVER(source) && !ROOT_SERVER(dest))
1411                return USE_SOURCE;
1412        if (!ROOT_SERVER(source) && ROOT_SERVER(dest))
1413                return USE_DEST;
1414
1415        /* non-root server */
1416        if (NONROOT_SERVER(source) && NONROOT_SERVER(dest)) {
1417                if (source < dest)
1418                        return USE_SOURCE;
1419                return USE_DEST;
1420        }
1421        if (NONROOT_SERVER(source) && !NONROOT_SERVER(dest))
1422                return USE_SOURCE;
1423        if (!NONROOT_SERVER(source) && NONROOT_SERVER(dest))
1424                return USE_DEST;
1425
1426        /* root client */
1427        if (ROOT_CLIENT(source) && ROOT_CLIENT(dest)) {
1428                if (source < dest)
1429                        return USE_SOURCE;
1430                return USE_DEST;
1431        }
1432        if (ROOT_CLIENT(source) && !ROOT_CLIENT(dest)) {
1433                /* prefer root-client over nonroot-client */
1434                if (NONROOT_CLIENT(dest))
1435                        return USE_SOURCE;
1436                return USE_DEST;
1437        }
1438        if (!ROOT_CLIENT(source) && ROOT_CLIENT(dest)) {
1439                /* prefer root-client over nonroot-client */
1440                if (NONROOT_CLIENT(source))
1441                        return USE_DEST;
1442                return USE_SOURCE;
1443        }
1444       
1445        /* nonroot client */
1446        if (NONROOT_CLIENT(source) && NONROOT_CLIENT(dest)) {
1447                if (source < dest) 
1448                        return USE_SOURCE;
1449                return USE_DEST;
1450        }
1451        if (NONROOT_CLIENT(source) && !NONROOT_CLIENT(dest))
1452                return USE_DEST;
1453        if (!NONROOT_CLIENT(source) && NONROOT_CLIENT(dest))
1454                return USE_SOURCE;
1455
1456        /* dynamic range */
1457        if (DYNAMIC(source) && DYNAMIC(dest)) {
1458                if (source < dest)
1459                        return USE_SOURCE;
1460                return USE_DEST;
1461        }
1462        if (DYNAMIC(source) && !DYNAMIC(dest))
1463                return USE_DEST;
1464        if (!DYNAMIC(source) && DYNAMIC(dest))
1465                return USE_SOURCE;
1466        /*
1467        if (SERVER(source) && CLIENT(dest))
1468                return USE_SOURCE;
1469       
1470        if (SERVER(dest) && CLIENT(source))
1471                return USE_DEST;
1472        if (ROOT_SERVER(source) && !ROOT_SERVER(dest))
1473                return USE_SOURCE;
1474        if (ROOT_SERVER(dest) && !ROOT_SERVER(source))
1475                return USE_DEST;
1476        */
1477        /* failing that test... */
1478        if (source < dest) {
1479                return USE_SOURCE;
1480        } 
1481        return USE_DEST;
1482       
1483}
1484
1485/* Truncate the packet at the suggested length
1486 * @param packet        the packet opaque pointer
1487 * @param size          the new length of the packet
1488 * @returns the new size of the packet
1489 * @note size and the return size refer to the network-level payload of the
1490 * packet, and do not include any capture headers. For example, to truncate a
1491 * packet after the IP header, set size to sizeof(ethernet_header) +
1492 * sizeof(ip_header)
1493 * @note If the original network-level payload is smaller than size, then the
1494 * original size is returned and the packet is left unchanged.
1495 */
1496DLLEXPORT size_t trace_set_capture_length(libtrace_packet_t *packet, size_t size) {
1497        assert(packet);
1498
1499        if (packet->trace->format->set_capture_length) {
1500                packet->capture_length = packet->trace->format->set_capture_length(packet,size);
1501                return packet->capture_length;
1502        }
1503
1504        return ~0U;
1505}
1506
1507/* Splits a URI into two components - the format component which is seen before
1508 * the ':', and the uridata which follows the ':'.
1509 *
1510 * Returns a pointer to the URI data, but updates the format parameter to
1511 * point to a copy of the format component.
1512 */
1513
1514DLLEXPORT const char * trace_parse_uri(const char *uri, char **format) {
1515        const char *uridata = 0;
1516       
1517        if((uridata = strchr(uri,':')) == NULL) {
1518                /* Badly formed URI - needs a : */
1519                return 0;
1520        }
1521
1522        if ((unsigned)(uridata - uri) > URI_PROTO_LINE) {
1523                /* Badly formed URI - uri type is too long */
1524                return 0;
1525        }
1526
1527        /* NOTE: this is allocated memory - it should be freed by the caller
1528         * once they are done with it */
1529        *format=xstrndup(uri, (size_t)(uridata - uri));
1530
1531        /* Push uridata past the delimiter */
1532        uridata++;
1533       
1534        return uridata;
1535}
1536
1537enum base_format_t trace_get_format(libtrace_packet_t *packet) 
1538{
1539        assert(packet);
1540
1541        return packet->trace->format->type;
1542}
1543       
1544DLLEXPORT libtrace_err_t trace_get_err(libtrace_t *trace)
1545{
1546        libtrace_err_t err = trace->err;
1547        trace->err.err_num = 0; /* "OK" */
1548        trace->err.problem[0]='\0';
1549        return err;
1550}
1551
1552DLLEXPORT bool trace_is_err(libtrace_t *trace)
1553{
1554        return trace->err.err_num != 0;
1555}
1556
1557/* Prints the input error status to standard error and clears the error state */
1558DLLEXPORT void trace_perror(libtrace_t *trace,const char *msg,...)
1559{
1560        char buf[256];
1561        va_list va;
1562        va_start(va,msg);
1563        vsnprintf(buf,sizeof(buf),msg,va);
1564        va_end(va);
1565        if(trace->err.err_num) {
1566                if (trace->uridata) {
1567                        fprintf(stderr,"%s(%s): %s\n",
1568                                        buf,trace->uridata,trace->err.problem);
1569                } else {
1570                        fprintf(stderr,"%s: %s\n", buf, trace->err.problem);
1571                }
1572        } else {
1573                if (trace->uridata) {
1574                        fprintf(stderr,"%s(%s): No error\n",buf,trace->uridata);
1575                } else {
1576                        fprintf(stderr,"%s: No error\n", buf);
1577                }
1578        }
1579        trace->err.err_num = 0; /* "OK" */
1580        trace->err.problem[0]='\0';
1581}
1582
1583DLLEXPORT libtrace_err_t trace_get_err_output(libtrace_out_t *trace)
1584{
1585        libtrace_err_t err = trace->err;
1586        trace->err.err_num = TRACE_ERR_NOERROR; /* "OK" */
1587        trace->err.problem[0]='\0';
1588        return err;
1589}
1590
1591DLLEXPORT bool trace_is_err_output(libtrace_out_t *trace)
1592{
1593        return trace->err.err_num != 0;
1594}
1595
1596/* Prints the output error status to standard error and clears the error state
1597 */
1598DLLEXPORT void trace_perror_output(libtrace_out_t *trace,const char *msg,...)
1599{
1600        char buf[256];
1601        va_list va;
1602        va_start(va,msg);
1603        vsnprintf(buf,sizeof(buf),msg,va);
1604        va_end(va);
1605        if(trace->err.err_num) {
1606                fprintf(stderr,"%s(%s): %s\n",
1607                                buf,
1608                                trace->uridata?trace->uridata:"no uri",
1609                                trace->err.problem);
1610        } else {
1611                fprintf(stderr,"%s(%s): No error\n",buf,trace->uridata);
1612        }
1613        trace->err.err_num = TRACE_ERR_NOERROR; /* "OK" */
1614        trace->err.problem[0]='\0';
1615}
1616
1617DLLEXPORT int trace_seek_erf_timestamp(libtrace_t *trace, uint64_t ts)
1618{
1619        if (trace->format->seek_erf) {
1620                return trace->format->seek_erf(trace,ts);
1621        }
1622        else {
1623                if (trace->format->seek_timeval) {
1624                        struct timeval tv;
1625#if __BYTE_ORDER == __BIG_ENDIAN
1626                        tv.tv_sec = ts & 0xFFFFFFFF;
1627                        tv.tv_usec = ((ts >> 32) * 1000000) & 0xFFFFFFFF;
1628#elif __BYTE_ORDER == __LITTLE_ENDIAN
1629                        tv.tv_sec = ts >> 32;
1630                        tv.tv_usec = ((ts&0xFFFFFFFF)*1000000)>>32;
1631#else
1632#error "What on earth are you running this on?"
1633#endif
1634                        if (tv.tv_usec >= 1000000) {
1635                                tv.tv_usec -= 1000000;
1636                                tv.tv_sec += 1;
1637                        }
1638                        return trace->format->seek_timeval(trace,tv);
1639                }
1640                if (trace->format->seek_seconds) {
1641                        double seconds = 
1642                                (ts>>32) + ((ts & UINT_MAX)*1.0 / UINT_MAX);
1643                        return trace->format->seek_seconds(trace,seconds);
1644                }
1645                trace_set_err(trace,
1646                                TRACE_ERR_OPTION_UNAVAIL,
1647                                "Feature unimplemented");
1648                return -1;
1649        }
1650}
1651
1652DLLEXPORT int trace_seek_seconds(libtrace_t *trace, double seconds)
1653{
1654        if (trace->format->seek_seconds) {
1655                return trace->format->seek_seconds(trace,seconds);
1656        }
1657        else {
1658                if (trace->format->seek_timeval) {
1659                        struct timeval tv;
1660                        tv.tv_sec = (uint32_t)seconds;
1661                        tv.tv_usec = (uint32_t)(((seconds - tv.tv_sec) * 1000000)/UINT_MAX);
1662                        return trace->format->seek_timeval(trace,tv);
1663                }
1664                if (trace->format->seek_erf) {
1665                        uint64_t timestamp = 
1666                                ((uint64_t)((uint32_t)seconds) << 32) + \
1667                            (uint64_t)(( seconds - (uint32_t)seconds   ) * UINT_MAX);
1668                        return trace->format->seek_erf(trace,timestamp);
1669                }
1670                trace_set_err(trace,
1671                                TRACE_ERR_OPTION_UNAVAIL,
1672                                "Feature unimplemented");
1673                return -1;
1674        }
1675}
1676
1677DLLEXPORT int trace_seek_timeval(libtrace_t *trace, struct timeval tv)
1678{
1679        if (trace->format->seek_timeval) {
1680                return trace->format->seek_timeval(trace,tv);
1681        }
1682        else {
1683                if (trace->format->seek_erf) {
1684                        uint64_t timestamp = ((((uint64_t)tv.tv_sec) << 32) + \
1685                                (((uint64_t)tv.tv_usec * UINT_MAX)/1000000));
1686                        return trace->format->seek_erf(trace,timestamp);
1687                }
1688                if (trace->format->seek_seconds) {
1689                        double seconds = tv.tv_sec + ((tv.tv_usec * 1.0)/1000000);
1690                        return trace->format->seek_seconds(trace,seconds);
1691                }
1692                trace_set_err(trace,
1693                                TRACE_ERR_OPTION_UNAVAIL,
1694                                "Feature unimplemented");
1695                return -1;
1696        }
1697}
1698
1699/* Converts a binary ethernet MAC address into a printable string */
1700DLLEXPORT char *trace_ether_ntoa(const uint8_t *addr, char *buf)
1701{
1702        static char staticbuf[18]={0,};
1703        if (!buf)
1704                buf=staticbuf;
1705        snprintf(buf,(size_t)18,"%02x:%02x:%02x:%02x:%02x:%02x",
1706                        addr[0],addr[1],addr[2],
1707                        addr[3],addr[4],addr[5]);
1708        return buf;
1709}
1710
1711/* Converts a printable ethernet MAC address into a binary format */
1712DLLEXPORT uint8_t *trace_ether_aton(const char *buf, uint8_t *addr)
1713{
1714        uint8_t *buf2 = addr;
1715        unsigned int tmp[6];
1716        static uint8_t staticaddr[6];
1717        if (!buf2)
1718                buf2=staticaddr;
1719        sscanf(buf,"%x:%x:%x:%x:%x:%x",
1720                        &tmp[0],&tmp[1],&tmp[2],
1721                        &tmp[3],&tmp[4],&tmp[5]);
1722        buf2[0]=tmp[0]; buf2[1]=tmp[1]; buf2[2]=tmp[2];
1723        buf2[3]=tmp[3]; buf2[4]=tmp[4]; buf2[5]=tmp[5];
1724        return buf2;
1725}
1726
1727
1728/* Creates a libtrace packet from scratch using the contents of the provided
1729 * buffer as the packet payload.
1730 *
1731 * Unlike trace_prepare_packet(), the buffer should not contain any capture
1732 * format headers; instead this function will add the PCAP header to the
1733 * packet record. This also means only PCAP packets can be constructed using
1734 * this function.
1735 *
1736 */
1737DLLEXPORT
1738void trace_construct_packet(libtrace_packet_t *packet,
1739                libtrace_linktype_t linktype,
1740                const void *data,
1741                uint16_t len)
1742{
1743        size_t size;
1744        static libtrace_t *deadtrace=NULL;
1745        libtrace_pcapfile_pkt_hdr_t hdr;
1746#ifdef WIN32
1747        struct _timeb tstruct;
1748#else
1749        struct timeval tv;
1750#endif
1751
1752        /* We need a trace to attach the constructed packet to (and it needs
1753         * to be PCAP) */
1754        if (NULL == deadtrace) 
1755                deadtrace=trace_create_dead("pcapfile");
1756
1757        /* Fill in the new PCAP header */
1758#ifdef WIN32
1759        _ftime(&tstruct);
1760        hdr.ts_sec=tstruct.time;
1761        hdr.ts_usec=tstruct.millitm * 1000;
1762#else
1763        gettimeofday(&tv,NULL);
1764        hdr.ts_sec=tv.tv_sec;
1765        hdr.ts_usec=tv.tv_usec;
1766#endif
1767
1768        hdr.caplen=len;
1769        hdr.wirelen=len;
1770
1771        /* Now fill in the libtrace packet itself */
1772        packet->trace=deadtrace;
1773        size=len+sizeof(hdr);
1774        if (packet->buf_control==TRACE_CTRL_PACKET) {
1775                packet->buffer=realloc(packet->buffer,size);
1776        }
1777        else {
1778                packet->buffer=malloc(size);
1779        }
1780        packet->buf_control=TRACE_CTRL_PACKET;
1781        packet->header=packet->buffer;
1782        packet->payload=(void*)((char*)packet->buffer+sizeof(hdr));
1783       
1784        /* Ugh, memcpy - sadly necessary */
1785        memcpy(packet->header,&hdr,sizeof(hdr));
1786        memcpy(packet->payload,data,(size_t)len);
1787        packet->type=pcap_linktype_to_rt(libtrace_to_pcap_linktype(linktype));
1788
1789        trace_clear_cache(packet);
1790}
1791
1792
1793uint64_t trace_get_received_packets(libtrace_t *trace)
1794{
1795        assert(trace);
1796        if (trace->format->get_received_packets) {
1797                return trace->format->get_received_packets(trace);
1798        }
1799        return (uint64_t)-1;
1800}
1801
1802uint64_t trace_get_filtered_packets(libtrace_t *trace)
1803{
1804        assert(trace);
1805        if (trace->format->get_filtered_packets) {
1806                return trace->format->get_filtered_packets(trace)+
1807                        trace->filtered_packets;
1808        }
1809        if (trace->format->get_received_packets
1810                && trace->format->get_dropped_packets) {
1811                return 
1812                        ((trace_get_received_packets(trace)
1813                        -trace_get_accepted_packets(trace))
1814                        -trace_get_dropped_packets(trace))
1815                        +trace->filtered_packets;
1816        }
1817        return trace->filtered_packets;
1818}
1819
1820uint64_t trace_get_dropped_packets(libtrace_t *trace)
1821{
1822        assert(trace);
1823        if (trace->format->get_dropped_packets) {
1824                return trace->format->get_dropped_packets(trace);
1825        }
1826        return (uint64_t)-1;
1827}
1828
1829uint64_t trace_get_accepted_packets(libtrace_t *trace)
1830{
1831        assert(trace);
1832        return trace->accepted_packets;
1833}
1834
1835void trace_clear_cache(libtrace_packet_t *packet) {
1836
1837        packet->l2_header = NULL;
1838        packet->l3_header = NULL;
1839        packet->l4_header = NULL;
1840        packet->link_type = 0;
1841        packet->l3_ethertype = 0;
1842        packet->transport_proto = 0;
1843        packet->capture_length = -1;
1844        packet->wire_length = -1;
1845        packet->payload_length = -1;
1846        packet->l2_remaining = 0;
1847        packet->l3_remaining = 0;
1848        packet->l4_remaining = 0;
1849
1850}
1851
1852void trace_interrupt(void) {
1853        libtrace_halt = 1;
1854}
1855
1856void register_format(struct libtrace_format_t *f) {
1857        assert(f->next==NULL); /* Can't register a format twice */
1858        f->next=formats_list;
1859        formats_list=f;
1860
1861        /* Now, verify that the format has at least the minimum functionality.
1862         *
1863         * This #if can be changed to a 1 to output warnings about inconsistent
1864         * functions being provided by format modules.  This generally is very
1865         * noisy, as almost all modules don't implement one or more functions
1866         * for various reasons.  This is very useful when checking a new
1867         * format module is sane.
1868         */ 
1869#if 0
1870        if (f->init_input) {
1871#define REQUIRE(x) \
1872                if (!f->x) \
1873                        fprintf(stderr,"%s: Input format should provide " #x "\n",f->name)
1874                REQUIRE(read_packet);
1875                REQUIRE(start_input);
1876                REQUIRE(fin_input);
1877                REQUIRE(get_link_type);
1878                REQUIRE(get_capture_length);
1879                REQUIRE(get_wire_length);
1880                REQUIRE(get_framing_length);
1881                REQUIRE(trace_event);
1882                if (!f->get_erf_timestamp
1883                        && !f->get_seconds
1884                        && !f->get_timeval) {
1885                        fprintf(stderr,"%s: A trace format capable of input, should provide at least one of\n"
1886"get_erf_timestamp, get_seconds or trace_timeval\n",f->name);
1887                }
1888                if (f->trace_event!=trace_event_trace) {
1889                        /* Theres nothing that a trace file could optimise with
1890                         * config_input
1891                         */
1892                        REQUIRE(pause_input);
1893                        REQUIRE(config_input);
1894                        REQUIRE(get_fd);
1895                }
1896                else {
1897                        if (f->get_fd) {
1898                                fprintf(stderr,"%s: Unnecessary get_fd\n",
1899                                                f->name);
1900                        }
1901                }
1902#undef REQUIRE
1903        }
1904        else {
1905#define REQUIRE(x) \
1906                if (f->x) \
1907                        fprintf(stderr,"%s: Non Input format shouldn't need " #x "\n",f->name)
1908                REQUIRE(read_packet);
1909                REQUIRE(start_input);
1910                REQUIRE(pause_input);
1911                REQUIRE(fin_input);
1912                REQUIRE(get_link_type);
1913                REQUIRE(get_capture_length);
1914                REQUIRE(get_wire_length);
1915                REQUIRE(get_framing_length);
1916                REQUIRE(trace_event);
1917                REQUIRE(get_seconds);
1918                REQUIRE(get_timeval);
1919                REQUIRE(get_erf_timestamp);
1920#undef REQUIRE
1921        }
1922        if (f->init_output) {
1923#define REQUIRE(x) \
1924                if (!f->x) \
1925                        fprintf(stderr,"%s: Output format should provide " #x "\n",f->name)
1926                REQUIRE(write_packet);
1927                REQUIRE(start_output);
1928                REQUIRE(config_output);
1929                REQUIRE(fin_output);
1930#undef REQUIRE
1931        }
1932        else {
1933#define REQUIRE(x) \
1934                if (f->x) \
1935                        fprintf(stderr,"%s: Non Output format shouldn't need " #x "\n",f->name)
1936                REQUIRE(write_packet);
1937                REQUIRE(start_output);
1938                REQUIRE(config_output);
1939                REQUIRE(fin_output);
1940#undef REQUIRE
1941        }
1942#endif
1943}
1944
Note: See TracBrowser for help on using the repository browser.