7872dbf71faf82b98c24fe6a420c70eb8b04442f
[metze/wireshark/wip.git] / wiretap / csids.c
1 /* csids.c
2  *
3  * $Id$
4  *
5  * Copyright (c) 2000 by Mike Hall <mlh@io.com>
6  * Copyright (c) 2000 by Cisco Systems
7  *
8  * This program is free software; you can redistribute it and/or
9  * modify it under the terms of the GNU General Public License
10  * as published by the Free Software Foundation; either version 2
11  * of the License, or (at your option) any later version.
12  *
13  * This program is distributed in the hope that it will be useful,
14  * but WITHOUT ANY WARRANTY; without even the implied warranty of
15  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
16  * GNU General Public License for more details.
17  *
18  * You should have received a copy of the GNU General Public License
19  * along with this program; if not, write to the Free Software
20  * Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.
21  */
22
23 #include "config.h"
24 #include "wtap-int.h"
25 #include "buffer.h"
26 #include "csids.h"
27 #include "file_wrappers.h"
28
29 #include <stdio.h>
30 #include <stdlib.h>
31 #include <string.h>
32
33 /*
34  * This module reads the output from the Cisco Secure Intrusion Detection
35  * System iplogging facility. The term iplogging is misleading since this
36  * logger will only output TCP. There is no link layer information.
37  * Packet format is 4 byte timestamp (seconds since epoch), and a 4 byte size
38  * of data following for that packet.
39  *
40  * For a time there was an error in iplogging and the ip length, flags, and id
41  * were byteswapped. We will check for this and handle it before handing to
42  * wireshark.
43  */
44
45 typedef struct {
46         gboolean byteswapped;
47 } csids_t;
48
49 static gboolean csids_read(wtap *wth, int *err, gchar **err_info,
50         gint64 *data_offset);
51 static gboolean csids_seek_read(wtap *wth, gint64 seek_off,
52         struct wtap_pkthdr *phdr, Buffer *buf, int len,
53         int *err, gchar **err_info);
54 static gboolean csids_read_packet(FILE_T fh, csids_t *csids,
55         struct wtap_pkthdr *phdr, Buffer *buf, int *err, gchar **err_info);
56
57 struct csids_header {
58   guint32 seconds; /* seconds since epoch */
59   guint16 zeropad; /* 2 byte zero'ed pads */
60   guint16 caplen;  /* the capture length  */
61 };
62
63 /* XXX - return -1 on I/O error and actually do something with 'err'. */
64 int csids_open(wtap *wth, int *err, gchar **err_info)
65 {
66   /* There is no file header. There is only a header for each packet
67    * so we read a packet header and compare the caplen with iplen. They
68    * should always be equal except with the weird byteswap version.
69    *
70    * THIS IS BROKEN-- anytime the caplen is 0x0101 or 0x0202 up to 0x0505
71    * this will byteswap it. I need to fix this. XXX --mlh
72    */
73
74   int tmp,iplen,bytesRead;
75
76   gboolean byteswap = FALSE;
77   struct csids_header hdr;
78   csids_t *csids;
79
80   /* check the file to make sure it is a csids file. */
81   bytesRead = file_read( &hdr, sizeof( struct csids_header), wth->fh );
82   if( bytesRead != sizeof( struct csids_header) ) {
83     *err = file_error( wth->fh, err_info );
84     if( *err != 0 && *err != WTAP_ERR_SHORT_READ ) {
85       return -1;
86     }
87     return 0;
88   }
89   if( hdr.zeropad != 0 || hdr.caplen == 0 ) {
90         return 0;
91   }
92   hdr.seconds = pntohl( &hdr.seconds );
93   hdr.caplen = pntohs( &hdr.caplen );
94   bytesRead = file_read( &tmp, 2, wth->fh );
95   if( bytesRead != 2 ) {
96     *err = file_error( wth->fh, err_info );
97     if( *err != 0 && *err != WTAP_ERR_SHORT_READ ) {
98       return -1;
99     }
100     return 0;
101   }
102   bytesRead = file_read( &iplen, 2, wth->fh );
103   if( bytesRead != 2 ) {
104     *err = file_error( wth->fh, err_info );
105     if( *err != 0 && *err != WTAP_ERR_SHORT_READ ) {
106       return -1;
107     }
108     return 0;
109   }
110   iplen = pntohs(&iplen);
111
112   if ( iplen == 0 )
113     return 0;
114
115   /* if iplen and hdr.caplen are equal, default to no byteswap. */
116   if( iplen > hdr.caplen ) {
117     /* maybe this is just a byteswapped version. the iplen ipflags */
118     /* and ipid are swapped. We cannot use the normal swaps because */
119     /* we don't know the host */
120     iplen = BSWAP16(iplen);
121     if( iplen <= hdr.caplen ) {
122       /* we know this format */
123       byteswap = TRUE;
124     } else {
125       /* don't know this one */
126       return 0;
127     }
128   } else {
129     byteswap = FALSE;
130   }
131
132   /* no file header. So reset the fh to 0 so we can read the first packet */
133   if (file_seek(wth->fh, 0, SEEK_SET, err) == -1)
134     return -1;
135
136   csids = (csids_t *)g_malloc(sizeof(csids_t));
137   wth->priv = (void *)csids;
138   csids->byteswapped = byteswap;
139   wth->file_encap = WTAP_ENCAP_RAW_IP;
140   wth->file_type = WTAP_FILE_CSIDS;
141   wth->snapshot_length = 0; /* not known */
142   wth->subtype_read = csids_read;
143   wth->subtype_seek_read = csids_seek_read;
144   wth->tsprecision = WTAP_FILE_TSPREC_SEC;
145
146   return 1;
147 }
148
149 /* Find the next packet and parse it; called from wtap_read(). */
150 static gboolean csids_read(wtap *wth, int *err, gchar **err_info,
151     gint64 *data_offset)
152 {
153   csids_t *csids = (csids_t *)wth->priv;
154
155   *data_offset = file_tell(wth->fh);
156
157   return csids_read_packet( wth->fh, csids, &wth->phdr, wth->frame_buffer,
158                             err, err_info );
159 }
160
161 /* Used to read packets in random-access fashion */
162 static gboolean
163 csids_seek_read(wtap *wth,
164                  gint64 seek_off,
165                  struct wtap_pkthdr *phdr,
166                  Buffer *buf,
167                  int len _U_,
168                  int *err,
169                  gchar **err_info)
170 {
171   csids_t *csids = (csids_t *)wth->priv;
172
173   if( file_seek( wth->random_fh, seek_off, SEEK_SET, err ) == -1 )
174     return FALSE;
175
176   if( !csids_read_packet( wth->random_fh, csids, phdr, buf, err, err_info ) ) {
177     if( *err == 0 )
178       *err = WTAP_ERR_SHORT_READ;
179     return FALSE;
180   }
181   return TRUE;
182 }
183
184 static gboolean
185 csids_read_packet(FILE_T fh, csids_t *csids, struct wtap_pkthdr *phdr,
186                   Buffer *buf, int *err, gchar **err_info)
187 {
188   struct csids_header hdr;
189   int bytesRead = 0;
190   guint8 *pd;
191
192   bytesRead = file_read( &hdr, sizeof( struct csids_header), fh );
193   if( bytesRead != sizeof( struct csids_header) ) {
194     *err = file_error( fh, err_info );
195     if (*err == 0 && bytesRead != 0)
196       *err = WTAP_ERR_SHORT_READ;
197     return FALSE;
198   }
199   hdr.seconds = pntohl(&hdr.seconds);
200   hdr.caplen = pntohs(&hdr.caplen);
201
202   phdr->presence_flags = WTAP_HAS_TS;
203   phdr->len = hdr.caplen;
204   phdr->caplen = hdr.caplen;
205   phdr->ts.secs = hdr.seconds;
206   phdr->ts.nsecs = 0;
207
208   if( !wtap_read_packet_bytes( fh, buf, phdr->caplen, err, err_info ) )
209     return FALSE;
210
211   pd = buffer_start_ptr( buf );
212   if( csids->byteswapped ) {
213     if( phdr->caplen >= 2 ) {
214       PBSWAP16(pd);   /* the ip len */
215       if( phdr->caplen >= 4 ) {
216         PBSWAP16(pd+2); /* ip id */
217         if( phdr->caplen >= 6 )
218           PBSWAP16(pd+4); /* ip flags and fragoff */
219       }
220     }
221   }
222
223   return TRUE;
224 }