044426e14680a4920d77c9eef0ce65c751e9b8fa
[metze/wireshark/wip.git] / wiretap / ngsniffer.c
1 /* ngsniffer.c
2  *
3  * $Id$
4  *
5  * Wiretap Library
6  * Copyright (c) 1998 by Gilbert Ramirez <gram@alumni.rice.edu>
7  *
8  * This program is free software; you can redistribute it and/or
9  * modify it under the terms of the GNU General Public License
10  * as published by the Free Software Foundation; either version 2
11  * of the License, or (at your option) any later version.
12  *
13  * This program is distributed in the hope that it will be useful,
14  * but WITHOUT ANY WARRANTY; without even the implied warranty of
15  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
16  * GNU General Public License for more details.
17  *
18  * You should have received a copy of the GNU General Public License
19  * along with this program; if not, write to the Free Software
20  * Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.
21  */
22
23 /* The code in ngsniffer.c that decodes the time fields for each packet in the
24  * Sniffer trace originally came from code from TCPVIEW:
25  *
26  * TCPVIEW
27  *
28  * Author:      Martin Hunt
29  *              Networks and Distributed Computing
30  *              Computing & Communications
31  *              University of Washington
32  *              Administration Building, AG-44
33  *              Seattle, WA  98195
34  *              Internet: martinh@cac.washington.edu
35  *
36  *
37  * Copyright 1992 by the University of Washington
38  *
39  * Permission to use, copy, modify, and distribute this software and its
40  * documentation for any purpose and without fee is hereby granted, provided
41  * that the above copyright notice appears in all copies and that both the
42  * above copyright notice and this permission notice appear in supporting
43  * documentation, and that the name of the University of Washington not be
44  * used in advertising or publicity pertaining to distribution of the software
45  * without specific, written prior permission.  This software is made
46  * available "as is", and
47  * THE UNIVERSITY OF WASHINGTON DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED,
48  * WITH REGARD TO THIS SOFTWARE, INCLUDING WITHOUT LIMITATION ALL IMPLIED
49  * WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE, AND IN
50  * NO EVENT SHALL THE UNIVERSITY OF WASHINGTON BE LIABLE FOR ANY SPECIAL,
51  * INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM
52  * LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, TORT
53  * (INCLUDING NEGLIGENCE) OR STRICT LIABILITY, ARISING OUT OF OR IN CONNECTION
54  * WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.
55  *
56  */
57 #include "config.h"
58
59 #include <errno.h>
60 #include <string.h>
61 #include "wtap-int.h"
62 #include "file_wrappers.h"
63 #include "buffer.h"
64 #include "atm.h"
65 #include "ngsniffer.h"
66
67 /* Magic number in Sniffer files. */
68 static const char ngsniffer_magic[] = {
69         'T', 'R', 'S', 'N', 'I', 'F', 'F', ' ', 'd', 'a', 't', 'a',
70         ' ', ' ', ' ', ' ', 0x1a
71 };
72
73 /*
74  * Sniffer record types.
75  */
76 #define REC_VERS        1       /* Version record (f_vers) */
77 #define REC_FRAME2      4       /* Frame data (f_frame2) */
78 #define REC_FRAME4      8       /* Frame data (f_frame4) */
79 #define REC_FRAME6      12      /* Frame data (f_frame6) (see below) */
80 #define REC_EOF         3       /* End-of-file record (no data follows) */
81 /*
82  * and now for some unknown header types
83  */
84 #define REC_HEADER1     6       /* Header containing various information,
85                                  * not yet reverse engineered - some binary,
86                                  * some strings (Serial numbers?  Names
87                                  * under which the software is registered?
88                                  * Software version numbers?  Mysterious
89                                  * strings such as "PA-55X" and "PA-30X"
90                                  * and "PA-57X" and "PA-11X"?), some strings
91                                  * that are partially overwritten
92                                  * ("UNSERIALIZED", "Network General
93                                  * Corporation"), differing from major
94                                  * version to major version */
95 #define REC_HEADER2     7       /* Header containing ??? */
96 #define REC_V2DESC      8       /* In version 2 sniffer traces contains
97                                  * info about this capturing session,
98                                  * in the form of a multi-line string
99                                  * with NL as the line separator.
100                                  * Collides with REC_FRAME4 */
101 #define REC_HEADER3     13      /* Retransmission counts? */
102 #define REC_HEADER4     14      /* ? */
103 #define REC_HEADER5     15      /* ? */
104 #define REC_HEADER6     16      /* More broadcast/retransmission counts? */
105 #define REC_HEADER7     17      /* ? */
106
107
108 /*
109  * Sniffer version record format.
110  */
111 struct vers_rec {
112         gint16  maj_vers;       /* major version number */
113         gint16  min_vers;       /* minor version number */
114         gint16  time;           /* DOS-format time */
115         gint16  date;           /* DOS-format date */
116         gint8   type;           /* what type of records follow */
117         guint8  network;        /* network type */
118         gint8   format;         /* format version */
119         guint8  timeunit;       /* timestamp units */
120         gint8   cmprs_vers;     /* compression version */
121         gint8   cmprs_level;    /* compression level */
122         gint16  rsvd[2];        /* reserved */
123 };
124
125 /*
126  * Network types.
127  */
128 #define NETWORK_TRING           0       /* Token ring */
129 #define NETWORK_ENET            1       /* Ethernet */
130 #define NETWORK_ARCNET          2       /* ARCNET */
131 #define NETWORK_STARLAN         3       /* StarLAN */
132 #define NETWORK_PCNW            4       /* PC Network broadband (Sytek?) */
133 #define NETWORK_LOCALTALK       5       /* LocalTalk */
134 #define NETWORK_SYNCHRO         7       /* Internetwork analyzer (synchronous) */
135 #define NETWORK_ASYNC           8       /* Internetwork analyzer (asynchronous) */
136 #define NETWORK_FDDI            9       /* FDDI */
137 #define NETWORK_ATM             10      /* ATM */
138
139 /*
140  * Sniffer type 2 data record format - followed by frame data.
141  *
142  * The Expert Sniffer Network Analyzer Operations manual, Release 5.50,
143  * documents some of the values used in "fs" and "flags".  "flags" don't
144  * look as if they'd be of much interest to us, as those are internal
145  * flags for state used by the Sniffer, but "fs" gives various status
146  * bits including error indications *and*:
147  *
148  *      ISDN channel information for ISDN;
149  *
150  *      PPP vs. SLIP information for Async.
151  *
152  * In that section it also refers to "FDDI analyzers using the NPI PCI
153  * FDDI adapter" and "FDDI analyzers using the NPI ISA FDDI adapter",
154  * referring to the first as "F1SNIFF" and the second as "FDSNIFF";
155  * those sound as if they *could* be replacements for "TRSNIFF" in
156  * the file header, but that manual says, earlier, that the header
157  * starts with "TRSNIFF data, no matter where the frames were
158  * collected".
159  *
160  * It also says that a type 2 record has an 8-bit "time_high"
161  * and an 8-bit "time_day" field; the code here used to have a
162  * 16-bit "time_high" value, but that gave wrong time stamps on at
163  * least some captures.  Did some older manual have it as a 16-bit
164  * "tstamp_high", so that perhaps it depends on the version number
165  * in the file, or is it "tstamp_high" plus "tstamp_day" in all
166  * versions?  (I forget whether this came purely from tcpview, or if
167  * I saw any of it in an NAI document.)
168  *
169  * We interpret them as unsigned, as interpreting them as signed
170  * would appear to allow time stamps that precede the start of the
171  * capture.  The description of the record format shows them as
172  * "char", but the section "How the Analyzer Stores Time" shows a
173  * time stamp structure with those fields being "unsigned char".
174  *
175  * In addition, the description of the record format has the comment
176  * for the "time_day" field saying it's the time in days since the
177  * start of the capture, but the "How the Analyzer Stores Time"
178  * section says it's increased by 1 if the capture continues past
179  * midnight - and also says that the time stamp structure has a time
180  * relative to midnight when the capture started, not since the
181  * actual capture start, so that might be a difference between
182  * the internal time stamp in the Sniffer software and the time
183  * stamp in capture files (i.e., the latter might be relative to
184  * the time when the capture starts).
185  */
186 struct frame2_rec {
187         guint16 time_low;       /* low part of time stamp */
188         guint16 time_med;       /* middle part of time stamp */
189         guint8  time_high;      /* high part of the time stamp */
190         guint8  time_day;       /* time in days since start of capture */
191         gint16  size;           /* number of bytes of data */
192         guint8  fs;             /* frame error status bits */
193         guint8  flags;          /* buffer flags */
194         gint16  true_size;      /* size of original frame, in bytes */
195         gint16  rsvd;           /* reserved */
196 };
197
198 /*
199  * Bits in "fs".
200  *
201  * The bits differ for different link-layer types.
202  */
203
204 /*
205  * Ethernet.
206  */
207 #define FS_ETH_CRC              0x80    /* CRC error */
208 #define FS_ETH_ALIGN            0x40    /* bad alignment */
209 #define FS_ETH_RU               0x20    /* "RU out of resources" */
210 #define FS_ETH_OVERRUN          0x10    /* DMA overrun */
211 #define FS_ETH_RUNT             0x08    /* frame too small */
212 #define FS_ETH_COLLISION        0x02    /* collision fragment */
213
214 /*
215  * FDDI.
216  */
217 #define FS_FDDI_INVALID         0x10    /* frame indicators are invalid */
218 #define FS_FDDI_ERROR           0x20    /* "frame error bit 1" */
219 #define FS_FDDI_PCI_VDL         0x01    /* VDL error on frame on PCI adapter */
220 #define FS_FDDI_PCI_CRC         0x02    /* CRC error on frame on PCI adapter */
221 #define FS_FDDI_ISA_CRC         0x20    /* CRC error on frame on ISA adapter */
222
223 /*
224  * Internetwork analyzer (synchronous and asynchronous).
225  */
226 #define FS_WAN_DTE              0x80    /* DTE->DCE frame */
227
228 /*
229  * Internetwork analyzer (synchronous).
230  */
231 #define FS_SYNC_LOST            0x01    /* some frames were lost */
232 #define FS_SYNC_CRC             0x02    /* CRC error */
233 #define FS_SYNC_ABORT           0x04    /* aborted frame */
234 #define FS_ISDN_CHAN_MASK       0x18    /* ISDN channel */
235 #define FS_ISDN_CHAN_D          0x18    /* ISDN channel D */
236 #define FS_ISDN_CHAN_B1         0x08    /* ISDN channel B1 */
237 #define FS_ISDN_CHAN_B2         0x10    /* ISDN channel B2 */
238
239 /*
240  * Internetwork analyzer (asynchronous).
241  * XXX - are some of these synchronous flags?  They're listed with the
242  * asynchronous flags in the Sniffer 5.50 Network Analyzer Operations
243  * manual.  Is one of the "overrun" errors a synchronous overrun error?
244  */
245 #define FS_ASYNC_LOST           0x01    /* some frames were lost */
246 #define FS_ASYNC_OVERRUN        0x02    /* UART overrun, lost bytes */
247 #define FS_ASYNC_FRAMING        0x04    /* bad character (framing error?) */
248 #define FS_ASYNC_PPP            0x08    /* PPP frame */
249 #define FS_ASYNC_SLIP           0x10    /* SLIP frame */
250 #define FS_ASYNC_ALIGN          0x20    /* alignment or DLPP(?) error */
251 #define FS_ASYNC_OVERRUN2       0x40    /* overrun or bad frame length */
252
253 /*
254  * Sniffer type 4 data record format - followed by frame data.
255  *
256  * The ATM Sniffer manual says that the "flags" field holds "buffer flags;
257  * BF_xxxx", but doesn't say what the BF_xxxx flags are.  They may
258  * be the same as they are in a type 2 record, in which case they're
259  * probably not of much interest to us.
260  *
261  * XXX - the manual also says there's an 8-byte "ATMTimeStamp" driver
262  * time stamp at the end of "ATMSaveInfo", but, from an ATM Sniffer capture
263  * file I've looked at, that appears not to be the case.
264  */
265
266 /*
267  * Fields from the AAL5 trailer for the frame, if it's an AAL5 frame
268  * rather than a cell.
269  */
270 typedef struct _ATM_AAL5Trailer {
271         guint16 aal5t_u2u;      /* user-to-user indicator */
272         guint16 aal5t_len;      /* length of the packet */
273         guint32 aal5t_chksum;   /* checksum for AAL5 packet */
274 } ATM_AAL5Trailer;
275
276 typedef struct _ATMTimeStamp {
277         guint32 msw;    /* most significant word */
278         guint32 lsw;    /* least significant word */
279 } ATMTimeStamp;
280
281 typedef struct _ATMSaveInfo {
282         guint32 StatusWord;     /* status word from driver */
283         ATM_AAL5Trailer Trailer; /* AAL5 trailer */
284         guint8  AppTrafType;    /* traffic type */
285         guint8  AppHLType;      /* protocol type */
286         guint16 AppReserved;    /* reserved */
287         guint16 Vpi;            /* virtual path identifier */
288         guint16 Vci;            /* virtual circuit identifier */
289         guint16 channel;        /* link: 0 for DCE, 1 for DTE */
290         guint16 cells;          /* number of cells */
291         guint32 AppVal1;        /* type-dependent */
292         guint32 AppVal2;        /* type-dependent */
293 } ATMSaveInfo;
294
295 /*
296  * Bits in StatusWord.
297  */
298 #define SW_ERRMASK              0x0F    /* Error mask: */
299 #define SW_RX_FIFO_UNDERRUN     0x01    /* Receive FIFO underrun */
300 #define SW_RX_FIFO_OVERRUN      0x02    /* Receive FIFO overrun */
301 #define SW_RX_PKT_TOO_LONG      0x03    /* Received packet > max size */
302 #define SW_CRC_ERROR            0x04    /* CRC error */
303 #define SW_USER_ABORTED_RX      0x05    /* User aborted receive */
304 #define SW_BUF_LEN_TOO_LONG     0x06    /* buffer len > max buf */
305 #define SW_INTERNAL_T1_ERROR    0x07    /* Internal T1 error */
306 #define SW_RX_CHANNEL_DEACTIV8  0x08    /* Rx channel deactivate */
307
308 #define SW_ERROR                0x80    /* Error indicator */
309 #define SW_CONGESTION           0x40    /* Congestion indicator */
310 #define SW_CLP                  0x20    /* Cell loss priority indicator */
311 #define SW_RAW_CELL             0x100   /* RAW cell indicator */
312 #define SW_OAM_CELL             0x200   /* OAM cell indicator */
313
314 /*
315  * Bits in AppTrafType.
316  *
317  * For AAL types other than AAL5, the packet data is presumably for a
318  * single cell, not a reassembled frame, as the ATM Sniffer manual says
319  * it dosn't reassemble cells other than AAL5 cells.
320  */
321 #define ATT_AALTYPE             0x0F    /* AAL type: */
322 #define ATT_AAL_UNKNOWN         0x00    /* Unknown AAL */
323 #define ATT_AAL1                0x01    /* AAL1 */
324 #define ATT_AAL3_4              0x02    /* AAL3/4 */
325 #define ATT_AAL5                0x03    /* AAL5 */
326 #define ATT_AAL_USER            0x04    /* User AAL */
327 #define ATT_AAL_SIGNALLING      0x05    /* Signaling AAL */
328 #define ATT_OAMCELL             0x06    /* OAM cell */
329
330 #define ATT_HLTYPE              0xF0    /* Higher-layer type: */
331 #define ATT_HL_UNKNOWN          0x00    /* unknown */
332 #define ATT_HL_LLCMX            0x10    /* LLC multiplexed (probably RFC 1483) */
333 #define ATT_HL_VCMX             0x20    /* VC multiplexed (probably RFC 1483) */
334 #define ATT_HL_LANE             0x30    /* LAN Emulation */
335 #define ATT_HL_ILMI             0x40    /* ILMI */
336 #define ATT_HL_FRMR             0x50    /* Frame Relay */
337 #define ATT_HL_SPANS            0x60    /* FORE SPANS */
338 #define ATT_HL_IPSILON          0x70    /* Ipsilon */
339
340 /*
341  * Values for AppHLType; the interpretation depends on the ATT_HLTYPE
342  * bits in AppTrafType.
343  */
344 #define AHLT_UNKNOWN            0x0
345 #define AHLT_VCMX_802_3_FCS     0x1     /* VCMX: 802.3 FCS */
346 #define AHLT_LANE_LE_CTRL       0x1     /* LANE: LE Ctrl */
347 #define AHLT_IPSILON_FT0        0x1     /* Ipsilon: Flow Type 0 */
348 #define AHLT_VCMX_802_4_FCS     0x2     /* VCMX: 802.4 FCS */
349 #define AHLT_LANE_802_3         0x2     /* LANE: 802.3 */
350 #define AHLT_IPSILON_FT1        0x2     /* Ipsilon: Flow Type 1 */
351 #define AHLT_VCMX_802_5_FCS     0x3     /* VCMX: 802.5 FCS */
352 #define AHLT_LANE_802_5         0x3     /* LANE: 802.5 */
353 #define AHLT_IPSILON_FT2        0x3     /* Ipsilon: Flow Type 2 */
354 #define AHLT_VCMX_FDDI_FCS      0x4     /* VCMX: FDDI FCS */
355 #define AHLT_LANE_802_3_MC      0x4     /* LANE: 802.3 multicast */
356 #define AHLT_VCMX_802_6_FCS     0x5     /* VCMX: 802.6 FCS */
357 #define AHLT_LANE_802_5_MC      0x5     /* LANE: 802.5 multicast */
358 #define AHLT_VCMX_802_3         0x7     /* VCMX: 802.3 */
359 #define AHLT_VCMX_802_4         0x8     /* VCMX: 802.4 */
360 #define AHLT_VCMX_802_5         0x9     /* VCMX: 802.5 */
361 #define AHLT_VCMX_FDDI          0xa     /* VCMX: FDDI */
362 #define AHLT_VCMX_802_6         0xb     /* VCMX: 802.6 */
363 #define AHLT_VCMX_FRAGMENTS     0xc     /* VCMX: Fragments */
364 #define AHLT_VCMX_BPDU          0xe     /* VCMX: BPDU */
365
366 struct frame4_rec {
367         guint16 time_low;       /* low part of time stamp */
368         guint16 time_med;       /* middle part of time stamp */
369         guint8  time_high;      /* high part of time stamp */
370         guint8  time_day;       /* time in days since start of capture */
371         gint16  size;           /* number of bytes of data */
372         gint8   fs;             /* frame error status bits */
373         gint8   flags;          /* buffer flags */
374         gint16  true_size;      /* size of original frame, in bytes */
375         gint16  rsvd3;          /* reserved */
376         gint16  atm_pad;        /* pad to 4-byte boundary */
377         ATMSaveInfo atm_info;   /* ATM-specific stuff */
378 };
379
380 /*
381  * XXX - I have a version 5.50 file with a bunch of token ring
382  * records listed as type "12".  The record format below was
383  * derived from frame4_rec and a bit of experimentation.
384  * - Gerald
385  */
386 struct frame6_rec {
387         guint16 time_low;       /* low part of time stamp */
388         guint16 time_med;       /* middle part of time stamp */
389         guint8  time_high;      /* high part of time stamp */
390         guint8  time_day;       /* time in days since start of capture */
391         gint16  size;           /* number of bytes of data */
392         guint8  fs;             /* frame error status bits */
393         guint8  flags;          /* buffer flags */
394         gint16  true_size;      /* size of original frame, in bytes */
395         guint8  chemical_x[22]; /* ? */
396 };
397
398 /*
399  * Network type values in some type 7 records.
400  *
401  * Captures with a major version number of 2 appear to have type 7
402  * records with text in them (at least one I have does).
403  *
404  * Captures with a major version of 4, and at least some captures with
405  * a major version of 5, have type 7 records with those values in the
406  * 5th byte.
407  *
408  * However, some captures with a major version number of 5 appear not to
409  * have type 7 records at all (at least one I have doesn't), but do appear
410  * to put non-zero values in the "rsvd" field of the version header (at
411  * least one I have does) - at least some other captures with smaller version
412  * numbers appear to put 0 there, so *maybe* that's where the network
413  * (sub)type is hidden in those captures.  The version 5 captures I've seen
414  * that *do* have type 7 records put 0 there, so it's not as if *all* V5
415  * captures have something in the "rsvd" field, however.
416  *
417  * The semantics of these network types is inferred from the Sniffer
418  * documentation, as they correspond to types described in the UI;
419  * in particular, see
420  *
421  *      http://www.mcafee.com/common/media/sniffer/support/sdos/operation.pdf
422  *
423  * starting at page 3-10 (56 of 496).
424  *
425  * XXX - I've seen X.25 captures with NET_ROUTER, and I've seen bridge/
426  * router captures with NET_HDLC.  Sigh....  Are those just captures for
427  * which the user set the wrong network type when capturing?
428  */
429 #define NET_SDLC        0       /* Probably "SDLC then SNA" */
430 #define NET_HDLC        1       /* Used for X.25; is it used for other
431                                    things as well, or is it "HDLC then
432                                    X.25", as referred to by the document
433                                    cited above, and only used for X.25? */
434 #define NET_FRAME_RELAY 2
435 #define NET_ROUTER      3       /* Probably "Router/Bridge", for various
436                                    point-to-point protocols for use between
437                                    bridges and routers, including PPP as well
438                                    as various proprietary protocols; also
439                                    used for ISDN, for reasons not obvious
440                                    to me, given that a Sniffer knows
441                                    whether it's using a WAN or an ISDN pod */
442 #define NET_PPP         4       /* "Asynchronous", which includes SLIP too */
443 #define NET_SMDS        5       /* Not mentioned in the document, but
444                                    that's a document for version 5.50 of
445                                    the Sniffer, and that version might use
446                                    version 5 in the file format and thus
447                                    might not be using type 7 records */
448
449 /*
450  * Values for V.timeunit, in picoseconds, so that they can be represented
451  * as integers.  These values must be < 2^(64-40); see below.
452  *
453  * XXX - at least some captures with a V.timeunit value of 2 show
454  * packets with time stamps in 2011 if the time stamp is interpreted
455  * to be in units of 15 microseconds.  The capture predates 2008,
456  * so that interpretation is probably wrong.  Perhaps the interpretation
457  * of V.timeunit depends on the version number of the file?
458  */
459 static const guint32 Psec[] = {
460         15000000,               /* 15.0 usecs = 15000000 psecs */
461           838096,               /* .838096 usecs = 838096 psecs */
462         15000000,               /* 15.0 usecs = 15000000 psecs */
463           500000,               /* 0.5 usecs = 500000 psecs */
464          2000000,               /* 2.0 usecs = 2000000 psecs */
465          1000000,               /* 1.0 usecs = 1000000 psecs */
466                                 /* XXX - Sniffer doc says 0.08 usecs = 80000 psecs */
467           100000                /* 0.1 usecs = 100000 psecs */
468 };
469 #define NUM_NGSNIFF_TIMEUNITS (sizeof Psec / sizeof Psec[0])
470
471 /* Information for a compressed Sniffer data stream. */
472 typedef struct {
473         unsigned char *buf;     /* buffer into which we uncompress data */
474         unsigned int nbytes;    /* number of bytes of data in that buffer */
475         int     nextout;        /* offset in that buffer of stream's current position */
476         gint64  comp_offset;    /* current offset in compressed data stream */
477         gint64  uncomp_offset;  /* current offset in uncompressed data stream */
478 } ngsniffer_comp_stream_t;
479
480 typedef struct {
481         guint   maj_vers;
482         guint   min_vers;
483         guint32 timeunit;
484         time_t  start;
485         guint   network;                /* network type */
486         ngsniffer_comp_stream_t seq;    /* sequential access */
487         ngsniffer_comp_stream_t rand;   /* random access */
488         GList   *first_blob;            /* list element for first blob */
489         GList   *last_blob;             /* list element for last blob */
490         GList   *current_blob;          /* list element for current blob */
491 } ngsniffer_t;
492
493 /*
494  * DOS date to "struct tm" conversion values.
495  */
496 /* DOS year = upper 7 bits */
497 #define DOS_YEAR_OFFSET (1980-1900)     /* tm_year = year+1900, DOS date year year+1980 */
498 #define DOS_YEAR_SHIFT  9
499 #define DOS_YEAR_MASK   (0x7F<<DOS_YEAR_SHIFT)
500 /* DOS month = next 4 bits */
501 #define DOS_MONTH_OFFSET        (-1)    /* tm_mon = month #-1, DOS date month = month # */
502 #define DOS_MONTH_SHIFT 5
503 #define DOS_MONTH_MASK  (0x0F<<DOS_MONTH_SHIFT)
504 /* DOS day = next 5 bits */
505 #define DOS_DAY_SHIFT   0
506 #define DOS_DAY_MASK    (0x1F<<DOS_DAY_SHIFT)
507
508 static int process_header_records(wtap *wth, int *err, gchar **err_info,
509     gint16 maj_vers, guint8 network);
510 static int process_rec_header2_v2(wtap *wth, unsigned char *buffer,
511     guint16 length, int *err, gchar **err_info);
512 static int process_rec_header2_v145(wtap *wth, unsigned char *buffer,
513     guint16 length, gint16 maj_vers, int *err, gchar **err_info);
514 static gboolean ngsniffer_read(wtap *wth, int *err, gchar **err_info,
515     gint64 *data_offset);
516 static gboolean ngsniffer_seek_read(wtap *wth, gint64 seek_off,
517     struct wtap_pkthdr *phdr, Buffer *buf, int packet_size,
518     int *err, gchar **err_info);
519 static int ngsniffer_read_rec_header(wtap *wth, gboolean is_random,
520     guint16 *typep, guint16 *lengthp, int *err, gchar **err_info);
521 static gboolean ngsniffer_read_frame2(wtap *wth, gboolean is_random,
522     struct frame2_rec *frame2, int *err, gchar **err_info);
523 static void set_pseudo_header_frame2(wtap *wth,
524     union wtap_pseudo_header *pseudo_header, struct frame2_rec *frame2);
525 static gboolean ngsniffer_read_frame4(wtap *wth, gboolean is_random,
526     struct frame4_rec *frame4, int *err, gchar **err_info);
527 static void set_pseudo_header_frame4(union wtap_pseudo_header *pseudo_header,
528     struct frame4_rec *frame4);
529 static gboolean ngsniffer_read_frame6(wtap *wth, gboolean is_random,
530     struct frame6_rec *frame6, int *err, gchar **err_info);
531 static void set_pseudo_header_frame6(wtap *wth,
532     union wtap_pseudo_header *pseudo_header, struct frame6_rec *frame6);
533 static gboolean ngsniffer_read_rec_data(wtap *wth, gboolean is_random,
534     Buffer *buf, unsigned int length, int *err, gchar **err_info);
535 static int infer_pkt_encap(const guint8 *pd, int len);
536 static int fix_pseudo_header(int encap, Buffer *buf, int len,
537     union wtap_pseudo_header *pseudo_header);
538 static void ngsniffer_sequential_close(wtap *wth);
539 static void ngsniffer_close(wtap *wth);
540 static gboolean ngsniffer_dump(wtap_dumper *wdh, const struct wtap_pkthdr *phdr,
541     const guint8 *pd, int *err);
542 static gboolean ngsniffer_dump_close(wtap_dumper *wdh, int *err);
543 static int SnifferDecompress( unsigned char * inbuf, size_t inlen,
544     unsigned char * outbuf, size_t outlen, int *err );
545 static gint64 ng_file_read(void *buffer, unsigned int nbytes, wtap *wth,
546     gboolean is_random, int *err, gchar **err_info);
547 static int read_blob(FILE_T infile, ngsniffer_comp_stream_t *comp_stream,
548     int *err, gchar **err_info);
549 static gboolean ng_file_skip_seq(wtap *wth, gint64 delta, int *err,
550     gchar **err_info);
551 static gboolean ng_file_seek_rand(wtap *wth, gint64 offset, int *err,
552     gchar **err_info);
553
554 int
555 ngsniffer_open(wtap *wth, int *err, gchar **err_info)
556 {
557         int bytes_read;
558         char magic[sizeof ngsniffer_magic];
559         char record_type[2];
560         char record_length[4]; /* only the first 2 bytes are length,
561                                   the last 2 are "reserved" and are thrown away */
562         guint16 type;
563         struct vers_rec version;
564         guint16 maj_vers;
565         guint16 start_date;
566 #if 0
567         guint16 start_time;
568 #endif
569         static const int sniffer_encap[] = {
570                 WTAP_ENCAP_TOKEN_RING,
571                 WTAP_ENCAP_ETHERNET,
572                 WTAP_ENCAP_ARCNET,
573                 WTAP_ENCAP_UNKNOWN,     /* StarLAN */
574                 WTAP_ENCAP_UNKNOWN,     /* PC Network broadband */
575                 WTAP_ENCAP_UNKNOWN,     /* LocalTalk */
576                 WTAP_ENCAP_UNKNOWN,     /* Znet */
577                 WTAP_ENCAP_PER_PACKET,  /* Internetwork analyzer (synchronous) */
578                 WTAP_ENCAP_PER_PACKET,  /* Internetwork analyzer (asynchronous) */
579                 WTAP_ENCAP_FDDI_BITSWAPPED,
580                 WTAP_ENCAP_ATM_PDUS
581         };
582         #define NUM_NGSNIFF_ENCAPS (sizeof sniffer_encap / sizeof sniffer_encap[0])
583         struct tm tm;
584         gint64 current_offset;
585         ngsniffer_t *ngsniffer;
586
587         /* Read in the string that should be at the start of a Sniffer file */
588         errno = WTAP_ERR_CANT_READ;
589         bytes_read = file_read(magic, sizeof magic, wth->fh);
590         if (bytes_read != sizeof magic) {
591                 *err = file_error(wth->fh, err_info);
592                 if (*err != 0 && *err != WTAP_ERR_SHORT_READ)
593                         return -1;
594                 return 0;
595         }
596
597         if (memcmp(magic, ngsniffer_magic, sizeof ngsniffer_magic)) {
598                 return 0;
599         }
600
601         /*
602          * Read the first record, which the manual says is a version
603          * record.
604          */
605         errno = WTAP_ERR_CANT_READ;
606         bytes_read = file_read(record_type, 2, wth->fh);
607         if (bytes_read != 2) {
608                 *err = file_error(wth->fh, err_info);
609                 if (*err == 0)
610                         *err = WTAP_ERR_SHORT_READ;
611                 return -1;
612         }
613         bytes_read = file_read(record_length, 4, wth->fh);
614         if (bytes_read != 4) {
615                 *err = file_error(wth->fh, err_info);
616                 if (*err == 0)
617                         *err = WTAP_ERR_SHORT_READ;
618                 return -1;
619         }
620
621         type = pletohs(record_type);
622
623         if (type != REC_VERS) {
624                 *err = WTAP_ERR_BAD_FILE;
625                 *err_info = g_strdup_printf("ngsniffer: Sniffer file doesn't start with a version record");
626                 return -1;
627         }
628
629         errno = WTAP_ERR_CANT_READ;
630         bytes_read = file_read(&version, sizeof version, wth->fh);
631         if (bytes_read != sizeof version) {
632                 *err = file_error(wth->fh, err_info);
633                 if (*err == 0)
634                         *err = WTAP_ERR_SHORT_READ;
635                 return -1;
636         }
637
638         /* Check the data link type. */
639         if (version.network >= NUM_NGSNIFF_ENCAPS
640             || sniffer_encap[version.network] == WTAP_ENCAP_UNKNOWN) {
641                 *err = WTAP_ERR_UNSUPPORTED_ENCAP;
642                 *err_info = g_strdup_printf("ngsniffer: network type %u unknown or unsupported",
643                     version.network);
644                 return -1;
645         }
646
647         /* Check the time unit */
648         if (version.timeunit >= NUM_NGSNIFF_TIMEUNITS) {
649                 *err = WTAP_ERR_UNSUPPORTED;
650                 *err_info = g_strdup_printf("ngsniffer: Unknown timeunit %u", version.timeunit);
651                 return -1;
652         }
653
654         /* compressed or uncompressed Sniffer file? */
655         if (version.format != 1) {
656                 wth->file_type = WTAP_FILE_NGSNIFFER_COMPRESSED;
657         } else {
658                 wth->file_type = WTAP_FILE_NGSNIFFER_UNCOMPRESSED;
659         }
660
661         /* Set encap type before reading header records because the
662          * header record may change encap type.
663          */
664         wth->file_encap = sniffer_encap[version.network];
665
666         /*
667          * We don't know how to handle the remaining header record types,
668          * so we just skip them - except for REC_HEADER2 records, which
669          * we look at, for "Internetwork analyzer" captures, to attempt to
670          * determine what the link-layer encapsulation is.
671          *
672          * XXX - in some version 1.16 internetwork analyzer files
673          * generated by the Windows Sniffer when saving Windows
674          * Sniffer files as DOS Sniffer files, there's no REC_HEADER2
675          * record, but the first "rsvd" word is 1 for PRI ISDN files, 2
676          * for BRI ISDN files, and 0 for non-ISDN files; is that something
677          * the DOS Sniffer understands?
678          */
679         maj_vers = pletohs(&version.maj_vers);
680         if (process_header_records(wth, err, err_info, maj_vers,
681             version.network) < 0)
682                 return -1;
683         if ((version.network == NETWORK_SYNCHRO ||
684             version.network == NETWORK_ASYNC) &&
685             wth->file_encap == WTAP_ENCAP_PER_PACKET) {
686                 /*
687                  * Well, we haven't determined the internetwork analyzer
688                  * subtype yet...
689                  */
690                 switch (maj_vers) {
691
692                 case 1:
693                         /*
694                          * ... and this is a version 1 capture; look
695                          * at the first "rsvd" word.
696                          */
697                         switch (pletohs(&version.rsvd[0])) {
698
699                         case 1:
700                         case 2:
701                                 wth->file_encap = WTAP_ENCAP_ISDN;
702                                 break;
703                         }
704                         break;
705
706                 case 3:
707                         /*
708                          * ...and this is a version 3 capture; we've
709                          * seen nothing in those that obviously
710                          * indicates the capture type, but the only
711                          * one we've seen is a Frame Relay capture,
712                          * so mark it as Frame Relay for now.
713                          */
714                         wth->file_encap = WTAP_ENCAP_FRELAY_WITH_PHDR;
715                         break;
716                 }
717         }
718
719         current_offset = file_tell(wth->fh);
720
721         /*
722          * Now, if we have a random stream open, position it to the same
723          * location, which should be the beginning of the real data, and
724          * should be the beginning of the compressed data.
725          *
726          * XXX - will we see any records other than REC_FRAME2, REC_FRAME4,
727          * or REC_EOF after this?  If not, we can get rid of the loop in
728          * "ngsniffer_read()".
729          */
730         if (wth->random_fh != NULL) {
731                 if (file_seek(wth->random_fh, current_offset, SEEK_SET, err) == -1)
732                         return -1;
733         }
734
735         /* This is a ngsniffer file */
736         ngsniffer = (ngsniffer_t *)g_malloc(sizeof(ngsniffer_t));
737         wth->priv = (void *)ngsniffer;
738         ngsniffer->maj_vers = maj_vers;
739         ngsniffer->min_vers = pletohs(&version.min_vers);
740
741         /* We haven't allocated any uncompression buffers yet. */
742         ngsniffer->seq.buf = NULL;
743         ngsniffer->rand.buf = NULL;
744
745         /* Set the current file offset; the offset in the compressed file
746            and in the uncompressed data stream currently the same. */
747         ngsniffer->seq.uncomp_offset = current_offset;
748         ngsniffer->seq.comp_offset = current_offset;
749         ngsniffer->rand.uncomp_offset = current_offset;
750         ngsniffer->rand.comp_offset = current_offset;
751
752         /* We don't yet have any list of compressed blobs. */
753         ngsniffer->first_blob = NULL;
754         ngsniffer->last_blob = NULL;
755         ngsniffer->current_blob = NULL;
756
757         wth->subtype_read = ngsniffer_read;
758         wth->subtype_seek_read = ngsniffer_seek_read;
759         wth->subtype_sequential_close = ngsniffer_sequential_close;
760         wth->subtype_close = ngsniffer_close;
761         wth->snapshot_length = 0;       /* not available in header, only in frame */
762         ngsniffer->timeunit = Psec[version.timeunit];
763         ngsniffer->network = version.network;
764
765         /* Get capture start time */
766         start_date = pletohs(&version.date);
767         tm.tm_year = ((start_date&DOS_YEAR_MASK)>>DOS_YEAR_SHIFT) + DOS_YEAR_OFFSET;
768         tm.tm_mon = ((start_date&DOS_MONTH_MASK)>>DOS_MONTH_SHIFT) + DOS_MONTH_OFFSET;
769         tm.tm_mday = ((start_date&DOS_DAY_MASK)>>DOS_DAY_SHIFT);
770 #if 0
771         /* The time does not appear to act as an offset; only the date */
772         start_time = pletohs(&version.time);
773         tm.tm_hour = (start_time&0xf800)>>11;
774         tm.tm_min = (start_time&0x7e0)>>5;
775         tm.tm_sec = (start_time&0x1f)<<1;
776 #endif
777         tm.tm_hour = 0;
778         tm.tm_min = 0;
779         tm.tm_sec = 0;
780         tm.tm_isdst = -1;
781         ngsniffer->start = mktime(&tm);
782         /*
783          * XXX - what if "secs" is -1?  Unlikely,
784          * but if the capture was done in a time
785          * zone that switches between standard and
786          * summer time sometime other than when we
787          * do, and thus the time was one that doesn't
788          * exist here because a switch from standard
789          * to summer time zips over it, it could
790          * happen.
791          *
792          * On the other hand, if the capture was done
793          * in a different time zone, this won't work
794          * right anyway; unfortunately, the time zone
795          * isn't stored in the capture file.
796          */
797
798         wth->tsprecision = WTAP_FILE_TSPREC_NSEC;       /* XXX */
799
800         return 1;
801 }
802
803 static int
804 process_header_records(wtap *wth, int *err, gchar **err_info, gint16 maj_vers,
805     guint8 network)
806 {
807         int bytes_read;
808         char record_type[2];
809         char record_length[4]; /* only the first 2 bytes are length,
810                                   the last 2 are "reserved" and are thrown away */
811         guint16 type, length;
812         int bytes_to_read;
813         unsigned char buffer[256];
814
815         for (;;) {
816                 errno = WTAP_ERR_CANT_READ;
817                 bytes_read = file_read(record_type, 2, wth->fh);
818                 if (bytes_read != 2) {
819                         *err = file_error(wth->fh, err_info);
820                         if (*err != 0)
821                                 return -1;
822                         if (bytes_read != 0) {
823                                 *err = WTAP_ERR_SHORT_READ;
824                                 return -1;
825                         }
826                         return 0;       /* EOF */
827                 }
828
829                 type = pletohs(record_type);
830                 if ((type != REC_HEADER1) && (type != REC_HEADER2)
831                         && (type != REC_HEADER3) && (type != REC_HEADER4)
832                         && (type != REC_HEADER5) && (type != REC_HEADER6)
833                         && (type != REC_HEADER7)
834                         && ((type != REC_V2DESC) || (maj_vers > 2)) ) {
835                         /*
836                          * Well, this is either some unknown header type
837                          * (we ignore this case), an uncompressed data
838                          * frame or the length of a compressed blob
839                          * which implies data. Seek backwards over the
840                          * two bytes we read, and return.
841                          */
842                         if (file_seek(wth->fh, -2, SEEK_CUR, err) == -1)
843                                 return -1;
844                         return 0;
845                 }
846
847                 errno = WTAP_ERR_CANT_READ;
848                 bytes_read = file_read(record_length, 4, wth->fh);
849                 if (bytes_read != 4) {
850                         *err = file_error(wth->fh, err_info);
851                         if (*err == 0)
852                                 *err = WTAP_ERR_SHORT_READ;
853                         return -1;
854                 }
855
856                 length = pletohs(record_length);
857
858                 /*
859                  * Is this is an "Internetwork analyzer" capture, and
860                  * is this a REC_HEADER2 record?
861                  *
862                  * If so, it appears to specify the particular type
863                  * of network we're on.
864                  *
865                  * XXX - handle sync and async differently?  (E.g.,
866                  * does this apply only to sync?)
867                  */
868                 if ((network == NETWORK_SYNCHRO || network == NETWORK_ASYNC) &&
869                     type == REC_HEADER2) {
870                         /*
871                          * Yes, get the first up-to-256 bytes of the
872                          * record data.
873                          */
874                         bytes_to_read = MIN(length, (int)sizeof buffer);
875                         bytes_read = file_read(buffer, bytes_to_read,
876                                 wth->fh);
877                         if (bytes_read != bytes_to_read) {
878                                 *err = file_error(wth->fh, err_info);
879                                 if (*err == 0) {
880                                         *err = WTAP_ERR_SHORT_READ;
881                                         return -1;
882                                 }
883                         }
884
885                         switch (maj_vers) {
886
887                         case 2:
888                                 if (process_rec_header2_v2(wth, buffer,
889                                     length, err, err_info) < 0)
890                                         return -1;
891                                 break;
892
893                         case 1:
894                         case 4:
895                         case 5:
896                                 if (process_rec_header2_v145(wth, buffer,
897                                     length, maj_vers, err, err_info) < 0)
898                                         return -1;
899                                 break;
900                         }
901
902                         /*
903                          * Skip the rest of the record.
904                          */
905                         if (length > sizeof buffer) {
906                                 if (file_seek(wth->fh, length - sizeof buffer,
907                                     SEEK_CUR, err) == -1)
908                                         return -1;
909                         }
910                 } else {
911                         /* Nope, just skip over the data. */
912                         if (file_seek(wth->fh, length, SEEK_CUR, err) == -1)
913                                 return -1;
914                 }
915         }
916 }
917
918 static int
919 process_rec_header2_v2(wtap *wth, unsigned char *buffer, guint16 length,
920     int *err, gchar **err_info)
921 {
922         static const char x_25_str[] = "HDLC\nX.25\n";
923
924         /*
925          * There appears to be a string in a REC_HEADER2 record, with
926          * a list of protocols.  In one X.25 capture I've seen, the
927          * string was "HDLC\nX.25\nCLNP\nISO_TP\nSESS\nPRES\nVTP\nACSE".
928          * Presumably CLNP and everything else is per-packet, but
929          * we assume "HDLC\nX.25\n" indicates that it's an X.25 capture.
930          */
931         if (length < sizeof x_25_str - 1) {
932                 /*
933                  * There's not enough data to compare.
934                  */
935                 *err = WTAP_ERR_UNSUPPORTED_ENCAP;
936                 *err_info = g_strdup_printf("ngsniffer: WAN capture has too-short protocol list");
937                 return -1;
938         }
939
940         if (strncmp((char *)buffer, x_25_str, sizeof x_25_str - 1) == 0) {
941                 /*
942                  * X.25.
943                  */
944                 wth->file_encap = WTAP_ENCAP_LAPB;
945         } else {
946                 *err = WTAP_ERR_UNSUPPORTED_ENCAP;
947                 *err_info = g_strdup_printf("ngsniffer: WAN capture protocol string %.*s unknown",
948                     length, buffer);
949                 return -1;
950         }
951         return 0;
952 }
953
954 static int
955 process_rec_header2_v145(wtap *wth, unsigned char *buffer, guint16 length,
956     gint16 maj_vers, int *err, gchar **err_info)
957 {
958         /*
959          * The 5th byte of the REC_HEADER2 record appears to be a
960          * network type.
961          */
962         if (length < 5) {
963                 /*
964                  * There is no 5th byte; give up.
965                  */
966                 *err = WTAP_ERR_UNSUPPORTED_ENCAP;
967                 *err_info = g_strdup("ngsniffer: WAN capture has no network subtype");
968                 return -1;
969         }
970
971         /*
972          * The X.25 captures I've seen have a type of NET_HDLC, and the
973          * Sniffer documentation seems to imply that it's used for
974          * X.25, although it could be used for other purposes as well.
975          *
976          * NET_ROUTER is used for all sorts of point-to-point protocols,
977          * including ISDN.  It appears, from the documentation, that the
978          * Sniffer attempts to infer the particular protocol by looking
979          * at the traffic; it's not clear whether it stores in the file
980          * an indication of the protocol it inferred was being used.
981          *
982          * Unfortunately, it also appears that NET_HDLC is used for
983          * stuff other than X.25 as well, so we can't just interpret
984          * it unconditionally as X.25.
985          *
986          * For now, we interpret both NET_HDLC and NET_ROUTER as "per-packet
987          * encapsulation".  We remember that we saw NET_ROUTER, though,
988          * as it appears that we can infer whether a packet is PPP or
989          * ISDN based on the channel number subfield of the frame error
990          * status bits - if it's 0, it's PPP, otherwise it's ISDN and
991          * the channel number indicates which channel it is.  We assume
992          * NET_HDLC isn't used for ISDN.
993          */
994         switch (buffer[4]) {
995
996         case NET_SDLC:
997                 wth->file_encap = WTAP_ENCAP_SDLC;
998                 break;
999
1000         case NET_HDLC:
1001                 wth->file_encap = WTAP_ENCAP_PER_PACKET;
1002                 break;
1003
1004         case NET_FRAME_RELAY:
1005                 wth->file_encap = WTAP_ENCAP_FRELAY_WITH_PHDR;
1006                 break;
1007
1008         case NET_ROUTER:
1009                 /*
1010                  * For most of the version 4 capture files I've seen,
1011                  * 0xfa in buffer[1] means the file is an ISDN capture,
1012                  * but there's one PPP file with 0xfa there; does that
1013                  * mean that the 0xfa has nothing to do with ISDN,
1014                  * or is that just an ISDN file with no D channel
1015                  * packets?  (The channel number is not 0 in any
1016                  * of the packets, so perhaps it is.)
1017                  *
1018                  * For one version 5 ISDN capture I've seen, there's
1019                  * a 0x01 in buffer[6]; none of the non-ISDN version
1020                  * 5 captures have it.
1021                  */
1022                 wth->file_encap = WTAP_ENCAP_PER_PACKET;
1023                 switch (maj_vers) {
1024
1025                 case 4:
1026                         if (buffer[1] == 0xfa)
1027                                 wth->file_encap = WTAP_ENCAP_ISDN;
1028                         break;
1029
1030                 case 5:
1031                         if (length < 7) {
1032                                 /*
1033                                  * There is no 5th byte; give up.
1034                                  */
1035                                 *err = WTAP_ERR_UNSUPPORTED_ENCAP;
1036                                 *err_info = g_strdup("ngsniffer: WAN bridge/router capture has no ISDN flag");
1037                                 return -1;
1038                         }
1039                         if (buffer[6] == 0x01)
1040                                 wth->file_encap = WTAP_ENCAP_ISDN;
1041                         break;
1042                 }
1043                 break;
1044
1045         case NET_PPP:
1046                 wth->file_encap = WTAP_ENCAP_PPP_WITH_PHDR;
1047                 break;
1048
1049         default:
1050                 /*
1051                  * Reject these until we can figure them out.
1052                  */
1053                 *err = WTAP_ERR_UNSUPPORTED_ENCAP;
1054                 *err_info = g_strdup_printf("ngsniffer: WAN network subtype %u unknown or unsupported",
1055                     buffer[4]);
1056                 return -1;
1057         }
1058         return 0;
1059 }
1060
1061 /* Read the next packet */
1062 static gboolean
1063 ngsniffer_read(wtap *wth, int *err, gchar **err_info, gint64 *data_offset)
1064 {
1065         ngsniffer_t *ngsniffer;
1066         int     ret;
1067         guint16 type, length;
1068         struct frame2_rec frame2;
1069         struct frame4_rec frame4;
1070         struct frame6_rec frame6;
1071         guint16 time_low, time_med, true_size, size;
1072         guint8  time_high, time_day;
1073         guint64 t, tsecs, tpsecs;
1074
1075         ngsniffer = (ngsniffer_t *)wth->priv;
1076         for (;;) {
1077                 /*
1078                  * We use the uncompressed offset, as that's what
1079                  * we need to use for compressed files.
1080                  */
1081                 *data_offset = ngsniffer->seq.uncomp_offset;
1082
1083                 /*
1084                  * Read the record header.
1085                  */
1086                 ret = ngsniffer_read_rec_header(wth, FALSE, &type, &length,
1087                     err, err_info);
1088                 if (ret <= 0) {
1089                         /* Read error or EOF */
1090                         return FALSE;
1091                 }
1092
1093                 switch (type) {
1094
1095                 case REC_FRAME2:
1096                         if (ngsniffer->network == NETWORK_ATM) {
1097                                 /*
1098                                  * We shouldn't get a frame2 record in
1099                                  * an ATM capture.
1100                                  */
1101                                 *err = WTAP_ERR_BAD_FILE;
1102                                 *err_info = g_strdup("ngsniffer: REC_FRAME2 record in an ATM Sniffer file");
1103                                 return FALSE;
1104                         }
1105
1106                         /* Read the f_frame2_struct */
1107                         if (!ngsniffer_read_frame2(wth, FALSE, &frame2, err,
1108                             err_info)) {
1109                                 /* Read error */
1110                                 return FALSE;
1111                         }
1112                         time_low = pletohs(&frame2.time_low);
1113                         time_med = pletohs(&frame2.time_med);
1114                         time_high = frame2.time_high;
1115                         time_day = frame2.time_day;
1116                         size = pletohs(&frame2.size);
1117                         true_size = pletohs(&frame2.true_size);
1118
1119                         length -= sizeof frame2;        /* we already read that much */
1120
1121                         set_pseudo_header_frame2(wth, &wth->phdr.pseudo_header,
1122                             &frame2);
1123                         goto found;
1124
1125                 case REC_FRAME4:
1126                         if (ngsniffer->network != NETWORK_ATM) {
1127                                 /*
1128                                  * We shouldn't get a frame2 record in
1129                                  * a non-ATM capture.
1130                                  */
1131                                 *err = WTAP_ERR_BAD_FILE;
1132                                 *err_info = g_strdup("ngsniffer: REC_FRAME4 record in a non-ATM Sniffer file");
1133                                 return FALSE;
1134                         }
1135
1136                         /* Read the f_frame4_struct */
1137                         if (!ngsniffer_read_frame4(wth, FALSE, &frame4, err,
1138                             err_info)) {
1139                                 /* Read error */
1140                                 return FALSE;
1141                         }
1142                         time_low = pletohs(&frame4.time_low);
1143                         time_med = pletohs(&frame4.time_med);
1144                         time_high = frame4.time_high;
1145                         time_day = frame4.time_day;
1146                         size = pletohs(&frame4.size);
1147                         true_size = pletohs(&frame4.true_size);
1148
1149                         /*
1150                          * XXX - it looks as if some version 4 captures have
1151                          * a bogus record length, based on the assumption
1152                          * that the record is a frame2 record.
1153                          */
1154                         if (ngsniffer->maj_vers >= 5)
1155                                 length -= sizeof frame4;        /* we already read that much */
1156                         else {
1157                                 if (ngsniffer->min_vers >= 95)
1158                                         length -= sizeof frame2;
1159                                 else
1160                                         length -= sizeof frame4;
1161                         }
1162
1163                         set_pseudo_header_frame4(&wth->phdr.pseudo_header, &frame4);
1164                         goto found;
1165
1166                 case REC_FRAME6:
1167                         /* Read the f_frame6_struct */
1168                         if (!ngsniffer_read_frame6(wth, FALSE, &frame6, err,
1169                             err_info)) {
1170                                 /* Read error */
1171                                 return FALSE;
1172                         }
1173                         time_low = pletohs(&frame6.time_low);
1174                         time_med = pletohs(&frame6.time_med);
1175                         time_high = frame6.time_high;
1176                         time_day = frame6.time_day;
1177                         size = pletohs(&frame6.size);
1178                         true_size = pletohs(&frame6.true_size);
1179
1180                         length -= sizeof frame6;        /* we already read that much */
1181
1182                         set_pseudo_header_frame6(wth, &wth->phdr.pseudo_header,
1183                             &frame6);
1184                         goto found;
1185
1186                 case REC_EOF:
1187                         /*
1188                          * End of file.  Return an EOF indication.
1189                          */
1190                         *err = 0;       /* EOF, not error */
1191                         return FALSE;
1192
1193                 default:
1194                         break;  /* unknown type, skip it */
1195                 }
1196
1197                 /*
1198                  * Well, we don't know what it is, or we know what
1199                  * it is but can't handle it.  Skip past the data
1200                  * portion, and keep looping.
1201                  */
1202                 if (!ng_file_skip_seq(wth, length, err, err_info))
1203                         return FALSE;
1204         }
1205
1206 found:
1207         /*
1208          * OK, is the frame data size greater than than what's left of the
1209          * record?
1210          */
1211         if (size > length) {
1212                 /*
1213                  * Yes - treat this as an error.
1214                  */
1215                 *err = WTAP_ERR_BAD_FILE;
1216                 *err_info = g_strdup("ngsniffer: Record length is less than packet size");
1217                 return FALSE;
1218         }
1219
1220         wth->phdr.presence_flags = true_size ? WTAP_HAS_TS|WTAP_HAS_CAP_LEN : WTAP_HAS_TS;
1221         wth->phdr.len = true_size ? true_size : size;
1222         wth->phdr.caplen = size;
1223
1224         /*
1225          * Read the packet data.
1226          */
1227         if (!ngsniffer_read_rec_data(wth, FALSE, wth->frame_buffer, length,
1228             err, err_info))
1229                 return FALSE;   /* Read error */
1230
1231         wth->phdr.pkt_encap = fix_pseudo_header(wth->file_encap, wth->frame_buffer, length,
1232             &wth->phdr.pseudo_header);
1233
1234         /*
1235          * 40-bit time stamp, in units of timeunit picoseconds.
1236          */
1237         t = (((guint64)time_high)<<32) | (((guint64)time_med) << 16) | time_low;
1238
1239         /*
1240          * timeunit is always < 2^(64-40), so t * timeunit fits in 64
1241          * bits.  That gives a 64-bit time stamp, in units of
1242          * picoseconds.
1243          */
1244         t *= ngsniffer->timeunit;
1245
1246         /*
1247          * Convert to seconds and picoseconds.
1248          */
1249         tsecs = t/G_GINT64_CONSTANT(1000000000000U);
1250         tpsecs = t - tsecs*G_GINT64_CONSTANT(1000000000000U);
1251
1252         /*
1253          * Add in the time_day value (86400 seconds/day).
1254          */
1255         tsecs += time_day*86400;
1256
1257         /*
1258          * Add in the capture start time.
1259          */
1260         tsecs += ngsniffer->start;
1261
1262         wth->phdr.ts.secs = (time_t)tsecs;
1263         wth->phdr.ts.nsecs = (int)(tpsecs/1000);        /* psecs to nsecs */
1264         return TRUE;
1265 }
1266
1267 static gboolean
1268 ngsniffer_seek_read(wtap *wth, gint64 seek_off,
1269     struct wtap_pkthdr *phdr, Buffer *buf, int packet_size,
1270     int *err, gchar **err_info)
1271 {
1272         union wtap_pseudo_header *pseudo_header = &phdr->pseudo_header;
1273         int     ret;
1274         guint16 type, length;
1275         struct frame2_rec frame2;
1276         struct frame4_rec frame4;
1277         struct frame6_rec frame6;
1278
1279         if (!ng_file_seek_rand(wth, seek_off, err, err_info))
1280                 return FALSE;
1281
1282         ret = ngsniffer_read_rec_header(wth, TRUE, &type, &length, err,
1283             err_info);
1284         if (ret <= 0) {
1285                 /* Read error or EOF */
1286                 if (ret == 0) {
1287                         /* EOF means "short read" in random-access mode */
1288                         *err = WTAP_ERR_SHORT_READ;
1289                 }
1290                 return FALSE;
1291         }
1292
1293         switch (type) {
1294
1295         case REC_FRAME2:
1296                 /* Read the f_frame2_struct */
1297                 if (!ngsniffer_read_frame2(wth, TRUE, &frame2, err, err_info)) {
1298                         /* Read error */
1299                         return FALSE;
1300                 }
1301
1302                 length -= sizeof frame2;        /* we already read that much */
1303
1304                 set_pseudo_header_frame2(wth, pseudo_header, &frame2);
1305                 break;
1306
1307         case REC_FRAME4:
1308                 /* Read the f_frame4_struct */
1309                 if (!ngsniffer_read_frame4(wth, TRUE, &frame4, err, err_info)) {
1310                         /* Read error */
1311                         return FALSE;
1312                 }
1313
1314                 length -= sizeof frame4;        /* we already read that much */
1315
1316                 set_pseudo_header_frame4(pseudo_header, &frame4);
1317                 break;
1318
1319         case REC_FRAME6:
1320                 /* Read the f_frame6_struct */
1321                 if (!ngsniffer_read_frame6(wth, TRUE, &frame6, err, err_info)) {
1322                         /* Read error */
1323                         return FALSE;
1324                 }
1325
1326                 length -= sizeof frame6;        /* we already read that much */
1327
1328                 set_pseudo_header_frame6(wth, pseudo_header, &frame6);
1329                 break;
1330
1331         default:
1332                 /*
1333                  * "Can't happen".
1334                  */
1335                 g_assert_not_reached();
1336                 return FALSE;
1337         }
1338
1339         /*
1340          * Got the pseudo-header (if any), now get the data.
1341          */
1342         if (!ngsniffer_read_rec_data(wth, TRUE, buf, packet_size, err, err_info))
1343                 return FALSE;
1344
1345         fix_pseudo_header(wth->file_encap, buf, packet_size, pseudo_header);
1346
1347         return TRUE;
1348 }
1349
1350 static int
1351 ngsniffer_read_rec_header(wtap *wth, gboolean is_random, guint16 *typep,
1352     guint16 *lengthp, int *err, gchar **err_info)
1353 {
1354         gint64  bytes_read;
1355         char    record_type[2];
1356         char    record_length[4]; /* only 1st 2 bytes are length */
1357
1358         /*
1359          * Read the record header.
1360          */
1361         bytes_read = ng_file_read(record_type, 2, wth, is_random, err,
1362             err_info);
1363         if (bytes_read != 2) {
1364                 if (*err != 0)
1365                         return -1;
1366                 if (bytes_read != 0) {
1367                         *err = WTAP_ERR_SHORT_READ;
1368                         return -1;
1369                 }
1370                 return 0;
1371         }
1372         bytes_read = ng_file_read(record_length, 4, wth, is_random, err,
1373             err_info);
1374         if (bytes_read != 4) {
1375                 if (*err == 0)
1376                         *err = WTAP_ERR_SHORT_READ;
1377                 return -1;
1378         }
1379
1380         *typep = pletohs(record_type);
1381         *lengthp = pletohs(record_length);
1382         return 1;       /* success */
1383 }
1384
1385 static gboolean
1386 ngsniffer_read_frame2(wtap *wth, gboolean is_random, struct frame2_rec *frame2,
1387     int *err, gchar **err_info)
1388 {
1389         gint64 bytes_read;
1390
1391         /* Read the f_frame2_struct */
1392         bytes_read = ng_file_read(frame2, (unsigned int)sizeof *frame2, wth,
1393             is_random, err, err_info);
1394         if (bytes_read != sizeof *frame2) {
1395                 if (*err == 0)
1396                         *err = WTAP_ERR_SHORT_READ;
1397                 return FALSE;
1398         }
1399         return TRUE;
1400 }
1401
1402 static void
1403 set_pseudo_header_frame2(wtap *wth, union wtap_pseudo_header *pseudo_header,
1404     struct frame2_rec *frame2)
1405 {
1406         /*
1407          * In one PPP "Internetwork analyzer" capture:
1408          *
1409          *      The only bit seen in "frame2.fs" is the 0x80 bit, which
1410          *      probably indicates the packet's direction; all other
1411          *      bits were zero.  The Expert Sniffer Network Analyzer
1412          *      5.50 Operations manual says that bit is the FS_DTE bit
1413          *      for async/PPP data.  The other bits are error bits
1414          *      plus bits indicating whether the frame is PPP or SLIP,
1415          *      but the PPP bit isn't set.
1416          *
1417          *      All bits in "frame2.flags" were zero.
1418          *
1419          * In one X.25 "Internetwork analyzer" capture:
1420          *
1421          *      The only bit seen in "frame2.fs" is the 0x80 bit, which
1422          *      probably indicates the packet's direction; all other
1423          *      bits were zero.
1424          *
1425          *      "frame2.flags" was always 0x18; however, the Sniffer
1426          *      manual says that just means that a display filter was
1427          *      calculated for the frame, and it should be displayed,
1428          *      so perhaps that's just a quirk of that particular capture.
1429          *
1430          * In one Ethernet capture:
1431          *
1432          *      "frame2.fs" was always 0; the Sniffer manual says they're
1433          *      error bits of various sorts.
1434          *
1435          *      "frame2.flags" was either 0 or 0x18, with no obvious
1436          *      correlation with anything.  See previous comment
1437          *      about display filters.
1438          *
1439          * In one Token Ring capture:
1440          *
1441          *      "frame2.fs" was either 0 or 0xcc; the Sniffer manual says
1442          *      nothing about those bits for Token Ring captures.
1443          *
1444          *      "frame2.flags" was either 0 or 0x18, with no obvious
1445          *      correlation with anything.  See previous comment
1446          *      about display filters.
1447          */
1448         switch (wth->file_encap) {
1449
1450         case WTAP_ENCAP_ETHERNET:
1451                 /*
1452                  * XXX - do we ever have an FCS?  If not, why do we often
1453                  * have 4 extra bytes of stuff at the end?  Do some
1454                  * PC Ethernet interfaces report the length including the
1455                  * FCS but not store the FCS in the packet, or do some
1456                  * Ethernet drivers work that way?
1457                  */
1458                 pseudo_header->eth.fcs_len = 0;
1459                 break;
1460
1461         case WTAP_ENCAP_PPP_WITH_PHDR:
1462         case WTAP_ENCAP_SDLC:
1463                 pseudo_header->p2p.sent = (frame2->fs & FS_WAN_DTE) ? TRUE : FALSE;
1464                 break;
1465
1466         case WTAP_ENCAP_LAPB:
1467         case WTAP_ENCAP_FRELAY_WITH_PHDR:
1468         case WTAP_ENCAP_PER_PACKET:
1469                 pseudo_header->x25.flags = (frame2->fs & FS_WAN_DTE) ? 0x00 : FROM_DCE;
1470                 break;
1471
1472         case WTAP_ENCAP_ISDN:
1473                 pseudo_header->isdn.uton = (frame2->fs & FS_WAN_DTE) ? FALSE : TRUE;
1474                 switch (frame2->fs & FS_ISDN_CHAN_MASK) {
1475
1476                 case FS_ISDN_CHAN_D:
1477                         pseudo_header->isdn.channel = 0;        /* D-channel */
1478                         break;
1479
1480                 case FS_ISDN_CHAN_B1:
1481                         pseudo_header->isdn.channel = 1;        /* B1-channel */
1482                         break;
1483
1484                 case FS_ISDN_CHAN_B2:
1485                         pseudo_header->isdn.channel = 2;        /* B2-channel */
1486                         break;
1487
1488                 default:
1489                         pseudo_header->isdn.channel = 30;       /* XXX */
1490                         break;
1491                 }
1492         }
1493 }
1494
1495 static gboolean
1496 ngsniffer_read_frame4(wtap *wth, gboolean is_random, struct frame4_rec *frame4,
1497     int *err, gchar **err_info)
1498 {
1499         gint64 bytes_read;
1500
1501         /* Read the f_frame4_struct */
1502         bytes_read = ng_file_read(frame4, (unsigned int)sizeof *frame4, wth,
1503             is_random, err, err_info);
1504         if (bytes_read != sizeof *frame4) {
1505                 if (*err == 0)
1506                         *err = WTAP_ERR_SHORT_READ;
1507                 return FALSE;
1508         }
1509         return TRUE;
1510 }
1511
1512 static void
1513 set_pseudo_header_frame4(union wtap_pseudo_header *pseudo_header,
1514     struct frame4_rec *frame4)
1515 {
1516         guint32 StatusWord;
1517         guint8 aal_type, hl_type;
1518         guint16 vpi, vci;
1519
1520         /*
1521          * Map flags from frame4.atm_info.StatusWord.
1522          */
1523         pseudo_header->atm.flags = 0;
1524         StatusWord = pletohl(&frame4->atm_info.StatusWord);
1525         if (StatusWord & SW_RAW_CELL)
1526                 pseudo_header->atm.flags |= ATM_RAW_CELL;
1527
1528         aal_type = frame4->atm_info.AppTrafType & ATT_AALTYPE;
1529         hl_type = frame4->atm_info.AppTrafType & ATT_HLTYPE;
1530         vpi = pletohs(&frame4->atm_info.Vpi);
1531         vci = pletohs(&frame4->atm_info.Vci);
1532
1533         switch (aal_type) {
1534
1535         case ATT_AAL_UNKNOWN:
1536                 /*
1537                  * Map ATT_AAL_UNKNOWN on VPI 0, VCI 5 to ATT_AAL_SIGNALLING,
1538                  * as that's the VPCI used for signalling.
1539                  *
1540                  * XXX - is this necessary, or will frames to 0/5 always
1541                  * have ATT_AAL_SIGNALLING?
1542                  */
1543                 if (vpi == 0 && vci == 5)
1544                         pseudo_header->atm.aal = AAL_SIGNALLING;
1545                 else
1546                         pseudo_header->atm.aal = AAL_UNKNOWN;
1547                 pseudo_header->atm.type = TRAF_UNKNOWN;
1548                 pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1549                 break;
1550
1551         case ATT_AAL1:
1552                 pseudo_header->atm.aal = AAL_1;
1553                 pseudo_header->atm.type = TRAF_UNKNOWN;
1554                 pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1555                 break;
1556
1557         case ATT_AAL3_4:
1558                 pseudo_header->atm.aal = AAL_3_4;
1559                 pseudo_header->atm.type = TRAF_UNKNOWN;
1560                 pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1561                 break;
1562
1563         case ATT_AAL5:
1564                 pseudo_header->atm.aal = AAL_5;
1565                 switch (hl_type) {
1566
1567                 case ATT_HL_UNKNOWN:
1568                         pseudo_header->atm.type = TRAF_UNKNOWN;
1569                         pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1570                         break;
1571
1572                 case ATT_HL_LLCMX:
1573                         pseudo_header->atm.type = TRAF_LLCMX;
1574                         pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1575                         break;
1576
1577                 case ATT_HL_VCMX:
1578                         pseudo_header->atm.type = TRAF_VCMX;
1579                         switch (frame4->atm_info.AppHLType) {
1580
1581                         case AHLT_UNKNOWN:
1582                                 pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1583                                 break;
1584
1585                         case AHLT_VCMX_802_3_FCS:
1586                                 pseudo_header->atm.subtype =
1587                                     TRAF_ST_VCMX_802_3_FCS;
1588                                 break;
1589
1590                         case AHLT_VCMX_802_4_FCS:
1591                                 pseudo_header->atm.subtype =
1592                                     TRAF_ST_VCMX_802_4_FCS;
1593                                 break;
1594
1595                         case AHLT_VCMX_802_5_FCS:
1596                                 pseudo_header->atm.subtype =
1597                                     TRAF_ST_VCMX_802_5_FCS;
1598                                 break;
1599
1600                         case AHLT_VCMX_FDDI_FCS:
1601                                 pseudo_header->atm.subtype =
1602                                     TRAF_ST_VCMX_FDDI_FCS;
1603                                 break;
1604
1605                         case AHLT_VCMX_802_6_FCS:
1606                                 pseudo_header->atm.subtype =
1607                                     TRAF_ST_VCMX_802_6_FCS;
1608                                 break;
1609
1610                         case AHLT_VCMX_802_3:
1611                                 pseudo_header->atm.subtype = TRAF_ST_VCMX_802_3;
1612                                 break;
1613
1614                         case AHLT_VCMX_802_4:
1615                                 pseudo_header->atm.subtype = TRAF_ST_VCMX_802_4;
1616                                 break;
1617
1618                         case AHLT_VCMX_802_5:
1619                                 pseudo_header->atm.subtype = TRAF_ST_VCMX_802_5;
1620                                 break;
1621
1622                         case AHLT_VCMX_FDDI:
1623                                 pseudo_header->atm.subtype = TRAF_ST_VCMX_FDDI;
1624                                 break;
1625
1626                         case AHLT_VCMX_802_6:
1627                                 pseudo_header->atm.subtype = TRAF_ST_VCMX_802_6;
1628                                 break;
1629
1630                         case AHLT_VCMX_FRAGMENTS:
1631                                 pseudo_header->atm.subtype =
1632                                     TRAF_ST_VCMX_FRAGMENTS;
1633                                 break;
1634
1635                         case AHLT_VCMX_BPDU:
1636                                 pseudo_header->atm.subtype = TRAF_ST_VCMX_BPDU;
1637                                 break;
1638
1639                         default:
1640                                 pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1641                                 break;
1642                         }
1643                         break;
1644
1645                 case ATT_HL_LANE:
1646                         pseudo_header->atm.type = TRAF_LANE;
1647                         switch (frame4->atm_info.AppHLType) {
1648
1649                         case AHLT_UNKNOWN:
1650                                 pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1651                                 break;
1652
1653                         case AHLT_LANE_LE_CTRL:
1654                                 pseudo_header->atm.subtype =
1655                                     TRAF_ST_LANE_LE_CTRL;
1656                                 break;
1657
1658                         case AHLT_LANE_802_3:
1659                                 pseudo_header->atm.subtype = TRAF_ST_LANE_802_3;
1660                                 break;
1661
1662                         case AHLT_LANE_802_5:
1663                                 pseudo_header->atm.subtype = TRAF_ST_LANE_802_5;
1664                                 break;
1665
1666                         case AHLT_LANE_802_3_MC:
1667                                 pseudo_header->atm.subtype =
1668                                     TRAF_ST_LANE_802_3_MC;
1669                                 break;
1670
1671                         case AHLT_LANE_802_5_MC:
1672                                 pseudo_header->atm.subtype =
1673                                     TRAF_ST_LANE_802_5_MC;
1674                                 break;
1675
1676                         default:
1677                                 pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1678                                 break;
1679                         }
1680                         break;
1681
1682                 case ATT_HL_ILMI:
1683                         pseudo_header->atm.type = TRAF_ILMI;
1684                         pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1685                         break;
1686
1687                 case ATT_HL_FRMR:
1688                         pseudo_header->atm.type = TRAF_FR;
1689                         pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1690                         break;
1691
1692                 case ATT_HL_SPANS:
1693                         pseudo_header->atm.type = TRAF_SPANS;
1694                         pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1695                         break;
1696
1697                 case ATT_HL_IPSILON:
1698                         pseudo_header->atm.type = TRAF_IPSILON;
1699                         switch (frame4->atm_info.AppHLType) {
1700
1701                         case AHLT_UNKNOWN:
1702                                 pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1703                                 break;
1704
1705                         case AHLT_IPSILON_FT0:
1706                                 pseudo_header->atm.subtype =
1707                                     TRAF_ST_IPSILON_FT0;
1708                                 break;
1709
1710                         case AHLT_IPSILON_FT1:
1711                                 pseudo_header->atm.subtype =
1712                                     TRAF_ST_IPSILON_FT1;
1713                                 break;
1714
1715                         case AHLT_IPSILON_FT2:
1716                                 pseudo_header->atm.subtype =
1717                                     TRAF_ST_IPSILON_FT2;
1718                                 break;
1719
1720                         default:
1721                                 pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1722                                 break;
1723                         }
1724                         break;
1725
1726                 default:
1727                         pseudo_header->atm.type = TRAF_UNKNOWN;
1728                         pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1729                         break;
1730                 }
1731                 break;
1732
1733         case ATT_AAL_USER:
1734                 pseudo_header->atm.aal = AAL_USER;
1735                 pseudo_header->atm.type = TRAF_UNKNOWN;
1736                 pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1737                 break;
1738
1739         case ATT_AAL_SIGNALLING:
1740                 pseudo_header->atm.aal = AAL_SIGNALLING;
1741                 pseudo_header->atm.type = TRAF_UNKNOWN;
1742                 pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1743                 break;
1744
1745         case ATT_OAMCELL:
1746                 pseudo_header->atm.aal = AAL_OAMCELL;
1747                 pseudo_header->atm.type = TRAF_UNKNOWN;
1748                 pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1749                 break;
1750
1751         default:
1752                 pseudo_header->atm.aal = AAL_UNKNOWN;
1753                 pseudo_header->atm.type = TRAF_UNKNOWN;
1754                 pseudo_header->atm.subtype = TRAF_ST_UNKNOWN;
1755                 break;
1756         }
1757         pseudo_header->atm.vpi = vpi;
1758         pseudo_header->atm.vci = vci;
1759         pseudo_header->atm.channel = pletohs(&frame4->atm_info.channel);
1760         pseudo_header->atm.cells = pletohs(&frame4->atm_info.cells);
1761         pseudo_header->atm.aal5t_u2u = pletohs(&frame4->atm_info.Trailer.aal5t_u2u);
1762         pseudo_header->atm.aal5t_len = pletohs(&frame4->atm_info.Trailer.aal5t_len);
1763         pseudo_header->atm.aal5t_chksum = pntohl(&frame4->atm_info.Trailer.aal5t_chksum);
1764 }
1765
1766 static gboolean
1767 ngsniffer_read_frame6(wtap *wth, gboolean is_random, struct frame6_rec *frame6,
1768     int *err, gchar **err_info)
1769 {
1770         gint64 bytes_read;
1771
1772         /* Read the f_frame6_struct */
1773         bytes_read = ng_file_read(frame6, (unsigned int)sizeof *frame6, wth,
1774             is_random, err, err_info);
1775         if (bytes_read != sizeof *frame6) {
1776                 if (*err == 0)
1777                         *err = WTAP_ERR_SHORT_READ;
1778                 return FALSE;
1779         }
1780         return TRUE;
1781 }
1782
1783 static void
1784 set_pseudo_header_frame6(wtap *wth, union wtap_pseudo_header *pseudo_header,
1785     struct frame6_rec *frame6 _U_)
1786 {
1787         /* XXX - Once the frame format is divined, something will most likely go here */
1788
1789         switch (wth->file_encap) {
1790
1791         case WTAP_ENCAP_ETHERNET:
1792                 /* XXX - is there an FCS? */
1793                 pseudo_header->eth.fcs_len = -1;
1794                 break;
1795         }
1796 }
1797
1798 static gboolean
1799 ngsniffer_read_rec_data(wtap *wth, gboolean is_random, Buffer *buf,
1800     unsigned int length, int *err, gchar **err_info)
1801 {
1802         gint64  bytes_read;
1803
1804         buffer_assure_space(buf, length);
1805         bytes_read = ng_file_read(buffer_start_ptr(buf), length, wth,
1806             is_random, err, err_info);
1807
1808         if (bytes_read != (gint64) length) {
1809                 if (*err == 0)
1810                         *err = WTAP_ERR_SHORT_READ;
1811                 return FALSE;
1812         }
1813         return TRUE;
1814 }
1815
1816 /*
1817  * OK, this capture is from an "Internetwork analyzer", and we either
1818  * didn't see a type 7 record or it had a network type such as NET_HDLC
1819  * that doesn't tell us which *particular* HDLC derivative this is;
1820  * let's look at the first few bytes of the packet, a pointer to which
1821  * was passed to us as an argument, and see whether it looks like PPP,
1822  * Frame Relay, Wellfleet HDLC, Cisco HDLC, or LAPB - or, if it's none
1823  * of those, assume it's LAPD.
1824  *
1825  * (XXX - are there any "Internetwork analyzer" captures that don't
1826  * have type 7 records?  If so, is there some other field that will
1827  * tell us what type of capture it is?)
1828  */
1829 static int
1830 infer_pkt_encap(const guint8 *pd, int len)
1831 {
1832         int i;
1833
1834         if (len <= 0) {
1835                 /*
1836                  * Nothing to infer, but it doesn't matter how you
1837                  * dissect an empty packet.  Let's just say PPP.
1838                  */
1839                 return WTAP_ENCAP_PPP_WITH_PHDR;
1840         }
1841
1842         if (pd[0] == 0xFF) {
1843                 /*
1844                  * PPP.  (XXX - check for 0xFF 0x03?)
1845                  */
1846                 return WTAP_ENCAP_PPP_WITH_PHDR;
1847         }
1848
1849         if (len >= 2) {
1850                 if (pd[0] == 0x07 && pd[1] == 0x03) {
1851                         /*
1852                          * Wellfleet HDLC.
1853                          */
1854                         return WTAP_ENCAP_WFLEET_HDLC;
1855                 } else if ((pd[0] == 0x0F && pd[1] == 0x00) ||
1856                            (pd[0] == 0x8F && pd[1] == 0x00)) {
1857                         /*
1858                          * Cisco HDLC.
1859                          */
1860                         return WTAP_ENCAP_CHDLC_WITH_PHDR;
1861                 }
1862
1863                 /*
1864                  * Check for Frame Relay.  Look for packets with at least
1865                  * 3 bytes of header - 2 bytes of DLCI followed by 1 byte
1866                  * of control, which, for now, we require to be 0x03 (UI),
1867                  * although there might be other frame types as well.
1868                  * Scan forward until we see the last DLCI byte, with
1869                  * the low-order bit being 1, and then check the next
1870                  * byte to see if it's a control byte.
1871                  *
1872                  * XXX - in version 4 and 5 captures, wouldn't this just
1873                  * have a capture subtype of NET_FRAME_RELAY?  Or is this
1874                  * here only to handle other versions of the capture
1875                  * file, where we might just not yet have found where
1876                  * the subtype is specified in the capture?
1877                  *
1878                  * Bay^H^H^HNortel Networks has a mechanism in the Optivity
1879                  * software for some of their routers to save captures
1880                  * in Sniffer format; they use a version number of 4.9, but
1881                  * don't put out any header records before the first FRAME2
1882                  * record.  That means we have to use heuristics to guess
1883                  * what type of packet we have.
1884                  */
1885                 for (i = 0; i < len && (pd[i] & 0x01) == 0; i++)
1886                         ;
1887                 i++;    /* advance to the byte after the last DLCI byte */
1888                 if (i == len) {
1889                         /*
1890                          * No control byte.
1891                          */
1892                         return WTAP_ENCAP_LAPB;
1893                 }
1894                 if (pd[i] == 0x03)
1895                         return WTAP_ENCAP_FRELAY_WITH_PHDR;
1896         }
1897
1898         /*
1899          * Assume LAPB, for now.  If we support other HDLC encapsulations,
1900          * we can check whether the low-order bit of the first byte is
1901          * set (as it should be for LAPB) if no other checks pass.
1902          *
1903          * Or, if it's truly impossible to distinguish ISDN from non-ISDN
1904          * captures, we could assume it's ISDN if it's not anything
1905          * else.
1906          */
1907         return WTAP_ENCAP_LAPB;
1908 }
1909
1910 static int
1911 fix_pseudo_header(int encap, Buffer *buf, int len,
1912     union wtap_pseudo_header *pseudo_header)
1913 {
1914         const guint8 *pd;
1915
1916         pd = buffer_start_ptr(buf);
1917         switch (encap) {
1918
1919         case WTAP_ENCAP_PER_PACKET:
1920                 /*
1921                  * Infer the packet type from the first two bytes.
1922                  */
1923                 encap = infer_pkt_encap(pd, len);
1924
1925                 /*
1926                  * Fix up the pseudo-header to match the new
1927                  * encapsulation type.
1928                  */
1929                 switch (encap) {
1930
1931                 case WTAP_ENCAP_WFLEET_HDLC:
1932                 case WTAP_ENCAP_CHDLC_WITH_PHDR:
1933                 case WTAP_ENCAP_PPP_WITH_PHDR:
1934                         if (pseudo_header->x25.flags == 0)
1935                                 pseudo_header->p2p.sent = TRUE;
1936                         else
1937                                 pseudo_header->p2p.sent = FALSE;
1938                         break;
1939
1940                 case WTAP_ENCAP_ISDN:
1941                         if (pseudo_header->x25.flags == 0x00)
1942                                 pseudo_header->isdn.uton = FALSE;
1943                         else
1944                                 pseudo_header->isdn.uton = TRUE;
1945
1946                         /*
1947                          * XXX - this is currently a per-packet
1948                          * encapsulation type, and we can't determine
1949                          * whether a capture is an ISDN capture before
1950                          * seeing any packets, and B-channel PPP packets
1951                          * look like PPP packets and are given
1952                          * WTAP_ENCAP_PPP_WITH_PHDR, not WTAP_ENCAP_ISDN,
1953                          * so we assume this is a D-channel packet and
1954                          * thus give it a channel number of 0.
1955                          */
1956                         pseudo_header->isdn.channel = 0;
1957                         break;
1958                 }
1959                 break;
1960
1961         case WTAP_ENCAP_ATM_PDUS:
1962                 /*
1963                  * If the Windows Sniffer writes out one of its ATM
1964                  * capture files in DOS Sniffer format, it doesn't
1965                  * distinguish between LE Control and LANE encapsulated
1966                  * LAN frames, it just marks them as LAN frames,
1967                  * so we fix that up here.
1968                  *
1969                  * I've also seen DOS Sniffer captures claiming that
1970                  * LANE packets that *don't* start with FF 00 are
1971                  * marked as LE Control frames, so we fix that up
1972                  * as well.
1973                  */
1974                 if (pseudo_header->atm.type == TRAF_LANE && len >= 2) {
1975                         if (pd[0] == 0xff && pd[1] == 0x00) {
1976                                 /*
1977                                  * This must be LE Control.
1978                                  */
1979                                 pseudo_header->atm.subtype =
1980                                     TRAF_ST_LANE_LE_CTRL;
1981                         } else {
1982                                 /*
1983                                  * This can't be LE Control.
1984                                  */
1985                                 if (pseudo_header->atm.subtype ==
1986                                     TRAF_ST_LANE_LE_CTRL) {
1987                                         /*
1988                                          * XXX - Ethernet or Token Ring?
1989                                          */
1990                                         pseudo_header->atm.subtype =
1991                                             TRAF_ST_LANE_802_3;
1992                                 }
1993                         }
1994                 }
1995                 break;
1996         }
1997         return encap;
1998 }
1999
2000 /* Throw away the buffers used by the sequential I/O stream, but not
2001    those used by the random I/O stream. */
2002 static void
2003 ngsniffer_sequential_close(wtap *wth)
2004 {
2005         ngsniffer_t *ngsniffer;
2006
2007         ngsniffer = (ngsniffer_t *)wth->priv;
2008         if (ngsniffer->seq.buf != NULL) {
2009                 g_free(ngsniffer->seq.buf);
2010                 ngsniffer->seq.buf = NULL;
2011         }
2012 }
2013
2014 static void
2015 free_blob(gpointer data, gpointer user_data _U_)
2016 {
2017         g_free(data);
2018 }
2019
2020 /* Close stuff used by the random I/O stream, if any, and free up any
2021    private data structures.  (If there's a "sequential_close" routine
2022    for a capture file type, it'll be called before the "close" routine
2023    is called, so we don't have to free the sequential buffer here.) */
2024 static void
2025 ngsniffer_close(wtap *wth)
2026 {
2027         ngsniffer_t *ngsniffer;
2028
2029         ngsniffer = (ngsniffer_t *)wth->priv;
2030         if (ngsniffer->rand.buf != NULL)
2031                 g_free(ngsniffer->rand.buf);
2032         if (ngsniffer->first_blob != NULL) {
2033                 g_list_foreach(ngsniffer->first_blob, free_blob, NULL);
2034                 g_list_free(ngsniffer->first_blob);
2035         }
2036 }
2037
2038 typedef struct {
2039         gboolean first_frame;
2040         time_t start;
2041 } ngsniffer_dump_t;
2042
2043 static const int wtap_encap[] = {
2044         -1,             /* WTAP_ENCAP_UNKNOWN -> unsupported */
2045         1,              /* WTAP_ENCAP_ETHERNET */
2046         0,              /* WTAP_ENCAP_TOKEN_RING */
2047         -1,             /* WTAP_ENCAP_SLIP -> unsupported */
2048         7,              /* WTAP_ENCAP_PPP -> Internetwork analyzer (synchronous) FIXME ! */
2049         9,              /* WTAP_ENCAP_FDDI */
2050         9,              /* WTAP_ENCAP_FDDI_BITSWAPPED */
2051         -1,             /* WTAP_ENCAP_RAW_IP -> unsupported */
2052         2,              /* WTAP_ENCAP_ARCNET */
2053         -1,             /* WTAP_ENCAP_ARCNET_LINUX -> unsupported */
2054         -1,             /* WTAP_ENCAP_ATM_RFC1483 */
2055         -1,             /* WTAP_ENCAP_LINUX_ATM_CLIP */
2056         7,              /* WTAP_ENCAP_LAPB -> Internetwork analyzer (synchronous) */
2057         -1,             /* WTAP_ENCAP_ATM_PDUS */
2058         -1,             /* WTAP_ENCAP_NULL -> unsupported */
2059         -1,             /* WTAP_ENCAP_ASCEND -> unsupported */
2060         -1,             /* WTAP_ENCAP_ISDN -> unsupported */
2061         -1,             /* WTAP_ENCAP_IP_OVER_FC -> unsupported */
2062         7,              /* WTAP_ENCAP_PPP_WITH_PHDR -> Internetwork analyzer (synchronous) FIXME ! */
2063 };
2064 #define NUM_WTAP_ENCAPS (sizeof wtap_encap / sizeof wtap_encap[0])
2065
2066 /* Returns 0 if we could write the specified encapsulation type,
2067    an error indication otherwise. */
2068 int
2069 ngsniffer_dump_can_write_encap(int encap)
2070 {
2071         /* Per-packet encapsulations aren't supported. */
2072         if (encap == WTAP_ENCAP_PER_PACKET)
2073                 return WTAP_ERR_ENCAP_PER_PACKET_UNSUPPORTED;
2074
2075         if (encap < 0 || (unsigned)encap >= NUM_WTAP_ENCAPS || wtap_encap[encap] == -1)
2076                 return WTAP_ERR_UNSUPPORTED_ENCAP;
2077
2078         return 0;
2079 }
2080
2081 /* Returns TRUE on success, FALSE on failure; sets "*err" to an error code on
2082    failure */
2083 gboolean
2084 ngsniffer_dump_open(wtap_dumper *wdh, int *err)
2085 {
2086         ngsniffer_dump_t *ngsniffer;
2087         char buf[6] = {REC_VERS, 0x00, 0x12, 0x00, 0x00, 0x00}; /* version record */
2088
2089         /* This is a sniffer file */
2090         wdh->subtype_write = ngsniffer_dump;
2091         wdh->subtype_close = ngsniffer_dump_close;
2092
2093         ngsniffer = (ngsniffer_dump_t *)g_malloc(sizeof(ngsniffer_dump_t));
2094         wdh->priv = (void *)ngsniffer;
2095         ngsniffer->first_frame = TRUE;
2096         ngsniffer->start = 0;
2097
2098         /* Write the file header. */
2099         if (!wtap_dump_file_write(wdh, ngsniffer_magic, sizeof ngsniffer_magic,
2100                                   err))
2101                 return FALSE;
2102         if (!wtap_dump_file_write(wdh, buf, 6, err))
2103                 return FALSE;
2104
2105         return TRUE;
2106 }
2107
2108 /* Write a record for a packet to a dump file.
2109    Returns TRUE on success, FALSE on failure. */
2110 static gboolean
2111 ngsniffer_dump(wtap_dumper *wdh, const struct wtap_pkthdr *phdr,
2112                const guint8 *pd, int *err)
2113 {
2114         const union wtap_pseudo_header *pseudo_header = &phdr->pseudo_header;
2115         ngsniffer_dump_t *ngsniffer = (ngsniffer_dump_t *)wdh->priv;
2116         struct frame2_rec rec_hdr;
2117         char buf[6];
2118         time_t tsecs;
2119         guint64 t;
2120         guint16 t_low, t_med;
2121         guint8 t_high;
2122         struct vers_rec version;
2123         gint16 maj_vers, min_vers;
2124         guint16 start_date;
2125         struct tm *tm;
2126
2127         /* Sniffer files have a capture start date in the file header, and
2128            have times relative to the beginning of that day in the packet
2129            headers; pick the date of the first packet as the capture start
2130            date. */
2131         if (ngsniffer->first_frame) {
2132                 ngsniffer->first_frame=FALSE;
2133 #if (defined _WIN32) && (_MSC_VER < 1500)
2134                 /* calling localtime() on MSVC 2005 with huge values causes it to crash */
2135                 /* XXX - find the exact value that still does work */
2136                 /* XXX - using _USE_32BIT_TIME_T might be another way to circumvent this problem */
2137                 if (phdr->ts.secs > 2000000000)
2138                         tm = NULL;
2139                 else
2140 #endif
2141                 tm = localtime(&phdr->ts.secs);
2142                 if (tm != NULL && tm->tm_year >= DOS_YEAR_OFFSET) {
2143                         start_date = (tm->tm_year - DOS_YEAR_OFFSET) << DOS_YEAR_SHIFT;
2144                         start_date |= (tm->tm_mon - DOS_MONTH_OFFSET) << DOS_MONTH_SHIFT;
2145                         start_date |= tm->tm_mday << DOS_DAY_SHIFT;
2146                         /* record the start date, not the start time */
2147                         ngsniffer->start = phdr->ts.secs - (3600*tm->tm_hour + 60*tm->tm_min + tm->tm_sec);
2148                 } else {
2149                         start_date = 0;
2150                         ngsniffer->start = 0;
2151                 }
2152
2153                 /* "sniffer" version ? */
2154                 maj_vers = 4;
2155                 min_vers = 0;
2156                 version.maj_vers = htoles(maj_vers);
2157                 version.min_vers = htoles(min_vers);
2158                 version.time = 0;
2159                 version.date = htoles(start_date);
2160                 version.type = 4;
2161                 version.network = wtap_encap[wdh->encap];
2162                 version.format = 1;
2163                 version.timeunit = 1; /* 0.838096 */
2164                 version.cmprs_vers = 0;
2165                 version.cmprs_level = 0;
2166                 version.rsvd[0] = 0;
2167                 version.rsvd[1] = 0;
2168                 if (!wtap_dump_file_write(wdh, &version, sizeof version, err))
2169                         return FALSE;
2170         }
2171
2172         buf[0] = REC_FRAME2;
2173         buf[1] = 0x00;
2174         buf[2] = (char)((phdr->caplen + sizeof(struct frame2_rec))%256);
2175         buf[3] = (char)((phdr->caplen + sizeof(struct frame2_rec))/256);
2176         buf[4] = 0x00;
2177         buf[5] = 0x00;
2178         if (!wtap_dump_file_write(wdh, buf, 6, err))
2179                 return FALSE;
2180         /* Seconds since the start of the capture */
2181         tsecs = phdr->ts.secs - ngsniffer->start;
2182         /* Extract the number of days since the start of the capture */
2183         rec_hdr.time_day = (guint8)(tsecs / 86400);     /* # days of capture - 86400 secs/day */
2184         tsecs -= rec_hdr.time_day * 86400;      /* time within day */
2185         /* Convert to picoseconds */
2186         t = tsecs*G_GINT64_CONSTANT(1000000000000U) +
2187                 phdr->ts.nsecs*G_GINT64_CONSTANT(1000U);
2188         /* Convert to units of timeunit = 1 */
2189         t /= Psec[1];
2190         t_low = (guint16)((t >> 0) & 0xFFFF);
2191         t_med = (guint16)((t >> 16) & 0xFFFF);
2192         t_high = (guint8)((t >> 32) & 0xFF);
2193         rec_hdr.time_low = htoles(t_low);
2194         rec_hdr.time_med = htoles(t_med);
2195         rec_hdr.time_high = t_high;
2196         rec_hdr.size = htoles(phdr->caplen);
2197         switch (wdh->encap) {
2198
2199         case WTAP_ENCAP_LAPB:
2200         case WTAP_ENCAP_FRELAY_WITH_PHDR:
2201                 rec_hdr.fs = (pseudo_header->x25.flags & FROM_DCE) ? 0x00 : FS_WAN_DTE;
2202                 break;
2203
2204         case WTAP_ENCAP_PPP_WITH_PHDR:
2205         case WTAP_ENCAP_SDLC:
2206                 rec_hdr.fs = pseudo_header->p2p.sent ? 0x00 : FS_WAN_DTE;
2207                 break;
2208
2209         case WTAP_ENCAP_ISDN:
2210                 rec_hdr.fs = pseudo_header->isdn.uton ? FS_WAN_DTE : 0x00;
2211                 switch (pseudo_header->isdn.channel) {
2212
2213                 case 0:         /* D-channel */
2214                         rec_hdr.fs |= FS_ISDN_CHAN_D;
2215                         break;
2216
2217                 case 1:         /* B1-channel */
2218                         rec_hdr.fs |= FS_ISDN_CHAN_B1;
2219                         break;
2220
2221                 case 2:         /* B2-channel */
2222                         rec_hdr.fs |= FS_ISDN_CHAN_B2;
2223                         break;
2224                 }
2225                 break;
2226
2227         default:
2228                 rec_hdr.fs = 0;
2229                 break;
2230         }
2231         rec_hdr.flags = 0;
2232         rec_hdr.true_size = phdr->len != phdr->caplen ? htoles(phdr->len) : 0;
2233         rec_hdr.rsvd = 0;
2234         if (!wtap_dump_file_write(wdh, &rec_hdr, sizeof rec_hdr, err))
2235                 return FALSE;
2236         if (!wtap_dump_file_write(wdh, pd, phdr->caplen, err))
2237                 return FALSE;
2238         return TRUE;
2239 }
2240
2241 /* Finish writing to a dump file.
2242    Returns TRUE on success, FALSE on failure. */
2243 static gboolean
2244 ngsniffer_dump_close(wtap_dumper *wdh, int *err)
2245 {
2246         /* EOF record */
2247         char buf[6] = {REC_EOF, 0x00, 0x00, 0x00, 0x00, 0x00};
2248
2249         if (!wtap_dump_file_write(wdh, buf, 6, err))
2250                 return FALSE;
2251         return TRUE;
2252 }
2253
2254 /*
2255    SnifferDecompress() decompresses a blob of compressed data from a
2256    Sniffer(R) capture file.
2257
2258    This function is Copyright (c) 1999-2999 Tim Farley
2259
2260    Parameters
2261       inbuf - buffer of compressed bytes from file, not including
2262               the preceding length word
2263       inlen - length of inbuf in bytes (max 64k)
2264       outbuf - decompressed contents, could contain a partial Sniffer
2265               record at the end.
2266       outlen - length of outbuf.
2267
2268    Return value is the number of bytes in outbuf on return.
2269 */
2270 static int
2271 SnifferDecompress(unsigned char *inbuf, size_t inlen, unsigned char *outbuf,
2272                   size_t outlen, int *err)
2273 {
2274         unsigned char * pin  = inbuf;
2275         unsigned char * pout = outbuf;
2276         unsigned char * pin_end  = pin + inlen;
2277         unsigned char * pout_end = pout + outlen;
2278         unsigned int bit_mask;      /* one bit is set in this, to mask with bit_value */
2279         unsigned int bit_value = 0; /* cache the last 16 coding bits we retrieved */
2280         unsigned int code_type;     /* encoding type, from high 4 bits of byte */
2281         unsigned int code_low;      /* other 4 bits from encoding byte */
2282         int length;                 /* length of RLE sequence or repeated string */
2283         int offset;                 /* offset of string to repeat */
2284
2285         if (inlen > G_MAXUINT16) {
2286                 return ( -1 );
2287         }
2288
2289         bit_mask  = 0;  /* don't have any bits yet */
2290         while (1)
2291         {
2292                 /* Shift down the bit mask we use to see whats encoded */
2293                 bit_mask = bit_mask >> 1;
2294
2295                 /* If there are no bits left, time to get another 16 bits */
2296                 if ( 0 == bit_mask )
2297                 {
2298                         bit_mask  = 0x8000;  /* start with the high bit */
2299                         bit_value = pletohs(pin);   /* get the next 16 bits */
2300                         pin += 2;          /* skip over what we just grabbed */
2301                         if ( pin >= pin_end )
2302                         {
2303                                 *err = WTAP_ERR_UNC_TRUNCATED;   /* data was oddly truncated */
2304                                 return ( -1 );
2305                         }
2306                 }
2307
2308                 /* Use the bits in bit_value to see what's encoded and what is raw data */
2309                 if ( !(bit_mask & bit_value) )
2310                 {
2311                         /* bit not set - raw byte we just copy */
2312                         *(pout++) = *(pin++);
2313                 }
2314                 else
2315                 {
2316                         /* bit set - next item is encoded.  Peel off high nybble
2317                            of next byte to see the encoding type.  Set aside low
2318                            nybble while we are at it */
2319                         code_type = (unsigned int) ((*pin) >> 4 ) & 0xF;
2320                         code_low  = (unsigned int) ((*pin) & 0xF );
2321                         pin++;   /* increment over the code byte we just retrieved */
2322                         if ( pin >= pin_end )
2323                         {
2324                                 *err = WTAP_ERR_UNC_TRUNCATED;   /* data was oddly truncated */
2325                                 return ( -1 );
2326                         }
2327
2328                         /* Based on the code type, decode the compressed string */
2329                         switch ( code_type )
2330                         {
2331                         case 0  :   /* RLE short runs */
2332                                 /*
2333                                   Run length is the low nybble of the first code byte.
2334                                   Byte to repeat immediately follows.
2335                                   Total code size: 2 bytes.
2336                                 */
2337                                 length = code_low + 3;
2338                                 /* If length would put us past end of output, avoid overflow */
2339                                 if ( pout + length > pout_end )
2340                                 {
2341                                         *err = WTAP_ERR_UNC_OVERFLOW;
2342                                         return ( -1 );
2343                                 }
2344
2345                                 /* generate the repeated series of bytes */
2346                                 memset( pout, *pin++, length );
2347                                 pout += length;
2348                                 break;
2349                         case 1  :   /* RLE long runs */
2350                                 /*
2351                                   Low 4 bits of run length is the low nybble of the
2352                                   first code byte, upper 8 bits of run length is in
2353                                   the next byte.
2354                                   Byte to repeat immediately follows.
2355                                   Total code size: 3 bytes.
2356                                 */
2357                                 length = code_low + ((unsigned int)(*pin++) << 4) + 19;
2358                                 /* If we are already at end of input, there is no byte
2359                                    to repeat */
2360                                 if ( pin >= pin_end )
2361                                 {
2362                                         *err = WTAP_ERR_UNC_TRUNCATED;   /* data was oddly truncated */
2363                                         return ( -1 );
2364                                 }
2365                                 /* If length would put us past end of output, avoid overflow */
2366                                 if ( pout + length > pout_end )
2367                                 {
2368                                         *err = WTAP_ERR_UNC_OVERFLOW;
2369                                         return ( -1 );
2370                                 }
2371
2372                                 /* generate the repeated series of bytes */
2373                                 memset( pout, *pin++, length );
2374                                 pout += length;
2375                                 break;
2376                         case 2  :   /* LZ77 long strings */
2377                                 /*
2378                                   Low 4 bits of offset to string is the low nybble of the
2379                                   first code byte, upper 8 bits of offset is in
2380                                   the next byte.
2381                                   Length of string immediately follows.
2382                                   Total code size: 3 bytes.
2383                                 */
2384                                 offset = code_low + ((unsigned int)(*pin++) << 4) + 3;
2385                                 /* If we are already at end of input, there is no byte
2386                                    to repeat */
2387                                 if ( pin >= pin_end )
2388                                 {
2389                                         *err = WTAP_ERR_UNC_TRUNCATED;   /* data was oddly truncated */
2390                                         return ( -1 );
2391                                 }
2392                                 /* Check if offset would put us back past begin of buffer */
2393                                 if ( pout - offset < outbuf )
2394                                 {
2395                                         *err = WTAP_ERR_UNC_BAD_OFFSET;
2396                                         return ( -1 );
2397                                 }
2398
2399                                 /* get length from next byte, make sure it won't overrun buf */
2400                                 length = (unsigned int)(*pin++) + 16;
2401                                 if ( pout + length > pout_end )
2402                                 {
2403                                         *err = WTAP_ERR_UNC_OVERFLOW;
2404                                         return ( -1 );
2405                                 }
2406
2407                                 /* Copy the string from previous text to output position,
2408                                    advance output pointer */
2409                                 memcpy( pout, pout - offset, length );
2410                                 pout += length;
2411                                 break;
2412                         default :   /* (3 to 15): LZ77 short strings */
2413                                 /*
2414                                   Low 4 bits of offset to string is the low nybble of the
2415                                   first code byte, upper 8 bits of offset is in
2416                                   the next byte.
2417                                   Length of string to repeat is overloaded into code_type.
2418                                   Total code size: 2 bytes.
2419                                 */
2420                                 offset = code_low + ((unsigned int)(*pin++) << 4) + 3;
2421                                 /* Check if offset would put us back past begin of buffer */
2422                                 if ( pout - offset < outbuf )
2423                                 {
2424                                         *err = WTAP_ERR_UNC_BAD_OFFSET;
2425                                         return ( -1 );
2426                                 }
2427
2428                                 /* get length from code_type, make sure it won't overrun buf */
2429                                 length = code_type;
2430                                 if ( pout + length > pout_end )
2431                                 {
2432                                         *err = WTAP_ERR_UNC_OVERFLOW;
2433                                         return ( -1 );
2434                                 }
2435
2436                                 /* Copy the string from previous text to output position,
2437                                    advance output pointer */
2438                                 memcpy( pout, pout - offset, length );
2439                                 pout += length;
2440                                 break;
2441                         }
2442                 }
2443
2444                 /* If we've consumed all the input, we are done */
2445                 if ( pin >= pin_end )
2446                         break;
2447         }
2448
2449         return (int) ( pout - outbuf );  /* return length of expanded text */
2450 }
2451
2452 /*
2453  * XXX - is there any guarantee that this is big enough to hold the
2454  * uncompressed data from any blob?
2455  */
2456 #define OUTBUF_SIZE     65536
2457 #define INBUF_SIZE      65536
2458
2459 /* Information about a compressed blob; we save the offset in the
2460    underlying compressed file, and the offset in the uncompressed data
2461    stream, of the blob. */
2462 typedef struct {
2463         gint64  blob_comp_offset;
2464         gint64  blob_uncomp_offset;
2465 } blob_info_t;
2466
2467 static gint64
2468 ng_file_read(void *buffer, unsigned int nbytes, wtap *wth, gboolean is_random,
2469              int *err, gchar **err_info)
2470 {
2471         ngsniffer_t *ngsniffer;
2472         FILE_T infile;
2473         ngsniffer_comp_stream_t *comp_stream;
2474         unsigned int copybytes = nbytes;                                        /* bytes left to be copied */
2475         gint64 copied_bytes = 0;                                                        /* bytes already copied */
2476         unsigned char *outbuffer = (unsigned char *)buffer; /* where to write next decompressed data */
2477         blob_info_t *blob;
2478         unsigned int bytes_to_copy;
2479         unsigned int bytes_left;
2480
2481         ngsniffer = (ngsniffer_t *)wth->priv;
2482         if (is_random) {
2483                 infile = wth->random_fh;
2484                 comp_stream = &ngsniffer->rand;
2485         } else {
2486                 infile = wth->fh;
2487                 comp_stream = &ngsniffer->seq;
2488         }
2489
2490         if (wth->file_type == WTAP_FILE_NGSNIFFER_UNCOMPRESSED) {
2491                 errno = WTAP_ERR_CANT_READ;
2492                 copied_bytes = file_read(buffer, copybytes, infile);
2493                 if ((unsigned int) copied_bytes != copybytes)
2494                         *err = file_error(infile, err_info);
2495                 if (copied_bytes != -1) {
2496                         comp_stream->uncomp_offset += copied_bytes;
2497                         comp_stream->comp_offset += copied_bytes;
2498                 }
2499                 return copied_bytes;
2500         }
2501
2502         /* Allocate the stream buffer if it hasn't already been allocated. */
2503         if (comp_stream->buf == NULL) {
2504                 comp_stream->buf = (unsigned char *)g_malloc(OUTBUF_SIZE);
2505
2506                 if (is_random) {
2507                         /* This is the first read of the random file, so we're at
2508                            the beginning of the sequence of blobs in the file
2509                            (as we've not done any random reads yet to move the
2510                            current position in the random stream); set the
2511                            current blob to be the first blob. */
2512                         ngsniffer->current_blob = ngsniffer->first_blob;
2513                 } else {
2514                         /* This is the first sequential read; if we also have a
2515                            random stream open, allocate the first element for the
2516                            list of blobs, and make it the last element as well. */
2517                         if (wth->random_fh != NULL) {
2518                                 g_assert(ngsniffer->first_blob == NULL);
2519                                 blob = g_new(blob_info_t,1);
2520                                 blob->blob_comp_offset = comp_stream->comp_offset;
2521                                 blob->blob_uncomp_offset = comp_stream->uncomp_offset;
2522                                 ngsniffer->first_blob = g_list_append(ngsniffer->first_blob,
2523                                                                       blob);
2524                                 ngsniffer->last_blob = ngsniffer->first_blob;
2525                         }
2526                 }
2527
2528                 /* Now read the first blob into the buffer. */
2529                 if (read_blob(infile, comp_stream, err, err_info) < 0)
2530                         return -1;
2531         }
2532         while (copybytes > 0) {
2533                 bytes_left = comp_stream->nbytes - comp_stream->nextout;
2534                 if (bytes_left == 0) {
2535                         /* There's no decompressed stuff left to copy from the current
2536                            blob; get the next blob. */
2537
2538                         if (is_random) {
2539                                 /* Move to the next blob in the list. */
2540                                 ngsniffer->current_blob = g_list_next(ngsniffer->current_blob);
2541                                 if (!ngsniffer->current_blob) {
2542                                         /*
2543                                          * XXX - this "can't happen"; we should have a
2544                                          * blob for every byte in the file.
2545                                          */
2546                                         *err = WTAP_ERR_CANT_SEEK;
2547                                         return -1;
2548                                 }
2549                         } else {
2550                                 /* If we also have a random stream open, add a new element,
2551                                    for this blob, to the list of blobs; we know the list is
2552                                    non-empty, as we initialized it on the first sequential
2553                                    read, so we just add the new element at the end, and
2554                                    adjust the pointer to the last element to refer to it. */
2555                                 if (wth->random_fh != NULL) {
2556                                         blob = g_new(blob_info_t,1);
2557                                         blob->blob_comp_offset = comp_stream->comp_offset;
2558                                         blob->blob_uncomp_offset = comp_stream->uncomp_offset;
2559                                         ngsniffer->last_blob = g_list_append(ngsniffer->last_blob,
2560                                                                              blob);
2561                                 }
2562                         }
2563
2564                         if (read_blob(infile, comp_stream, err, err_info) < 0)
2565                                 return -1;
2566                         bytes_left = comp_stream->nbytes - comp_stream->nextout;
2567                 }
2568
2569                 bytes_to_copy = copybytes;
2570                 if (bytes_to_copy > bytes_left)
2571                         bytes_to_copy = bytes_left;
2572                 memcpy(outbuffer, &comp_stream->buf[comp_stream->nextout],
2573                        bytes_to_copy);
2574                 copybytes -= bytes_to_copy;
2575                 copied_bytes += bytes_to_copy;
2576                 outbuffer += bytes_to_copy;
2577                 comp_stream->nextout += bytes_to_copy;
2578                 comp_stream->uncomp_offset += bytes_to_copy;
2579         }
2580         return copied_bytes;
2581 }
2582
2583 /* Read a blob from a compressed stream.
2584    Return -1 and set "*err" and "*err_info" on error, otherwise return 0. */
2585 static int
2586 read_blob(FILE_T infile, ngsniffer_comp_stream_t *comp_stream, int *err,
2587           gchar **err_info)
2588 {
2589         int in_len;
2590         size_t read_len;
2591         unsigned short blob_len;
2592         gint16 blob_len_host;
2593         gboolean uncompressed;
2594         unsigned char *file_inbuf;
2595         int out_len;
2596
2597         /* Read one 16-bit word which is length of next compressed blob */
2598         errno = WTAP_ERR_CANT_READ;
2599         read_len = file_read(&blob_len, 2, infile);
2600         if (2 != read_len) {
2601                 *err = file_error(infile, err_info);
2602                 return -1;
2603         }
2604         comp_stream->comp_offset += 2;
2605         blob_len_host = pletohs(&blob_len);
2606
2607         /* Compressed or uncompressed? */
2608         if (blob_len_host < 0) {
2609                 /* Uncompressed blob; blob length is absolute value of the number. */
2610                 in_len = -blob_len_host;
2611                 uncompressed = TRUE;
2612         } else {
2613                 in_len = blob_len_host;
2614                 uncompressed = FALSE;
2615         }
2616
2617         file_inbuf = (unsigned char *)g_malloc(INBUF_SIZE);
2618
2619         /* Read the blob */
2620         errno = WTAP_ERR_CANT_READ;
2621         read_len = file_read(file_inbuf, in_len, infile);
2622         if ((size_t) in_len != read_len) {
2623                 *err = file_error(infile, err_info);
2624                 g_free(file_inbuf);
2625                 return -1;
2626         }
2627         comp_stream->comp_offset += in_len;
2628
2629         if (uncompressed) {
2630                 memcpy(comp_stream->buf, file_inbuf, in_len);
2631                 out_len = in_len;
2632         } else {
2633                 /* Decompress the blob */
2634                 out_len = SnifferDecompress(file_inbuf, in_len,
2635                                             comp_stream->buf, OUTBUF_SIZE, err);
2636                 if (out_len < 0) {
2637                         g_free(file_inbuf);
2638                         return -1;
2639                 }
2640         }
2641
2642         g_free(file_inbuf);
2643         comp_stream->nextout = 0;
2644         comp_stream->nbytes = out_len;
2645         return 0;
2646 }
2647
2648 /* Skip some number of bytes forward in the sequential stream. */
2649 static gboolean
2650 ng_file_skip_seq(wtap *wth, gint64 delta, int *err, gchar **err_info)
2651 {
2652         ngsniffer_t *ngsniffer;
2653         char *buf;
2654         unsigned int amount_to_read;
2655
2656         ngsniffer = (ngsniffer_t *)wth->priv;
2657
2658         if (wth->file_type == WTAP_FILE_NGSNIFFER_UNCOMPRESSED) {
2659                 ngsniffer->seq.uncomp_offset += delta;
2660                 return file_skip(wth->fh, delta, err);
2661         }
2662
2663         g_assert(delta >= 0);
2664
2665         /* Ok, now read and discard "delta" bytes. */
2666         buf = (char *)g_malloc(INBUF_SIZE);
2667         while (delta != 0) {
2668                 if (delta > INBUF_SIZE)
2669                         amount_to_read = INBUF_SIZE;
2670                 else
2671                         amount_to_read = (unsigned int) delta;
2672
2673                 if (ng_file_read(buf, amount_to_read, wth, FALSE, err, err_info) < 0) {
2674                         g_free(buf);
2675                         return FALSE;   /* error */
2676                 }
2677
2678                 delta -= amount_to_read;
2679         }
2680
2681         g_free(buf);
2682         return TRUE;
2683 }
2684
2685 /* Seek to a given offset in the random data stream.
2686
2687    On compressed files, we see whether we're seeking to a position within
2688    the blob we currently have in memory and, if not, we find in the list
2689    of blobs the last blob that starts at or before the position to which
2690    we're seeking, and read that blob in.  We can then move to the appropriate
2691    position within the blob we have in memory (whether it's the blob we
2692    already had in memory or, if necessary, the one we read in). */
2693 static gboolean
2694 ng_file_seek_rand(wtap *wth, gint64 offset, int *err, gchar **err_info)
2695 {
2696         ngsniffer_t *ngsniffer;
2697         gint64 delta;
2698         GList *new_list, *next_list;
2699         blob_info_t *next_blob, *new_blob;
2700
2701         ngsniffer = (ngsniffer_t *)wth->priv;
2702
2703         if (wth->file_type == WTAP_FILE_NGSNIFFER_UNCOMPRESSED) {
2704                 if (file_seek(wth->random_fh, offset, SEEK_SET, err) == -1)
2705                         return FALSE;
2706                 return TRUE;
2707         }
2708
2709         delta = offset - ngsniffer->rand.uncomp_offset;
2710
2711         /* Is the place to which we're seeking within the current buffer, or
2712            will we have to read a different blob into the buffer? */
2713         new_list = NULL;
2714         if (delta > 0) {
2715                 /* We're going forwards.
2716                    Is the place to which we're seeking within the current buffer? */
2717                 if ((size_t)(ngsniffer->rand.nextout + delta) >= ngsniffer->rand.nbytes) {
2718                         /* No.  Search for a blob that contains the target
2719                            offset in the uncompressed byte stream. */
2720                         if (ngsniffer->current_blob == NULL) {
2721                                 /* We haven't read anything from the random
2722                                    file yet, so we have no current blob;
2723                                    search all the blobs, starting with
2724                                    the first one. */
2725                                 new_list = ngsniffer->first_blob;
2726                         } else {
2727                                 /* We're seeking forward, so start searching
2728                                    with the blob after the current one. */
2729                                 new_list = g_list_next(ngsniffer->current_blob);
2730                         }
2731                         while (new_list) {
2732                                 next_list = g_list_next(new_list);
2733                                 if (next_list == NULL) {
2734                                         /* No more blobs; the current one is it. */
2735                                         break;
2736                                 }
2737
2738                                 next_blob = (blob_info_t *)next_list->data;
2739                                 /* Does the next blob start after the target offset?
2740                                    If so, the current blob is the one we want. */
2741                                 if (next_blob->blob_uncomp_offset > offset)
2742                                         break;
2743
2744                                 new_list = next_list;
2745                         }
2746                         if (new_list == NULL) {
2747                                 /*
2748                                  * We're seeking past the end of what
2749                                  * we've read so far.
2750                                  */
2751                                 *err = WTAP_ERR_CANT_SEEK;
2752                                 return FALSE;
2753                         }
2754                 }
2755         } else if (delta < 0) {
2756                 /* We're going backwards.
2757                    Is the place to which we're seeking within the current buffer? */
2758                 if (ngsniffer->rand.nextout + delta < 0) {
2759                         /* No.  Search for a blob that contains the target
2760                            offset in the uncompressed byte stream. */
2761                         if (ngsniffer->current_blob == NULL) {
2762                                 /* We haven't read anything from the random
2763                                    file yet, so we have no current blob;
2764                                    search all the blobs, starting with
2765                                    the last one. */
2766                                 new_list = ngsniffer->last_blob;
2767                         } else {
2768                                 /* We're seeking backward, so start searching
2769                                    with the blob before the current one. */
2770                                 new_list = g_list_previous(ngsniffer->current_blob);
2771                         }
2772                         while (new_list) {
2773                                 /* Does this blob start at or before the target offset?
2774                                    If so, the current blob is the one we want. */
2775                                 new_blob = (blob_info_t *)new_list->data;
2776                                 if (new_blob->blob_uncomp_offset <= offset)
2777                                         break;
2778
2779                                 /* It doesn't - skip to the previous blob. */
2780                                 new_list = g_list_previous(new_list);
2781                         }
2782                         if (new_list == NULL) {
2783                                 /*
2784                                  * XXX - shouldn't happen.
2785                                  */
2786                                 *err = WTAP_ERR_CANT_SEEK;
2787                                 return FALSE;
2788                         }
2789                 }
2790         }
2791
2792         if (new_list != NULL) {
2793                 /* The place to which we're seeking isn't in the current buffer;
2794                    move to a new blob. */
2795                 new_blob = (blob_info_t *)new_list->data;
2796
2797                 /* Seek in the compressed file to the offset in the compressed file
2798                    of the beginning of that blob. */
2799                 if (file_seek(wth->random_fh, new_blob->blob_comp_offset, SEEK_SET, err) == -1)
2800                         return FALSE;
2801
2802                 /*
2803                  * Do we have a buffer for the random stream yet?
2804                  */
2805                 if (ngsniffer->rand.buf == NULL) {
2806                         /*
2807                          * No - allocate it, as we'll be reading into it.
2808                          */
2809                         ngsniffer->rand.buf = (unsigned char *)g_malloc(OUTBUF_SIZE);
2810                 }
2811
2812                 /* Make the blob we found the current one. */
2813                 ngsniffer->current_blob = new_list;
2814
2815                 /* Now set the current offsets to the offsets of the beginning
2816                    of the blob. */
2817                 ngsniffer->rand.uncomp_offset = new_blob->blob_uncomp_offset;
2818                 ngsniffer->rand.comp_offset = new_blob->blob_comp_offset;
2819
2820                 /* Now fill the buffer. */
2821                 if (read_blob(wth->random_fh, &ngsniffer->rand, err, err_info) < 0)
2822                         return FALSE;
2823
2824                 /* Set "delta" to the amount to move within this blob; it had
2825                    better be >= 0, and < the amount of uncompressed data in
2826                    the blob, as otherwise it'd mean we need to seek before
2827                    the beginning or after the end of this blob. */
2828                 delta = offset - ngsniffer->rand.uncomp_offset;
2829                 g_assert(delta >= 0 && (unsigned long)delta < ngsniffer->rand.nbytes);
2830         }
2831
2832         /* OK, the place to which we're seeking is in the buffer; adjust
2833            "ngsniffer->rand.nextout" to point to the place to which
2834            we're seeking, and adjust "ngsniffer->rand.uncomp_offset" to be
2835            the destination offset. */
2836         ngsniffer->rand.nextout += (int) delta;
2837         ngsniffer->rand.uncomp_offset += delta;
2838
2839         return TRUE;
2840 }