epan/dissectors/packet-dcerpc.h

   1 /* packet-dcerpc.h
   2  * Copyright 2001, Todd Sabin <tas@webspan.net>
   3  * Copyright 2003, Tim Potter <tpot@samba.org>
   4  *
   5  * $Id$
   6  *
   7  * Ethereal - Network traffic analyzer
   8  * By Gerald Combs <gerald@ethereal.com>
   9  * Copyright 1998 Gerald Combs
  10  *
  11  * This program is free software; you can redistribute it and/or
  12  * modify it under the terms of the GNU General Public License
  13  * as published by the Free Software Foundation; either version 2
  14  * of the License, or (at your option) any later version.
  15  *
  16  * This program is distributed in the hope that it will be useful,
  17  * but WITHOUT ANY WARRANTY; without even the implied warranty of
  18  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  19  * GNU General Public License for more details.
  20  *
  21  * You should have received a copy of the GNU General Public License
  22  * along with this program; if not, write to the Free Software
  23  * Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA  02111-1307, USA.
  24  */
  25
  26 #ifndef __PACKET_DCERPC_H__
  27 #define __PACKET_DCERPC_H__
  28
  29 #include <epan/conversation.h>
  30
  31 typedef struct _e_uuid_t {
  32     guint32 Data1;
  33     guint16 Data2;
  34     guint16 Data3;
  35     guint8 Data4[8];
  36 } e_uuid_t;
  37
  38 /* %08x-%04x-%04x-%02x%02x-%02x%02x%02x%02x%02x%02x */
  39 #define DCERPC_UUID_STR_LEN 36+1
  40
  41 typedef struct _e_ctx_hnd {
  42     guint32 attributes;
  43     e_uuid_t uuid;
  44 } e_ctx_hnd;
  45
  46 typedef struct _e_dce_cn_common_hdr_t {
  47     guint8 rpc_ver;
  48     guint8 rpc_ver_minor;
  49     guint8 ptype;
  50     guint8 flags;
  51     guint8 drep[4];
  52     guint16 frag_len;
  53     guint16 auth_len;
  54     guint32 call_id;
  55 } e_dce_cn_common_hdr_t;
  56
  57 typedef struct _e_dce_dg_common_hdr_t {
  58     guint8 rpc_ver;
  59     guint8 ptype;
  60     guint8 flags1;
  61     guint8 flags2;
  62     guint8 drep[3];
  63     guint8 serial_hi;
  64     e_uuid_t obj_id;
  65     e_uuid_t if_id;
  66     e_uuid_t act_id;
  67     guint32 server_boot;
  68     guint32 if_ver;
  69     guint32 seqnum;
  70     guint16 opnum;
  71     guint16 ihint;
  72     guint16 ahint;
  73     guint16 frag_len;
  74     guint16 frag_num;
  75     guint8 auth_proto;
  76     guint8 serial_lo;
  77 } e_dce_dg_common_hdr_t;
  78
  79 typedef struct _dcerpc_auth_info {
  80   guint8 auth_pad_len;
  81   guint8 auth_level;
  82   guint8 auth_type;
  83   guint32 auth_size;
  84   tvbuff_t *auth_data;
  85 } dcerpc_auth_info;
  86
  87 #define PDU_REQ         0
  88 #define PDU_PING        1
  89 #define PDU_RESP        2
  90 #define PDU_FAULT       3
  91 #define PDU_WORKING     4
  92 #define PDU_NOCALL      5
  93 #define PDU_REJECT      6
  94 #define PDU_ACK         7
  95 #define PDU_CL_CANCEL   8
  96 #define PDU_FACK        9
  97 #define PDU_CANCEL_ACK 10
  98 #define PDU_BIND       11
  99 #define PDU_BIND_ACK   12
 100 #define PDU_BIND_NAK   13
 101 #define PDU_ALTER      14
 102 #define PDU_ALTER_ACK  15
 103 #define PDU_AUTH3      16
 104 #define PDU_SHUTDOWN   17
 105 #define PDU_CO_CANCEL  18
 106 #define PDU_ORPHANED   19
 107
 108
 109 /*
 110  * helpers for packet-dcerpc.c and packet-dcerpc-ndr.c
 111  * If you're writing a subdissector, you almost certainly want the
 112  * NDR functions below.
 113  */
 114 guint16 dcerpc_tvb_get_ntohs (tvbuff_t *tvb, gint offset, guint8 *drep);
 115 guint32 dcerpc_tvb_get_ntohl (tvbuff_t *tvb, gint offset, guint8 *drep);
 116 void dcerpc_tvb_get_uuid (tvbuff_t *tvb, gint offset, guint8 *drep, e_uuid_t *uuid);
 117 int dissect_dcerpc_uint8 (tvbuff_t *tvb, gint offset, packet_info *pinfo,
 118                           proto_tree *tree, guint8 *drep,
 119                           int hfindex, guint8 *pdata);
 120 int dissect_dcerpc_uint16 (tvbuff_t *tvb, gint offset, packet_info *pinfo,
 121                            proto_tree *tree, guint8 *drep,
 122                            int hfindex, guint16 *pdata);
 123 int dissect_dcerpc_uint32 (tvbuff_t *tvb, gint offset, packet_info *pinfo,
 124                            proto_tree *tree, guint8 *drep,
 125                            int hfindex, guint32 *pdata);
 126 int dissect_dcerpc_uint64 (tvbuff_t *tvb, gint offset, packet_info *pinfo,
 127                            proto_tree *tree, guint8 *drep,
 128                            int hfindex, unsigned char *pdata);
 129 int dissect_dcerpc_float  (tvbuff_t *tvb, gint offset, packet_info *pinfo,
 130                            proto_tree *tree, guint8 *drep,
 131                            int hfindex, gfloat *pdata);
 132 int dissect_dcerpc_double (tvbuff_t *tvb, gint offset, packet_info *pinfo,
 133                            proto_tree *tree, guint8 *drep,
 134                            int hfindex, gdouble *pdata);
 135 int dissect_dcerpc_time_t (tvbuff_t *tvb, gint offset, packet_info *pinfo,
 136                            proto_tree *tree, guint8 *drep,
 137                            int hfindex, guint32 *pdata);
 138 /*
 139  * NDR routines for subdissectors.
 140  */
 141 int dissect_ndr_uint8 (tvbuff_t *tvb, gint offset, packet_info *pinfo,
 142                        proto_tree *tree, guint8 *drep,
 143                        int hfindex, guint8 *pdata);
 144 int dissect_ndr_uint16 (tvbuff_t *tvb, gint offset, packet_info *pinfo,
 145                         proto_tree *tree, guint8 *drep,
 146                         int hfindex, guint16 *pdata);
 147 int dissect_ndr_uint32 (tvbuff_t *tvb, gint offset, packet_info *pinfo,
 148                         proto_tree *tree, guint8 *drep,
 149                         int hfindex, guint32 *pdata);
 150 int dissect_ndr_uint64 (tvbuff_t *tvb, gint offset, packet_info *pinfo,
 151                         proto_tree *tree, guint8 *drep,
 152                         int hfindex, unsigned char *pdata);
 153 int dissect_ndr_float (tvbuff_t *tvb, gint offset, packet_info *pinfo,
 154                         proto_tree *tree, guint8 *drep,
 155                         int hfindex, gfloat *pdata);
 156 int dissect_ndr_double (tvbuff_t *tvb, gint offset, packet_info *pinfo,
 157                         proto_tree *tree, guint8 *drep,
 158                         int hfindex, gdouble *pdata);
 159 int dissect_ndr_time_t (tvbuff_t *tvb, gint offset, packet_info *pinfo,
 160                         proto_tree *tree, guint8 *drep,
 161                         int hfindex, guint32 *pdata);
 162 int dissect_ndr_uuid_t (tvbuff_t *tvb, gint offset, packet_info *pinfo,
 163                         proto_tree *tree, guint8 *drep,
 164                         int hfindex, e_uuid_t *pdata);
 165 int dissect_ndr_ctx_hnd (tvbuff_t *tvb, gint offset, packet_info *pinfo,
 166                          proto_tree *tree, guint8 *drep,
 167                          int hfindex, e_ctx_hnd *pdata);
 168
 169 typedef int (dcerpc_dissect_fnct_t)(tvbuff_t *tvb, int offset, packet_info *pinfo, proto_tree *tree, guint8 *drep);
 170
 171 typedef void (dcerpc_callback_fnct_t)(packet_info *pinfo, proto_tree *tree, proto_item *item, tvbuff_t *tvb, int start_offset, int end_offset, void *callback_args);
 172
 173 #define NDR_POINTER_REF         1
 174 #define NDR_POINTER_UNIQUE      2
 175 #define NDR_POINTER_PTR         3
 176
 177 int dissect_ndr_pointer_cb(tvbuff_t *tvb, gint offset, packet_info *pinfo,
 178                            proto_tree *tree, guint8 *drep,
 179                            dcerpc_dissect_fnct_t *fnct, int type, char *text,
 180                            int hf_index, dcerpc_callback_fnct_t *callback,
 181                            void *callback_args);
 182
 183 int dissect_ndr_pointer(tvbuff_t *tvb, gint offset, packet_info *pinfo,
 184                         proto_tree *tree, guint8 *drep,
 185                         dcerpc_dissect_fnct_t *fnct, int type, char *text,
 186                         int hf_index);
 187
 188 /* dissect a NDR unidimensional conformant array */
 189 int dissect_ndr_ucarray(tvbuff_t *tvb, gint offset, packet_info *pinfo,
 190                         proto_tree *tree, guint8 *drep,
 191                         dcerpc_dissect_fnct_t *fnct);
 192
 193 /* dissect a NDR unidimensional conformant and varying array */
 194 int dissect_ndr_ucvarray(tvbuff_t *tvb, gint offset, packet_info *pinfo,
 195                         proto_tree *tree, guint8 *drep,
 196                         dcerpc_dissect_fnct_t *fnct);
 197
 198 int dissect_ndr_byte_array(tvbuff_t *tvb, int offset, packet_info *pinfo,
 199                            proto_tree *tree, guint8 *drep);
 200
 201 int dissect_ndr_cvstring(tvbuff_t *tvb, int offset, packet_info *pinfo,
 202                          proto_tree *tree, guint8 *drep, int size_is,
 203                          int hfinfo, gboolean add_subtree,
 204                          char **data);
 205 int dissect_ndr_char_cvstring(tvbuff_t *tvb, int offset, packet_info *pinfo,
 206                            proto_tree *tree, guint8 *drep);
 207 int dissect_ndr_wchar_cvstring(tvbuff_t *tvb, int offset, packet_info *pinfo,
 208                             proto_tree *tree, guint8 *drep);
 209
 210 typedef struct _dcerpc_sub_dissector {
 211     guint16 num;
 212     gchar   *name;
 213     dcerpc_dissect_fnct_t *dissect_rqst;
 214     dcerpc_dissect_fnct_t *dissect_resp;
 215 } dcerpc_sub_dissector;
 216
 217 /* registration function for subdissectors */
 218 void dcerpc_init_uuid (int proto, int ett, e_uuid_t *uuid, guint16 ver, dcerpc_sub_dissector *procs, int opnum_hf);
 219 char *dcerpc_get_proto_name(e_uuid_t *uuid, guint16 ver);
 220 int dcerpc_get_proto_hf_opnum(e_uuid_t *uuid, guint16 ver);
 221 dcerpc_sub_dissector *dcerpc_get_proto_sub_dissector(e_uuid_t *uuid, guint16 ver);
 222
 223 /* Create a opnum, name value_string from a subdissector list */
 224
 225 value_string *value_string_from_subdissectors(dcerpc_sub_dissector *sd);
 226
 227 /* try to get protocol name registered for this uuid */
 228 gchar *dcerpc_get_uuid_name(e_uuid_t *uuid, guint16 ver);
 229
 230 /* Private data structure to pass to DCERPC dissector. This is used to
 231    pass transport specific information down to the dissector from the
 232    dissector that parsed this encapsulated calls.
 233    When it comes to DCERPC over SMB the only thing we really want to pass
 234    on is the FID.
 235 */
 236
 237 typedef struct _dcerpc_private_info {
 238         guint16 fid;
 239 } dcerpc_private_info;
 240
 241 /* Private data passed to subdissectors from the main DCERPC dissector. */
 242 typedef struct _dcerpc_call_value {
 243     e_uuid_t uuid;
 244     guint16 ver;
 245     guint16 opnum;
 246     guint32 req_frame;
 247     nstime_t req_time;
 248     guint32 rep_frame;
 249     guint32 max_ptr;
 250     void *private_data;
 251 } dcerpc_call_value;
 252
 253 typedef struct _dcerpc_info {
 254         conversation_t *conv;   /* Which TCP stream we are in */
 255         guint32 call_id;        /* Context id for this call */
 256         guint16 smb_fid;        /* FID for DCERPC over SMB */
 257     guint8 ptype;       /* packet type: PDU_REQ, PDU_RESP, ... */
 258         gboolean conformant_run;
 259         gint32 conformant_eaten; /* how many bytes did the conformant run eat?*/
 260         guint32 array_max_count;        /* max_count for conformant arrays */
 261         guint32 array_max_count_offset;
 262         guint32 array_offset;
 263         guint32 array_offset_offset;
 264         guint32 array_actual_count;
 265         guint32 array_actual_count_offset;
 266         int hf_index;
 267         dcerpc_call_value *call_data;
 268         void *private_data;
 269 } dcerpc_info;
 270
 271
 272 /* the init_protocol hooks. With MSVC and a
 273  * libethereal.dll, we need a special declaration.
 274  */
 275 ETH_VAR_IMPORT GHookList dcerpc_hooks_init_protos;
 276
 277 /* the registered subdissectors. With MSVC and a
 278  * libethereal.dll, we need a special declaration.
 279  */
 280 ETH_VAR_IMPORT GHashTable *dcerpc_uuids;
 281
 282 typedef struct _dcerpc_uuid_key {
 283     e_uuid_t uuid;
 284     guint16 ver;
 285 } dcerpc_uuid_key;
 286
 287 typedef struct _dcerpc_uuid_value {
 288     protocol_t *proto;
 289     int proto_id;
 290     int ett;
 291     gchar *name;
 292     dcerpc_sub_dissector *procs;
 293     int opnum_hf;
 294 } dcerpc_uuid_value;
 295
 296 /* Authenticated pipe registration functions and miscellanea */
 297
 298 typedef tvbuff_t *(dcerpc_decode_data_fnct_t)(tvbuff_t *tvb, int offset,
 299                                               packet_info *pinfo,
 300                                               dcerpc_auth_info *auth_info);
 301
 302 typedef struct _dcerpc_auth_subdissector_fns {
 303
 304         /* Dissect credentials and verifiers */
 305
 306         dcerpc_dissect_fnct_t *bind_fn;
 307         dcerpc_dissect_fnct_t *bind_ack_fn;
 308         dcerpc_dissect_fnct_t *auth3_fn;
 309         dcerpc_dissect_fnct_t *req_verf_fn;
 310         dcerpc_dissect_fnct_t *resp_verf_fn;
 311
 312         /* Decrypt encrypted requests/response PDUs */
 313
 314         dcerpc_decode_data_fnct_t *req_data_fn;
 315         dcerpc_decode_data_fnct_t *resp_data_fn;
 316
 317 } dcerpc_auth_subdissector_fns;
 318
 319 void register_dcerpc_auth_subdissector(guint8 auth_level, guint8 auth_type,
 320                                        dcerpc_auth_subdissector_fns *fns);
 321
 322 /* all values needed to (re-)build a dcerpc binding */
 323 typedef struct decode_dcerpc_bind_values_s {
 324     /* values of a typical conversation */
 325     address addr_a;
 326     address addr_b;
 327     port_type ptype;
 328     guint32 port_a;
 329     guint32 port_b;
 330     /* dcerpc conversation specific */
 331     guint16 ctx_id;
 332     guint16 smb_fid;
 333     /* corresponding "interface" */
 334     GString *ifname;
 335     e_uuid_t uuid;
 336     guint16 ver;
 337 } decode_dcerpc_bind_values_t;
 338
 339 /* Helper for "decode as" dialog to set up a UUID/conversation binding. */
 340 struct _dcerpc_bind_value *
 341 dcerpc_add_conv_to_bind_table(decode_dcerpc_bind_values_t *binding);
 342
 343 guint16
 344 dcerpc_get_transport_salt (packet_info *pinfo, int transport_type);
 345
 346 /* Authentication services */
 347
 348 /*
 349  * For MS-specific SSPs (Security Service Provider), see
 350  *
 351  * http://msdn.microsoft.com/library/en-us/rpc/rpc/authentication_level_constants.asp
 352  */
 353
 354 #define DCE_C_RPC_AUTHN_PROTOCOL_NONE           0
 355 #define DCE_C_RPC_AUTHN_PROTOCOL_KRB5           1
 356 #define DCE_C_RPC_AUTHN_PROTOCOL_SPNEGO         9
 357 #define DCE_C_RPC_AUTHN_PROTOCOL_NTLMSSP        10
 358 #define DCE_C_RPC_AUTHN_PROTOCOL_GSS_SCHANNEL   14
 359 #define DCE_C_RPC_AUTHN_PROTOCOL_GSS_KERBEROS   16
 360 #define DCE_C_RPC_AUTHN_PROTOCOL_DPA            17
 361 #define DCE_C_RPC_AUTHN_PROTOCOL_MSN            18
 362 #define DCE_C_RPC_AUTHN_PROTOCOL_DIGEST         21
 363 #define DCE_C_RPC_AUTHN_PROTOCOL_SEC_CHAN       68
 364 #define DCE_C_RPC_AUTHN_PROTOCOL_MQ             100
 365
 366 /* Protection levels */
 367
 368 #define DCE_C_AUTHN_LEVEL_NONE          1
 369 #define DCE_C_AUTHN_LEVEL_CONNECT       2
 370 #define DCE_C_AUTHN_LEVEL_CALL          3
 371 #define DCE_C_AUTHN_LEVEL_PKT           4
 372 #define DCE_C_AUTHN_LEVEL_PKT_INTEGRITY 5
 373 #define DCE_C_AUTHN_LEVEL_PKT_PRIVACY   6
 374
 375 void
 376 init_ndr_pointer_list(packet_info *pinfo);
 377
 378 #endif /* packet-dcerpc.h */