source: lib/trace.c @ 6c05d2c

4.0.1-hotfixescachetimestampsdevelopdpdk-ndagetsilivegetfragoffhelplibtrace4ndag_formatpfringrc-4.0.1rc-4.0.2rc-4.0.3rc-4.0.4ringdecrementfixringperformanceringtimestampfixes
Last change on this file since 6c05d2c was 6c05d2c, checked in by Daniel Lawson <dlawson@…>, 17 years ago

added conditionals to check for different bpf.h

  • Property mode set to 100644
File size: 33.7 KB
Line 
1/*
2 * This file is part of libtrace
3 *
4 * Copyright (c) 2004 The University of Waikato, Hamilton, New Zealand.
5 * Authors: Daniel Lawson
6 *          Perry Lorier
7 *         
8 * All rights reserved.
9 *
10 * This code has been developed by the University of Waikato WAND
11 * research group. For further information please see http://www.wand.net.nz/
12 *
13 * libtrace is free software; you can redistribute it and/or modify
14 * it under the terms of the GNU General Public License as published by
15 * the Free Software Foundation; either version 2 of the License, or
16 * (at your option) any later version.
17 *
18 * libtrace is distributed in the hope that it will be useful,
19 * but WITHOUT ANY WARRANTY; without even the implied warranty of
20 * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
21 * GNU General Public License for more details.
22 *
23 * You should have received a copy of the GNU General Public License
24 * along with libtrace; if not, write to the Free Software
25 * Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307  USA
26 *
27 * $Id$
28 *
29 */
30
31/** @file
32 *
33 * @brief Trace file processing library
34 *
35 * @author Daniel Lawson
36 * @author Perry Lorier
37 *
38 */
39#define _GNU_SOURCE
40
41#include "common.h"
42#include <assert.h>
43#include <errno.h>
44#include <fcntl.h>
45#include <net/ethernet.h>
46#include <netdb.h>
47#include <pcap.h>
48#include <stdio.h>
49#include <stdlib.h>
50#include <string.h>
51#include <sys/stat.h>
52#include <sys/types.h>
53#include <sys/socket.h>
54#include <sys/un.h>
55#include <unistd.h>
56#include <time.h>
57#include <sys/ioctl.h>
58
59#include "libtrace.h"
60#include "fifo.h"
61
62#ifdef HAVE_PCAP_BPF_H
63#  include <pcap-bpf.h>
64#else
65#  ifdef HAVE_NET_BPF_H
66#    include <net/bpf.h>
67#  endif
68#endif
69
70#include <pcap.h>
71
72#include "dagformat.h"
73
74#include "wag.h"
75
76#include <zlib.h>
77
78
79typedef enum {SOCKET, TRACE, STDIN, DEVICE, INTERFACE, RT } source_t;
80
81typedef enum {ERF, PCAP, PCAPINT, DAG, RTCLIENT, WAG, WAGINT } format_t;
82
83struct libtrace_filter_t {
84        struct bpf_insn *filter;
85        char * filterstring;
86};
87
88struct libtrace_t {
89        format_t format;
90        source_t sourcetype;
91        union {
92                struct {
93                        char *hostname;
94                        short port;
95                } rt;
96                char *path;
97                char *interface;
98        } conn_info;
99        union {
100                int fd;
101                gzFile *file;
102                pcap_t *pcap;
103        } input;
104        struct fifo_t *fifo;   
105        struct {
106                void *buffer;
107                int size;
108        } packet;
109        double last_ts;
110        double start_ts;
111};
112
113#define URI_PROTO_LINE 16
114static int init_trace(struct libtrace_t **libtrace, char *uri) {
115        char *scan = calloc(sizeof(char),URI_PROTO_LINE);
116        char *uridata = 0;
117       
118        // parse the URI to determine what sort of event we are dealing with
119       
120        // want snippet before the : to get the uri base type.
121
122        if((uridata = strchr(uri,':')) == NULL) {
123                // badly formed URI - needs a :
124                return 0;
125        }
126
127        if ((*uridata - *uri) > URI_PROTO_LINE) {
128                // badly formed URI - uri type is too long
129                return 0;
130        }
131        strncpy(scan,uri, (uridata - uri));
132
133        if (!strncasecmp(scan,"erf",3)) {
134                (*libtrace)->format=ERF;
135        } else if (!strncasecmp(scan,"pcapint",7)) {
136                (*libtrace)->format=PCAPINT;
137        } else if (!strncasecmp(scan,"pcap",4)) {
138                (*libtrace)->format=PCAP;
139        } else if (!strncasecmp(scan,"dag",3)) {
140                (*libtrace)->format=DAG;
141        } else if (!strncasecmp(scan,"rtclient",7)) {
142                (*libtrace)->format=RTCLIENT;
143        } else if (!strncasecmp(scan,"wagint",6)) {
144                (*libtrace)->format=WAGINT;
145        } else if (!strncasecmp(scan,"wag",3)) {
146                (*libtrace)->format=WAG;
147        } else {
148                //badly formed URI
149                return 0;
150        }
151       
152        // push uridata past the delimiter
153        uridata++;
154       
155        // libtrace->format now contains the type of uri
156        // libtrace->uridata contains the appropriate data for this
157       
158        switch((*libtrace)->format) {
159                case PCAPINT:
160                case WAGINT:
161                        /* Can have uridata of the following format
162                         * eth0
163                         * etc
164                         */
165                        // We basically assume this is correct.
166                        (*libtrace)->sourcetype = INTERFACE;   
167                        (*libtrace)->conn_info.path = strdup(uridata);
168                        break;
169                case PCAP:
170                case ERF:
171                case WAG:
172                case DAG:
173                        /*
174                         * Can have uridata of the following format
175                         * /path/to/socket
176                         * /path/to/file
177                         * /path/to/file.gz
178                         * /dev/device
179                         * -
180                         */
181                        if (!strncmp(uridata,"-",1)) {
182                                (*libtrace)->sourcetype = STDIN;
183                        } else {
184                                struct stat buf;
185                                if (stat(uridata,&buf) == -1) {
186                                        perror("stat");
187                                        return 0;
188                                }
189                                if (S_ISSOCK(buf.st_mode)) {
190                                        (*libtrace)->sourcetype = SOCKET;
191                                } else if (S_ISCHR(buf.st_mode)) {
192                                        (*libtrace)->sourcetype = DEVICE;
193                                } else {
194                                        (*libtrace)->sourcetype = TRACE;
195                                }
196                                (*libtrace)->conn_info.path = strdup(uridata);
197                        }
198                        break;
199
200                case RTCLIENT:
201                        /*
202                         * Can have the uridata in the format
203                         * hostname
204                         * hostname:port
205                         */
206                        (*libtrace)->sourcetype = RT;
207                        if (strlen(uridata) == 0) {
208                                (*libtrace)->conn_info.rt.hostname = 
209                                        strdup("localhost");
210                                (*libtrace)->conn_info.rt.port = 
211                                        COLLECTOR_PORT;
212                                break;
213                        }
214                        if ((scan = strchr(uridata,':')) == NULL) {
215                                (*libtrace)->conn_info.rt.hostname = 
216                                        strdup(uridata);
217                                (*libtrace)->conn_info.rt.port = 
218                                        COLLECTOR_PORT;
219                        } else {
220                                (*libtrace)->conn_info.rt.hostname =
221                                        strndup(uridata,(scan - uridata));
222                                       
223                                (*libtrace)->conn_info.rt.port = 
224                                        atoi(++scan);                           
225                        }
226                        break;
227        }
228       
229
230        (*libtrace)->fifo = create_fifo(1048576);
231        (*libtrace)->packet.buffer = 0;
232        (*libtrace)->packet.size = 0;
233
234        return 1;
235}
236
237/** Create a trace file from a URI
238 *
239 * @returns opaque pointer to a libtrace_t
240 *
241 * Valid URI's are:
242 *  erf:/path/to/erf/file
243 *  erf:/path/to/erf/file.gz
244 *  erf:/path/to/rtclient/socket
245 *  erf:-                       (stdin)
246 *  pcap:pcapinterface          (eg: pcap:eth0)
247 *  pcap:/path/to/pcap/file
248 *  pcap:/path/to/pcap/file.gz
249 *  pcap:-
250 *  rtclient:hostname
251 *  rtclient:hostname:port
252 *  wag:-
253 *  wag:/path/to/wag/file
254 *  wag:/path/to/wag/file.gz
255 *  wag:/path/to/wag/socket
256 *  wag:/dev/device
257 *
258 * URIs which have yet to be implemented are:
259 * dag:/dev/dagcard
260 * pcap:/path/to/pcap/socket
261 *
262 * If an error occured when attempting to open a trace, NULL is returned
263 * and an error is output to stdout.
264 */
265struct libtrace_t *trace_create(char *uri) {
266        struct libtrace_t *libtrace = malloc(sizeof(struct libtrace_t));
267        struct hostent *he;
268        struct sockaddr_in remote;
269        struct sockaddr_un unix_sock;
270        char errbuf[PCAP_ERRBUF_SIZE];
271
272        if(init_trace(&libtrace,uri) == 0) {
273                return 0;
274        }
275       
276        switch(libtrace->sourcetype) {
277                case RT:
278                        if ((he=gethostbyname(libtrace->conn_info.rt.hostname)) == NULL) { 
279                                perror("gethostbyname");
280                                return 0;
281                        } 
282                        if ((libtrace->input.fd = socket(AF_INET, SOCK_STREAM, 0)) == -1) {
283                                perror("socket");
284                                return 0;
285                        }
286
287                        remote.sin_family = AF_INET;   
288                        remote.sin_port = htons(libtrace->conn_info.rt.port);
289                        remote.sin_addr = *((struct in_addr *)he->h_addr);
290                        bzero(&(remote.sin_zero), 8);
291
292                        if (connect(libtrace->input.fd, (struct sockaddr *)&remote,
293                                                sizeof(struct sockaddr)) == -1) {
294                                perror("connect (inet)");
295                                return 0;
296                        }
297                        break;
298                case TRACE:
299                        if (libtrace->format == PCAP) {
300                                libtrace->input.pcap = pcap_open_offline(libtrace->conn_info.path, errbuf); 
301                                //TODO Check that the open succeeded
302                        } else {
303                                libtrace->input.file = gzopen(libtrace->conn_info.path, "r");
304                        }
305                        break;
306                case STDIN:
307                        if (libtrace->format == PCAP) {
308                                libtrace->input.pcap = pcap_open_offline("-",errbuf); 
309                        } else {
310                                libtrace->input.file = gzdopen(STDIN, "r");
311                        }
312                        break;
313                case SOCKET:
314                        /* Pcap doesn't work */
315                        if (libtrace->format != PCAP) {
316                                if ((libtrace->input.fd = socket(AF_UNIX, SOCK_STREAM, 0)) == -1) {
317                                        perror("socket");
318                                        return 0;
319                                }
320                                unix_sock.sun_family = AF_UNIX;
321                                bzero(unix_sock.sun_path,108);
322                                snprintf(unix_sock.sun_path,108,"%s",libtrace->conn_info.path);
323
324                                if (connect(libtrace->input.fd, (struct sockaddr *)&unix_sock,
325                                                        sizeof(struct sockaddr)) == -1) {
326                                        perror("connect (unix)");
327                                        return 0;
328                                }
329                        }
330                        break;
331                case DEVICE:
332                case INTERFACE:
333                        switch (libtrace->format) {
334                                case PCAPINT:
335                                case PCAP:
336                                        libtrace->input.pcap = pcap_open_live(
337                                                libtrace->conn_info.path,
338                                                4096,
339                                                1,
340                                                0,
341                                                errbuf);
342                                        break;
343                                default:
344                                        fprintf(stderr,"Unknown format trace, hoping I can just read\n");
345                                case WAGINT:
346                                case WAG:
347                                        libtrace->input.fd = open(
348                                                libtrace->conn_info.path,
349                                                O_RDONLY);
350                                        break;
351                        }
352                        break;
353                default:
354                        fprintf(stderr,"Unsupported source type for libtrace, terminating (%i)\n",libtrace->sourcetype);
355                        exit(0);
356               
357        }
358        return libtrace;
359}
360
361/** Close a trace file, freeing up any resources it may have been using
362 *
363 */
364void trace_destroy(struct libtrace_t *libtrace) {
365        assert(libtrace);
366        if (libtrace->format == PCAP || libtrace->format == PCAPINT) {
367                pcap_close(libtrace->input.pcap);
368        } else if (libtrace->sourcetype == SOCKET || libtrace->sourcetype == RT) {
369                close(libtrace->input.fd);
370        } else {
371                gzclose(libtrace->input.file);
372        }       
373        // need to free things!
374        destroy_fifo(libtrace->fifo);
375        free(libtrace);
376}
377
378static int trace_read(struct libtrace_t *libtrace, void *buffer, size_t len) {
379        int numbytes;
380        assert(libtrace);
381        assert(len >= 0);
382
383        if (buffer == 0)
384                buffer = malloc(len);
385
386        switch(libtrace->sourcetype) {
387                case SOCKET:
388                case RT:
389                        // read from the network
390                        if ((numbytes=recv(libtrace->input.fd, 
391                                                        buffer, 
392                                                        len, 
393                                                        0)) == -1) {
394                                perror("recv");
395                                return -1;
396                        }
397                        break;
398                case DEVICE:
399                        if ((numbytes=read(libtrace->input.fd, 
400                                                        buffer, 
401                                                        len)) == -1) {
402                                perror("read");
403                                return -1;
404                        }
405                        break;
406                default:
407                        if ((numbytes=gzread(libtrace->input.file,
408                                                        buffer,
409                                                        len)) == -1) {
410                                perror("gzread");
411                                return -1;
412                        }
413        }
414        return numbytes;
415
416}
417
418/** Read one packet from the trace into buffer
419 *
420 * @param libtrace      the libtrace opaque pointer
421 * @param packet        the packet opaque pointer
422 * @returns false if it failed to read a packet
423 *
424 */
425int trace_read_packet(struct libtrace_t *libtrace, struct libtrace_packet_t *packet) {
426        int numbytes;
427        int size;
428        char buf[4096];
429        struct pcap_pkthdr pcaphdr;
430        const u_char *pcappkt;
431        int read_required = 0;
432
433        void *buffer = 0;
434        if (!libtrace) {
435                fprintf(stderr,"Oi! You called trace_read_packet() with a NULL libtrace parameter!\n");
436        }
437        assert(libtrace);
438        assert(packet);
439
440        //bzero(buffer,len);
441     
442        /* Store the trace we are reading from into the packet opaque
443         * structure */
444        packet->trace = libtrace;
445
446        buffer = packet->buffer;
447        /* PCAP gives us it's own per-packet interface. Let's use it */
448        if (libtrace->format == PCAP || libtrace->format == PCAPINT) {
449                if ((pcappkt = pcap_next(libtrace->input.pcap, &pcaphdr)) == NULL) {
450                        return -1;
451                }
452                memcpy(buffer,&pcaphdr,sizeof(struct pcap_pkthdr));
453                memcpy(buffer + sizeof(struct pcap_pkthdr),pcappkt,pcaphdr.len);
454                numbytes = pcaphdr.len;
455       
456                packet->size = numbytes;
457                return numbytes;
458        } 
459
460        /* If we're reading from an ERF input, it's an offline trace. We can make some assumptions */
461       
462        if (libtrace->format == ERF) {
463                void *buffer2 = buffer;
464                // read in the trace header
465                if ((numbytes=gzread(libtrace->input.file,
466                                                buffer,
467                                                sizeof(dag_record_t))) == -1) {
468                        perror("gzread");
469                        return -1;
470                }
471                if (numbytes == 0) {
472                        return 0;
473                }
474                size = ntohs(((dag_record_t *)buffer)->rlen) - sizeof(dag_record_t);
475                assert(size < LIBTRACE_PACKET_BUFSIZE);
476                buffer2 += sizeof(dag_record_t);
477
478                // read in the rest of the packet
479                if ((numbytes=gzread(libtrace->input.file,
480                                                buffer2,
481                                                size)) == -1) {
482                        perror("gzread");
483                        return -1;
484                }
485                packet->size = numbytes + sizeof(dag_record_t);
486                return sizeof(dag_record_t) + numbytes;
487        }
488        do {
489                if (fifo_out_available(libtrace->fifo) == 0 || read_required) {
490                        if ((numbytes = trace_read(libtrace,buf,4096))<=0){
491                                return numbytes; 
492                        }
493                        fifo_write(libtrace->fifo,buf,numbytes);
494
495                        read_required = 0;
496                }
497
498                switch (libtrace->format) {
499                        case RTCLIENT:
500                                // only do this if we're reading from the RT interface
501                                if (fifo_out_read(libtrace->fifo, &packet->status, sizeof(int)) == 0) {
502                                        read_required = 1;
503                                        continue;
504                                }
505
506                                fifo_out_update(libtrace->fifo,sizeof(int));
507
508                                /* FALL THRU */
509                        case ERF:
510                        case DAG:
511                                // read in the erf header
512                                if ((numbytes = fifo_out_read(libtrace->fifo, buffer, sizeof(dag_record_t))) == 0) {
513                                        fifo_out_reset(libtrace->fifo);
514                                        read_required = 1;
515                                        continue;
516                                }
517
518                                size = ntohs(((dag_record_t *)buffer)->rlen);
519                                break;
520                        case WAG:
521                                if ((numbytes = fifo_out_read(libtrace->fifo,
522                                                                &size,
523                                                                sizeof(size))) 
524                                                                == 0) {
525                                        fifo_out_reset(libtrace->fifo);
526                                        read_required = 1;
527                                        continue;
528                                }
529                                size*=4;
530                                break;
531                        default:
532                                fprintf(stderr,"Unknown type in _read()\n");
533                                assert(0);
534                }
535
536                assert(size < LIBTRACE_PACKET_BUFSIZE);
537
538                // read in the full packet
539                if ((numbytes = fifo_out_read(libtrace->fifo, buffer, size)) == 0) {
540                        fifo_out_reset(libtrace->fifo);
541                        read_required = 1;
542                        continue;
543                }
544
545                // got in our whole packet, so...
546                fifo_out_update(libtrace->fifo,size);
547
548                if (libtrace->sourcetype == SOCKET || libtrace->sourcetype == RT) {
549                        fifo_ack_update(libtrace->fifo,size + sizeof(int));
550                } else {
551                        fifo_ack_update(libtrace->fifo,size);
552                }
553               
554                packet->size = numbytes;
555                return numbytes;
556
557        } while (1);
558}
559
560
561/** get a pointer to the link layer
562 * @param libtrace      a pointer to the trace object returned from gettrace
563 * @param buffer        a pointer to a filled in buffer
564 * @param buflen        a pointer to the size of the buffer
565 *
566 * @returns a pointer to the link layer, or NULL if there is no link layer
567 * you should call trace_get_link_type() to find out what type of link layer this is
568 */
569void *trace_get_link(struct libtrace_packet_t *packet) {
570        void *ethptr = 0;
571       
572        struct wag_event_t *event = (struct wag_event_t *)packet->buffer;
573        struct wag_data_event_t *data_event;
574       
575       
576        switch(packet->trace->format) {
577                case ERF:
578                case DAG:
579                case RTCLIENT:
580                        if (trace_get_link_type(packet)==TRACE_TYPE_ETH) 
581                                ethptr = ((uint8_t *)packet->buffer + 
582                                                dag_record_size + 2);
583                        else
584                                ethptr = ((uint8_t *)packet->buffer + 
585                                                dag_record_size + 2);
586                        break;
587                case PCAPINT:
588                case PCAP:
589                        ethptr = (struct ether_header *)(packet->buffer + sizeof(struct pcap_pkthdr));
590                        break;
591                case WAGINT:
592                case WAG:
593                        switch (event->type) {
594                                case 0x0:
595                                        data_event = (void*)&(event->payload);
596                                        return data_event->data;
597                                default:
598                                        fprintf(stderr,"Unknown WAG Event (0x%08x)\n",event->type);
599                                        return NULL;
600                        }
601                       
602                default:
603                        fprintf(stderr,"Dunno this trace format\n");
604                        assert(0);
605        }
606        return ethptr;
607}
608
609/** get a pointer to the IP header (if any)
610 * @param libtrace      a pointer to the trace object returned from gettrace
611 * @param buffer        a pointer to a filled in buffer
612 * @param buflen        a pointer to the size of the buffer
613 *
614 * @returns a pointer to the IP header, or NULL if there is not an IP packet
615 */
616struct libtrace_ip *trace_get_ip(struct libtrace_packet_t *packet) {
617        struct libtrace_ip *ipptr = 0;
618
619        switch(trace_get_link_type(packet)) {
620                case TRACE_TYPE_80211:
621                        { 
622                               
623                                struct ieee_802_11_header *wifi = trace_get_link(packet);       
624
625                                // Data packet?
626                                if (wifi->type != 2) {
627                                        ipptr = NULL;
628                                }
629                                else {
630                                        struct ieee_802_11_payload *eth = (void*)wifi->data;
631                                        if (eth->type != 0x0008) {
632                                                ipptr=NULL;
633                                        } else {
634                                                ipptr=(void*)eth->data;
635                                        }
636                                }
637                        }
638                        break;
639                case TRACE_TYPE_ETH:
640                        {
641                                struct ether_header *eth = 
642                                        trace_get_link(packet);
643                                if (ntohs(eth->ether_type)!=0x0800) {
644                                        ipptr = NULL;
645                                }
646                                else {
647                                        ipptr = ((void *)eth) + 14;
648                                }
649                                break;
650                        }
651                case TRACE_TYPE_ATM:
652                        {
653                                struct atm_rec *atm = 
654                                        trace_get_link(packet);
655                                // TODO: Find out what ATM does, and return
656                                //       NULL for non IP data
657                                //       Presumably it uses the normal stuff
658                                ipptr =  (void*)&atm->pload;
659                                break;
660                        }
661                default:
662                        fprintf(stderr,"Don't understand link layer type %i in trace_get_ip()\n",
663                                trace_get_link_type(packet));
664                        ipptr=NULL;
665                        break;
666        }
667
668        return ipptr;
669}
670
671
672/** get a pointer to the TCP header (if any)
673 * @param libtrace      a pointer to the trace object returned from gettrace
674 * @param buffer        a pointer to a filled in buffer
675 * @param buflen        a pointer to the size of the buffer
676 *
677 * @returns a pointer to the TCP header, or NULL if there is not a TCP packet
678 */
679struct libtrace_tcp *trace_get_tcp(struct libtrace_packet_t *packet) {
680        struct libtrace_tcp *tcpptr = 0;
681        struct libtrace_ip *ipptr = 0;
682
683        if(!(ipptr = trace_get_ip(packet))) {
684                return 0;
685        }
686        if (ipptr->ip_p == 6) {
687                tcpptr = (struct libtrace_tcp *)((int)ipptr + (ipptr->ip_hl * 4));
688        }
689        return tcpptr;
690}
691
692/** get a pointer to the UDP header (if any)
693 * @param libtrace      a pointer to the trace object returned from gettrace
694 * @param buffer        a pointer to a filled in buffer
695 * @param buflen        a pointer to the size of the buffer
696 *
697 * @returns a pointer to the UDP header, or NULL if this is not a UDP packet
698 */
699struct libtrace_udp *trace_get_udp(struct libtrace_packet_t *packet) {
700        struct libtrace_udp *udpptr = 0;
701        struct libtrace_ip *ipptr = 0;
702       
703        if(!(ipptr = trace_get_ip(packet))) {
704                return 0;
705        }
706        if (ipptr->ip_p == 17) {
707                udpptr = (struct libtrace_udp *)((int)ipptr + (ipptr->ip_hl * 4));
708        }
709        return udpptr;
710}
711
712/** get a pointer to the ICMP header (if any)
713 * @param libtrace      a pointer to the trace object returned from gettrace
714 * @param buffer        a pointer to a filled in buffer
715 * @param buflen        a pointer to the size of the buffer
716 *
717 * @returns a pointer to the ICMP header, or NULL if this is not a ICMP packet
718 */
719struct libtrace_icmp *trace_get_icmp(struct libtrace_packet_t *packet) {
720        struct libtrace_icmp *icmpptr = 0;
721        struct libtrace_ip *ipptr = 0;
722       
723        if(!(ipptr = trace_get_ip(packet))) {
724                return 0;
725        }
726        if (ipptr->ip_p == 1) {
727                icmpptr = (struct libtrace_icmp *)((int)ipptr + (ipptr->ip_hl * 4));
728        }
729        return icmpptr;
730}
731
732/** Get the current time in DAG time format
733 * @param libtrace the libtrace opaque pointer
734 * @param buffer a pointer to a filled in buffer
735 * @param buflen the length of the buffer
736 * @returns a 64 bit timestamp in DAG ERF format (upper 32 bits are the seconds
737 * past 1970-01-01, the lower 32bits are partial seconds)
738 * @author Daniel Lawson
739 */ 
740uint64_t trace_get_erf_timestamp(struct libtrace_packet_t *packet) {
741        uint64_t timestamp = 0;
742        dag_record_t *erfptr = 0;
743        struct pcap_pkthdr *pcapptr = 0;
744        struct wag_event_t *wagptr = 0;
745        switch (packet->trace->format) {
746                case DAG:
747                case ERF:
748                case RTCLIENT:
749                        erfptr = (dag_record_t *)packet->buffer;
750                        timestamp = erfptr->ts;
751                        break;
752                case PCAPINT:
753                case PCAP:
754                        pcapptr = (struct pcap_pkthdr *)packet->buffer;
755                        timestamp = ((((uint64_t)pcapptr->ts.tv_sec) << 32) + \
756                                (pcapptr->ts.tv_usec*UINT_MAX/1000000));
757                        break;
758                case WAGINT:
759                case WAG:
760                        wagptr = (struct wag_event_t *)packet->buffer;
761                        timestamp = wagptr->timestamp_lo;
762                        timestamp |= (uint64_t)wagptr->timestamp_hi<<32;
763                        timestamp = ((timestamp%44000000)*(UINT_MAX/44000000))
764                                  | ((timestamp/44000000)<<32);
765                        break;
766                default:
767                        fprintf(stderr,"Unknown format in trace_get_erf_timestamp\n");
768                        timestamp = 0;
769        }
770        return timestamp;
771}
772
773/** Get the current time in struct timeval
774 * @param libtrace the libtrace opaque pointer
775 * @param buffer a pointer to a filled in buffer
776 * @param buflen the length of the buffer
777 * @returns time that this packet was seen in a struct timeval
778 * @author Daniel Lawson
779 * @author Perry Lorier
780 */ 
781struct timeval trace_get_timeval(struct libtrace_packet_t *packet) {
782        struct timeval tv;
783        struct pcap_pkthdr *pcapptr = 0;
784        uint64_t ts;
785        //uint32_t seconds;
786        switch (packet->trace->format) {
787                case PCAPINT:
788                case PCAP:
789                        pcapptr = (struct pcap_pkthdr *)packet->buffer;
790                        tv = pcapptr->ts;
791                        break;
792                case WAGINT:
793                case WAG:
794                case DAG:
795                case ERF:
796                case RTCLIENT:
797                default:
798                        // FIXME: This isn't portable to big-endian machines
799                        ts = trace_get_erf_timestamp(packet);
800                        tv.tv_sec = ts >> 32;           
801                        ts = (1000000 * (ts & 0xffffffffULL));
802                        ts += (ts & 0x80000000ULL) << 1;
803                        tv.tv_usec = ts >> 32;
804                        if (tv.tv_usec >= 1000000) {
805                                tv.tv_usec -= 1000000;
806                                tv.tv_sec += 1;
807                        }
808                        break;
809        }
810        return tv;
811}
812
813/** Get the current time in floating point seconds
814 * @param libtrace the libtrace opaque pointer
815 * @param buffer a pointer to a filled in buffer
816 * @param buflen the length of the buffer
817 * @returns time that this packet was seen in 64bit floating point seconds
818 * @author Perry Lorier
819 */ 
820double trace_get_seconds(struct libtrace_packet_t *packet) {
821        uint64_t ts;
822        ts = trace_get_erf_timestamp(packet);
823        return (ts>>32) + ((ts & UINT_MAX)*1.0 / UINT_MAX);
824}
825
826/** Get the size of the packet in the trace
827 * @param packet the packet opaque pointer
828 * @returns the size of the packet in the trace
829 * @author Perry Lorier
830 * @note Due to this being a header capture, or anonymisation, this may not
831 * be the same size as the original packet.  See trace_get_wire_length() for the
832 * original size of the packet.
833 * @note This can (and often is) different for different packets in a trace!
834 * @par
835 *  This is sometimes called the "snaplen".
836 */ 
837int trace_get_capture_length(struct libtrace_packet_t *packet) {
838        dag_record_t *erfptr = 0;
839        struct pcap_pkthdr *pcapptr = 0;
840        struct wag_event_t *wag_event;
841        switch (packet->trace->format) {
842                case DAG:
843                case ERF:
844                case RTCLIENT:
845                        erfptr = (dag_record_t *)packet->buffer;
846                        return ntohs(erfptr->rlen);
847                case PCAPINT:
848                case PCAP:
849                        pcapptr = (struct pcap_pkthdr *)packet->buffer;
850                        //return ntohs(pcapptr->caplen);
851                        return pcapptr->caplen;
852                case WAGINT:
853                case WAG:
854                        wag_event = (struct wag_event_t *)packet->buffer;
855                        switch(wag_event->type) {
856                                case 0:
857                                        return wag_event->length*4-(
858                                                sizeof(struct wag_event_t)+
859                                                sizeof(struct wag_data_event_t)
860                                                );
861                                default:
862                                        assert(0);
863                        }
864                default:
865                        assert(0);
866        }
867        return -1;
868}
869       
870/** Get the size of the packet as it was seen on the wire.
871 * @param libtrace the libtrace opaque pointer
872 * @param buffer a pointer to a filled in buffer
873 * @param buflen the length of the buffer
874 * @returns the size of the packet as it was on the wire.
875 * @author Perry Lorier
876 * @author Daniel Lawson
877 * @note Due to the trace being a header capture, or anonymisation this may
878 * not be the same as the Capture Len.
879 */ 
880int trace_get_wire_length(struct libtrace_packet_t *packet){
881        dag_record_t *erfptr = 0;
882        struct pcap_pkthdr *pcapptr = 0;
883        struct wag_event_t *wag_event = 0;
884        switch (packet->trace->format) {
885                case DAG:
886                case ERF:
887                case RTCLIENT:
888                        erfptr = (dag_record_t *)packet->buffer;
889                        return ntohs(erfptr->wlen);
890                        break;
891                case PCAPINT:
892                case PCAP:
893                        pcapptr = (struct pcap_pkthdr *)packet->buffer;
894                        return ntohs(pcapptr->len);
895                        break;
896                case WAGINT:
897                case WAG:
898                        wag_event = (struct wag_event_t *)packet->buffer;
899                        switch(wag_event->type) {
900                                case 0:
901                                        return ((struct wag_data_event_t *)(&wag_event->payload))->frame_length;
902                                default:
903                                        assert(0);
904                        }
905        }
906        return -1;
907
908}
909
910/** Get the type of the link layer
911 * @param libtrace the libtrace opaque pointer
912 * @param buffer a pointer to a filled in buffer
913 * @param buflen the length of the buffer
914 * @returns libtrace_linktype_t
915 * @author Perry Lorier
916 * @author Daniel Lawson
917 */
918libtrace_linktype_t trace_get_link_type(struct libtrace_packet_t *packet ) {
919        dag_record_t *erfptr = 0;
920        struct pcap_pkthdr *pcapptr = 0;
921        int linktype = 0;
922        switch (packet->trace->format) {
923                case DAG:
924                case ERF:
925                case RTCLIENT:
926                        erfptr = (dag_record_t *)packet->buffer;
927                        switch (erfptr->type) {
928                                case TYPE_ETH: return TRACE_TYPE_ETH;
929                                case TYPE_ATM: return TRACE_TYPE_ATM;
930                                default: assert(0);
931                        }
932                        return erfptr->type;
933                       
934                        break;
935                case PCAPINT:
936                case PCAP:
937                        pcapptr = (struct pcap_pkthdr *)packet->buffer;
938                        linktype = pcap_datalink(packet->trace->input.pcap);
939                        switch (linktype) {
940                                case 1:
941                                        return TRACE_TYPE_ETH; 
942                                case 11:
943                                        return TRACE_TYPE_ATM;
944                                case DLT_IEEE802_11:
945                                        return TRACE_TYPE_80211;
946                        }
947                        break;
948                case WAGINT:
949                case WAG:
950                        return TRACE_TYPE_80211;
951        }
952        return -1;
953}
954
955/** Get the source MAC addres
956 * @param libtrace the libtrace opaque pointer
957 * @param buffer a pointer to a filled in buffer
958 * @param buflen the length of the buffer
959 * @returns a pointer to the source mac, (or NULL if there is no source MAC)
960 * @author Perry Lorier
961 */
962uint8_t *trace_get_source_mac(struct libtrace_packet_t *packet) {
963        void *link = trace_get_link(packet);
964        struct ieee_802_11_header *wifi = link;
965        struct ether_header *ethptr = link;
966        if (!link)
967                return NULL;
968        switch (trace_get_link_type(packet)) {
969                case TRACE_TYPE_80211:
970                        return (uint8_t*)&wifi->mac2;
971                case TRACE_TYPE_ETH:
972                        return (uint8_t*)&ethptr->ether_shost;
973                default:
974                        fprintf(stderr,"Not implemented\n");
975                        assert(0);
976        }
977}
978
979/** Get the destination MAC addres
980 * @param libtrace the libtrace opaque pointer
981 * @param buffer a pointer to a filled in buffer
982 * @param buflen the length of the buffer
983 * @returns a pointer to the destination mac, (or NULL if there is no
984 * destination MAC)
985 * @author Perry Lorier
986 */
987uint8_t *trace_get_destination_mac(struct libtrace_packet_t *packet) {
988        void *link = trace_get_link(packet);
989        struct ieee_802_11_header *wifi = link;
990        struct ether_header *ethptr = link;
991        if (!link)
992                return NULL;
993        switch (trace_get_link_type(packet)) {
994                case TRACE_TYPE_80211:
995                        return (uint8_t*)&wifi->mac1;
996                case TRACE_TYPE_ETH:
997                        return (uint8_t*)&ethptr->ether_dhost;
998                default:
999                        fprintf(stderr,"Not implemented\n");
1000                        assert(0);
1001        }
1002}
1003
1004
1005/** process a libtrace event
1006 * @param libtrace the libtrace opaque pointer
1007 * @param fd a pointer to a file descriptor to listen on
1008 * @param seconds a pointer the time in seconds since to the next event
1009 * @param buffer a pointer to a filled in buffer
1010 * @param len the length of the buffer
1011 * @param size the size of the event
1012 * @returns
1013 *  TRACE_EVENT_IOWAIT  Waiting on I/O on <fd>
1014 *  TRACE_EVENT_SLEEP   Next event in <seconds>
1015 *  TRACE_EVENT_PACKET  Packet arrived in <buffer> with size <size>
1016 * FIXME currently keeps a copy of the packet inside the trace pointer,
1017 * which in turn is stored inside the new packet object...
1018 * @author Perry Lorier
1019 */
1020libtrace_event_t libtrace_event(struct libtrace_t *trace, 
1021                struct libtrace_packet_t *packet,
1022                        int *fd,double *seconds) {
1023        *seconds = 0;
1024        *fd = 0;
1025        /* Is there a packet ready? */
1026        switch (trace->sourcetype) {
1027                case INTERFACE:
1028                        {
1029                                int data;
1030                                *fd = pcap_fileno(trace->input.pcap);
1031                                if(ioctl(*fd,FIONREAD,&data)==-1){
1032                                        perror("ioctl(FIONREAD)");
1033                                }
1034                                if (data>0) {
1035                                        return TRACE_EVENT_PACKET;
1036                                }
1037                                return TRACE_EVENT_IOWAIT;
1038                        }
1039                case SOCKET:
1040                case DEVICE:
1041                case RT:
1042                        {
1043                                int data;
1044                                if(ioctl(trace->input.fd,FIONREAD,&data)==-1){
1045                                        perror("ioctl(FIONREAD)");
1046                                }
1047                                if (data>0) {
1048                                        return TRACE_EVENT_PACKET;
1049                                }
1050                                *fd = trace->input.fd;
1051                                return TRACE_EVENT_IOWAIT;
1052                        }
1053                case STDIN:
1054                case TRACE:
1055                        {
1056                                double ts;
1057                                /* "Prime" the pump */
1058                                if (!trace->packet.buffer) {
1059                                        trace->packet.buffer = malloc(4096);
1060                                        trace->packet.size=
1061                                                trace_read_packet(trace,packet);
1062                                }
1063                                ts=trace_get_seconds(packet);
1064                                if (trace->last_ts!=0) {
1065                                        *seconds = ts - trace->last_ts;
1066                                        if (*seconds>time(NULL)-trace->start_ts)
1067                                                return TRACE_EVENT_SLEEP;
1068                                }
1069                                else {
1070                                        trace->start_ts = time(NULL);
1071                                        trace->last_ts = ts;
1072                                }
1073
1074                                packet->size = trace->packet.size;
1075                                memcpy(packet->buffer,trace->packet.buffer,trace->packet.size);
1076
1077                                free(trace->packet.buffer);
1078                                trace->packet.buffer = 0;
1079                                return TRACE_EVENT_PACKET;
1080                        }
1081                default:
1082                        assert(0);
1083        }
1084        /* Shouldn't get here */
1085        assert(0);
1086}
1087
1088/** setup a BPF filter
1089 * @param filterstring a char * containing the bpf filter string
1090 * @returns opaque pointer pointer to a libtrace_filter_t object
1091 * @author Daniel Lawson
1092 */
1093struct libtrace_filter_t *trace_bpf_setfilter(const char *filterstring) {
1094        struct libtrace_filter_t *filter = malloc(sizeof(struct libtrace_filter_t));
1095        filter->filterstring = strdup(filterstring);
1096        filter->filter = 0;
1097        return filter;
1098}
1099
1100/** apply a BPF filter
1101 * @param libtrace the libtrace opaque pointer
1102 * @param filter the filter opaque pointer
1103 * @param buffer a pointer to a filled buffer
1104 * @param buflen the length of the buffer
1105 * @returns 0 if the filter fails, 1 if it succeeds
1106 * @author Daniel Lawson
1107 */
1108int trace_bpf_filter(struct libtrace_filter_t *filter,
1109                        struct libtrace_packet_t *packet) {
1110       
1111        void *linkptr = 0;
1112        int clen = 0;
1113        assert(filter);
1114        assert(packet);
1115        linkptr = trace_get_link(packet);       
1116        assert(linkptr);
1117        clen = trace_get_capture_length(packet);
1118       
1119
1120        if (filter->filterstring && ! filter->filter) {
1121                pcap_t *pcap;
1122                struct bpf_program bpfprog;
1123
1124                switch (trace_get_link_type(packet)) {
1125                        case TRACE_TYPE_ETH:
1126                                pcap = pcap_open_dead(DLT_EN10MB, 1500);
1127                                break;
1128                        default:
1129                                printf("only works for ETH at the moment\n");
1130                                assert(0);
1131                }               
1132
1133                // build filter
1134                if (pcap_compile( pcap, &bpfprog, filter->filterstring, 1, 0)) {
1135                        printf("bpf compilation error: %s\n", 
1136                                pcap_geterr(pcap));
1137                        assert(0);
1138                }
1139                pcap_close(pcap);
1140                filter->filter = bpfprog.bf_insns;     
1141        }
1142
1143        assert(filter->filter);
1144        return bpf_filter(filter->filter, linkptr, clen, clen);
1145       
1146}
1147
1148/** Get the direction flag, if it has one
1149 * @param libtrace the libtrace opaque pointer
1150 * @param buffer a point to a fille in buffer
1151 * @param buflen the length of the buffer
1152 * @returns a signed value containing the direction flag, or -1 if this is not supported
1153 * @author Daniel Lawson
1154 */
1155int8_t trace_get_direction(struct libtrace_packet_t *packet) {
1156       
1157        int8_t direction;
1158        dag_record_t *erfptr = 0;
1159        assert(packet);
1160
1161        switch(packet->trace->format) {
1162                case DAG:
1163                case ERF:
1164                case RTCLIENT:
1165                        erfptr = (dag_record_t *)packet->buffer;
1166                        direction = erfptr->flags.iface;
1167                        break;
1168                default:
1169                        direction = -1;
1170        }
1171       
1172        return direction;
1173       
1174       
1175}
1176
Note: See TracBrowser for help on using the repository browser.