be89fa47b5d67979278cfd40dc33b0b050cb564e
[obnox/wireshark/wip.git] / packet-llc.c
1 /* packet-llc.c
2  * Routines for IEEE 802.2 LLC layer
3  * Gilbert Ramirez <gramirez@tivoli.com>
4  *
5  * $Id: packet-llc.c,v 1.36 1999/12/29 05:20:00 guy Exp $
6  *
7  * Ethereal - Network traffic analyzer
8  * By Gerald Combs <gerald@unicom.net>
9  * Copyright 1998 Gerald Combs
10  *
11  * 
12  * This program is free software; you can redistribute it and/or
13  * modify it under the terms of the GNU General Public License
14  * as published by the Free Software Foundation; either version 2
15  * of the License, or (at your option) any later version.
16  * 
17  * This program is distributed in the hope that it will be useful,
18  * but WITHOUT ANY WARRANTY; without even the implied warranty of
19  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
20  * GNU General Public License for more details.
21  * 
22  * You should have received a copy of the GNU General Public License
23  * along with this program; if not, write to the Free Software
24  * Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA  02111-1307, USA.
25  */
26
27 #ifdef HAVE_CONFIG_H
28 # include "config.h"
29 #endif
30
31 #ifdef HAVE_SYS_TYPES_H
32 # include <sys/types.h>
33 #endif
34
35 #include <glib.h>
36 #include "packet.h"
37 #include "oui.h"
38 #include "xdlc.h"
39         
40 static int proto_llc = -1;
41 static int hf_llc_dsap = -1;
42 static int hf_llc_ssap = -1;
43 static int hf_llc_dsap_ig = -1;
44 static int hf_llc_ssap_cr = -1;
45 static int hf_llc_ctrl = -1;
46 static int hf_llc_type = -1;
47 static int hf_llc_oui = -1;
48 static int hf_llc_pid = -1;
49
50 static gint ett_llc = -1;
51 static gint ett_llc_ctrl = -1;
52
53 typedef void (capture_func_t)(const u_char *, int, guint32, packet_counts *);
54 typedef void (dissect_func_t)(const u_char *, int, frame_data *, proto_tree *);
55
56 /* The SAP info is split into two tables, one value_string table and one table of sap_info. This is
57  * so that the value_string can be used in the header field registration.
58  */
59 struct sap_info {
60         guint8  sap;
61         capture_func_t *capture_func;
62         dissect_func_t *dissect_func;
63 };
64
65 /*
66  * Group/Individual bit, in the DSAP.
67  */
68 #define DSAP_GI_BIT     0x01
69
70 /*
71  * Command/Response bit, in the SSAP.
72  *
73  * The low-order bit of the SSAP apparently determines whether this
74  * is a request or a response.  (RFC 1390, "Transmission of IP and
75  * ARP over FDDI Networks", says
76  *
77  *      Command frames are identified by having the low order
78  *      bit of the SSAP address reset to zero.  Response frames
79  *      have the low order bit of the SSAP address set to one.
80  *
81  * and a page I've seen seems to imply that's part of 802.2.)
82  */
83 #define SSAP_CR_BIT     0x01
84
85 /*
86  * Mask to extrace the SAP number from the DSAP or the SSAP.
87  */
88 #define SAP_MASK        0xFE
89
90 /*
91  * These are for SSAP and DSAP, wth last bit always zero.
92  * XXX - some DSAPs come in separate "individual" and "group" versions,
93  * with the last bit 0 and 1, respectively (e.g., LLC Sub-layer Management,
94  * IBM SNA Path Control, IBM Net Management), and, whilst 0xFE is
95  * the ISO Network Layer Protocol, 0xFF is the Global LSAP.
96  */
97 static const value_string sap_vals[] = {
98         { 0x00, "NULL LSAP" },
99         { 0x02, "LLC Sub-Layer Management" },
100         { 0x04, "SNA Path Control" },
101         { 0x06, "TCP/IP" },
102         { 0x08, "SNA" },
103         { 0x0C, "SNA" },
104         { 0x42, "Spanning Tree BPDU" },
105         { 0x7F, "ISO 802.2" },
106         { 0x80, "XNS" },
107         { 0xAA, "SNAP" },
108         { 0xBA, "Banyan Vines" },
109         { 0xBC, "Banyan Vines" },
110         { 0xE0, "NetWare" },
111         { 0xF0, "NetBIOS" },
112         { 0xF4, "IBM Net Management" },
113         { 0xF8, "Remote Program Load" },
114         { 0xFC, "Remote Program Load" },
115         { 0xFE, "ISO Network Layer" },
116         { 0xFF, "Global LSAP" },
117         { 0x00, NULL }
118 };
119
120 static struct sap_info  saps[] = {
121         { 0x00, NULL,           NULL },
122         { 0x02, NULL,           NULL },
123         { 0x03, NULL,           NULL },
124         { 0x04, NULL,           dissect_sna },
125         { 0x05, NULL,           NULL },
126         { 0x06, capture_ip,     dissect_ip },
127         { 0x08, NULL,           NULL },
128         { 0x0C, NULL,           NULL },
129         { 0x42, NULL,           dissect_bpdu },
130         { 0x7F, NULL,           NULL },
131         { 0x80, NULL,           NULL },
132         { 0xAA, NULL,           NULL },
133         { 0xBA, NULL,           NULL },
134         { 0xBC, NULL,           NULL },
135         { 0xE0, capture_ipx,    dissect_ipx },
136         { 0xF0, capture_netbios, dissect_netbios },
137         { 0xF4, NULL,           NULL },
138         { 0xF5, NULL,           NULL },
139         { 0xF8, NULL,           NULL },
140         { 0xFC, NULL,           NULL },
141         { 0xFE, NULL,           dissect_osi },
142         { 0xFF, NULL,           NULL },
143         { 0x00, NULL,           NULL}
144 };
145
146 static const value_string llc_ctrl_vals[] = {
147         { 0, "Information Transfer" },
148         { 1, "Supervisory" },
149         { 2, "Unknown" },
150         { 3, "Unnumbered Information" },
151         { 0, NULL }
152 };
153
154 const value_string oui_vals[] = {
155         { OUI_ENCAP_ETHER, "Encapsulated Ethernet" },
156 /*
157 http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/ibm_r/brprt1/brsrb.htm
158 */
159         { 0x00000c,        "Cisco" },
160         { 0x0000f8,        "Cisco 90-Compatible" },
161         { 0x0080c2,        "Bridged Frame-Relay" }, /* RFC 2427 */
162         { OUI_ATM_FORUM,   "ATM Forum" },
163         { OUI_APPLE_ATALK, "Apple (AppleTalk)" },
164         { 0,               NULL }
165 };
166
167 static capture_func_t *
168 sap_capture_func(u_char sap) {
169         int i=0;
170
171         /* look for the second record where sap == 0, which should
172          * be the last record
173          */
174         while (saps[i].sap > 0 || i == 0) {
175                 if (saps[i].sap == sap) {
176                         return saps[i].capture_func;
177                 }
178                 i++;
179         }
180         return NULL;
181 }
182
183 static dissect_func_t *
184 sap_dissect_func(u_char sap) {
185         int i=0;
186
187         /* look for the second record where sap == 0, which should
188          * be the last record
189          */
190         while (saps[i].sap > 0 || i == 0) {
191                 if (saps[i].sap == sap) {
192                         return saps[i].dissect_func;
193                 }
194                 i++;
195         }
196         return dissect_data;
197 }
198
199 void
200 capture_llc(const u_char *pd, int offset, guint32 cap_len, packet_counts *ld) {
201
202         int             is_snap;
203         guint16         control;
204         int             llc_header_len;
205         guint32         oui;
206         guint16         etype;
207         capture_func_t  *capture;
208
209         if (!BYTES_ARE_IN_FRAME(offset, 2)) {
210                 ld->other++;
211                 return;
212         }
213         is_snap = (pd[offset] == 0xAA) && (pd[offset+1] == 0xAA);
214         llc_header_len = 2;     /* DSAP + SSAP */
215
216         /*
217          * XXX - the page referred to in the comment above about the
218          * Command/Response bit also implies that LLC Type 2 always
219          * uses extended operation, so we don't need to determine
220          * whether it's basic or extended operation; is that the case?
221          */
222         control = get_xdlc_control(pd, offset+2, pd[offset+1] & SSAP_CR_BIT,
223             TRUE);
224         llc_header_len += XDLC_CONTROL_LEN(control, TRUE);
225         if (is_snap)
226                 llc_header_len += 5;    /* 3 bytes of OUI, 2 bytes of protocol ID */
227         if (!BYTES_ARE_IN_FRAME(offset, llc_header_len)) {
228                 ld->other++;
229                 return;
230         }
231
232         if (is_snap) {
233                 oui = pd[offset+3] << 16 | pd[offset+4] << 8 | pd[offset+5];
234                 if (XDLC_HAS_PAYLOAD(control)) {
235                         /*
236                          * This frame has a payload to be analyzed.
237                          */
238                         etype = pntohs(&pd[offset+6]);
239                         switch (oui) {
240
241                         case OUI_ENCAP_ETHER:
242                         case OUI_APPLE_ATALK:
243                                 /* No, I have no idea why Apple used
244                                    one of their own OUIs, rather than
245                                    OUI_ENCAP_ETHER, and an Ethernet
246                                    packet type as protocol ID, for
247                                    AppleTalk data packets - but used
248                                    OUI_ENCAP_ETHER and an Ethernet
249                                    packet type for AARP packets. */
250                                 capture_ethertype(etype, offset+8, pd,
251                                     cap_len, ld);
252                                 break;
253
254                         default:
255                                 ld->other++;
256                                 break;
257                         }
258                 }
259         }               
260         else {
261                 if (XDLC_HAS_PAYLOAD(control)) {
262                         /*
263                          * This frame has a payload to be analyzed.
264                          */
265                         capture = sap_capture_func(pd[offset]);
266
267                         /* non-SNAP */
268                         offset += llc_header_len;
269
270                         if (capture) {
271                                 capture(pd, offset, cap_len, ld);
272                         }
273                         else {
274                                 ld->other++;
275                         }
276                 }
277         }
278 }
279
280 void
281 dissect_llc(const u_char *pd, int offset, frame_data *fd, proto_tree *tree) {
282
283         proto_tree      *llc_tree = NULL;
284         proto_item      *ti = NULL;
285         int             is_snap;
286         guint16         control;
287         int             llc_header_len;
288         guint32         oui;
289         guint16         etype;
290         dissect_func_t  *dissect;
291
292         if (!BYTES_ARE_IN_FRAME(offset, 2)) {
293                 dissect_data(pd, offset, fd, tree);
294                 return;
295         }
296         is_snap = (pd[offset] == 0xAA) && (pd[offset+1] == 0xAA);
297         llc_header_len = 2;     /* DSAP + SSAP */
298
299         if (check_col(fd, COL_PROTOCOL)) {
300                 col_add_str(fd, COL_PROTOCOL, "LLC");
301         }
302
303         if (tree) {
304                 ti = proto_tree_add_item(tree, proto_llc, offset, 0, NULL);
305                 llc_tree = proto_item_add_subtree(ti, ett_llc);
306                 proto_tree_add_item(llc_tree, hf_llc_dsap, offset, 
307                         1, pd[offset] & SAP_MASK);
308                 proto_tree_add_item(llc_tree, hf_llc_dsap_ig, offset, 
309                         1, pd[offset] & DSAP_GI_BIT);
310                 proto_tree_add_item(llc_tree, hf_llc_ssap, offset+1, 
311                         1, pd[offset+1] & SAP_MASK);
312                 proto_tree_add_item(llc_tree, hf_llc_ssap_cr, offset+1, 
313                         1, pd[offset+1] & SSAP_CR_BIT);
314         } else
315                 llc_tree = NULL;
316
317         /*
318          * XXX - the page referred to in the comment above about the
319          * Command/Response bit also implies that LLC Type 2 always
320          * uses extended operation, so we don't need to determine
321          * whether it's basic or extended operation; is that the case?
322          */
323         control = dissect_xdlc_control(pd, offset+2, fd, llc_tree,
324                                 hf_llc_ctrl, ett_llc_ctrl,
325                                 pd[offset+1] & SSAP_CR_BIT, TRUE);
326         llc_header_len += XDLC_CONTROL_LEN(control, TRUE);
327         if (is_snap)
328                 llc_header_len += 5;    /* 3 bytes of OUI, 2 bytes of protocol ID */
329         if (!BYTES_ARE_IN_FRAME(offset, llc_header_len)) {
330                 dissect_data(pd, offset, fd, tree);
331                 return;
332         }
333         if (tree)
334                 proto_item_set_len(ti, llc_header_len);
335
336         /*
337          * XXX - do we want to append the SAP information to the stuff
338          * "dissect_xdlc_control()" put in the COL_INFO column, rather
339          * than overwriting it?
340          */
341         if (is_snap) {
342                 oui = pd[offset+3] << 16 | pd[offset+4] << 8 | pd[offset+5];
343                 etype = pntohs(&pd[offset+6]);
344                 if (check_col(fd, COL_INFO)) {
345                         col_add_fstr(fd, COL_INFO, "SNAP, OUI 0x%06X (%s), PID 0x%04X",
346                             oui, val_to_str(oui, oui_vals, "Unknown"),
347                             etype);
348                 }
349                 if (tree) {
350                         proto_tree_add_item(llc_tree, hf_llc_oui, offset+3, 3,
351                                 oui);
352                 }
353                 if (XDLC_HAS_PAYLOAD(control)) {
354                         /*
355                          * This frame has a payload to be analyzed.
356                          */
357                         switch (oui) {
358
359                         case OUI_ENCAP_ETHER:
360                         case OUI_APPLE_ATALK:
361                                 /* No, I have no idea why Apple used
362                                    one of their own OUIs, rather than
363                                    OUI_ENCAP_ETHER, and an Ethernet
364                                    packet type as protocol ID, for
365                                    AppleTalk data packets - but used
366                                    OUI_ENCAP_ETHER and an Ethernet
367                                    packet type for AARP packets. */
368                                 ethertype(etype, offset+8, pd,
369                                     fd, tree, llc_tree, hf_llc_type);
370                                 break;
371
372                         default:
373                                 proto_tree_add_item(llc_tree, hf_llc_pid,
374                                     offset+6, 2, etype);
375                                 dissect_data(pd, offset+8, fd, tree);
376                                 break;
377                         }
378                 }
379         }               
380         else {
381                 if (check_col(fd, COL_INFO)) {
382                         col_add_fstr(fd, COL_INFO, 
383                             "DSAP %s %s, SSAP %s %s",
384                             val_to_str(pd[offset] & SAP_MASK, sap_vals, "%02x"),
385                             pd[offset] & DSAP_GI_BIT ?
386                               "Group" : "Individual",
387                             val_to_str(pd[offset+1] & SAP_MASK, sap_vals, "%02x"),
388                             pd[offset+1] & SSAP_CR_BIT ?
389                               "Command" : "Response"
390                         );
391                 }
392
393                 if (XDLC_HAS_PAYLOAD(control)) {
394                         /*
395                          * This frame has a payload to be analyzed.
396                          */
397                         dissect = sap_dissect_func(pd[offset]);
398
399                         /* non-SNAP */
400                         offset += llc_header_len;
401
402                         if (dissect) {
403                                 dissect(pd, offset, fd, tree);
404                         }
405                         else {
406                                 dissect_data(pd, offset, fd, tree);
407                         }
408                 }
409         }
410 }
411
412 void
413 proto_register_llc(void)
414 {
415         static struct true_false_string ig_bit = { "Group", "Individual" };
416         static struct true_false_string cr_bit = { "Response", "Command" };
417
418         static hf_register_info hf[] = {
419                 { &hf_llc_dsap,
420                 { "DSAP",       "llc.dsap", FT_UINT8, BASE_HEX, 
421                         VALS(sap_vals), 0x0, "" }},
422
423                 { &hf_llc_dsap_ig,
424                 { "IG Bit",     "llc.dsap.ig", FT_BOOLEAN, BASE_HEX, 
425                         &ig_bit, 0x0, "Individual/Group" }},
426
427                 { &hf_llc_ssap,
428                 { "SSAP", "llc.ssap", FT_UINT8, BASE_HEX, 
429                         VALS(sap_vals), 0x0, "" }},
430
431                 { &hf_llc_ssap_cr,
432                 { "CR Bit", "llc.ssap.cr", FT_BOOLEAN, BASE_HEX, 
433                         &cr_bit, 0x0, "Command/Response" }},
434
435                 { &hf_llc_ctrl,
436                 { "Control", "llc.control", FT_UINT8, BASE_HEX, 
437                         VALS(llc_ctrl_vals), 0x0, "" }},
438
439                 /* registered here but handled in ethertype.c */
440                 { &hf_llc_type,
441                 { "Type", "llc.type", FT_UINT16, BASE_HEX, 
442                         VALS(etype_vals), 0x0, "" }},
443
444                 { &hf_llc_oui,
445                 { "Organization Code",  "llc.oui", FT_UINT24, BASE_HEX, 
446                         VALS(oui_vals), 0x0, ""}},
447
448                 { &hf_llc_pid,
449                 { "Protocol ID", "llc.pid", FT_UINT16, BASE_HEX, 
450                         NULL, 0x0, ""}}
451         };
452         static gint *ett[] = {
453                 &ett_llc,
454                 &ett_llc_ctrl,
455         };
456
457         proto_llc = proto_register_protocol ("Logical-Link Control", "llc" );
458         proto_register_field_array(proto_llc, hf, array_length(hf));
459         proto_register_subtree_array(ett, array_length(ett));
460 }