ce819a71d3dc30d31f96a3528dc97c5a832d49e2
[obnox/wireshark/wip.git] / wiretap / csids.c
1 /* csids.c
2  *
3  * $Id: csids.c,v 1.14 2002/06/07 07:27:34 guy Exp $
4  *
5  * Copyright (c) 2000 by Mike Hall <mlh@io.com>
6  * Copyright (c) 2000 by Cisco Systems
7  * 
8  * This program is free software; you can redistribute it and/or
9  * modify it under the terms of the GNU General Public License
10  * as published by the Free Software Foundation; either version 2
11  * of the License, or (at your option) any later version.
12  * 
13  * This program is distributed in the hope that it will be useful,
14  * but WITHOUT ANY WARRANTY; without even the implied warranty of
15  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
16  * GNU General Public License for more details.
17  * 
18  * You should have received a copy of the GNU General Public License
19  * along with this program; if not, write to the Free Software
20  * Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA  02111-1307, USA.
21  */
22
23 #ifdef HAVE_CONFIG_H
24 #include "config.h"
25 #endif
26 #include "wtap-int.h"
27 #include "buffer.h"
28 #include "csids.h"
29 #include "file_wrappers.h"
30
31 #include <stdio.h>
32 #include <stdlib.h>
33 #include <string.h>
34
35 /* 
36  * This module reads the output from the Cisco Secure Intrustion Detection
37  * System iplogging facility. The term iplogging is misleading since this 
38  * logger will only output TCP. There is no link layer information. 
39  * Packet format is 4 byte timestamp (seconds since epoch), and a 4 byte size
40  * of data following for that packet.
41  *
42  * For a time there was an error in iplogging and the ip length, flags, and id
43  * were byteswapped. We will check for this and handle it before handing to
44  * ethereal.
45  */
46
47 static gboolean csids_read(wtap *wth, int *err, long *data_offset);
48 static gboolean csids_seek_read(wtap *wth, long seek_off,
49         union wtap_pseudo_header *pseudo_header, guint8 *pd, int len, int *err);
50 static void csids_close(wtap *wth);
51
52 struct csids_header {
53   guint32 seconds; /* seconds since epoch */
54   guint16 zeropad; /* 2 byte zero'ed pads */
55   guint16 caplen;  /* the capture length  */
56 };
57
58 /* XXX - return -1 on I/O error and actually do something with 'err'. */
59 int csids_open(wtap *wth, int *err)
60 {
61   /* There is no file header. There is only a header for each packet 
62    * so we read a packet header and compare the caplen with iplen. They 
63    * should always be equal except with the wierd byteswap version.
64    * 
65    * THIS IS BROKEN-- anytime the caplen is 0x0101 or 0x0202 up to 0x0505 
66    * this will byteswap it. I need to fix this. XXX --mlh 
67    */
68
69   int tmp,iplen,bytesRead;
70   
71   gboolean byteswap = FALSE;
72   struct csids_header hdr;
73   bytesRead=0;
74
75   /* check the file to make sure it is a csids file. */ 
76   bytesRead = file_read( &hdr, 1, sizeof( struct csids_header), wth->fh );
77   if( bytesRead != sizeof( struct csids_header) ) {
78     *err = file_error( wth->fh );
79     if( *err != 0 ) {
80       return -1;
81     } else {
82       return 0;
83     }
84   }
85   if( hdr.zeropad != 0 ) {
86         return 0;
87   }
88   hdr.seconds = pntohl( &hdr.seconds );
89   hdr.caplen = pntohs( &hdr.caplen );
90   bytesRead = file_read( &tmp, 1, 2, wth->fh );
91   if( bytesRead != 2 ) {
92     *err = file_error( wth->fh );
93     if( *err != 0 ) {
94       return -1;
95     } else {
96       return 0;
97     }
98   }
99   bytesRead = file_read( &iplen, 1, 2, wth->fh );
100   if( bytesRead != 2 ) {
101     *err = file_error( wth->fh );
102     if( *err != 0 ) {
103       return -1;
104     } else {
105       return 0;
106     }
107   }
108   iplen = pntohs(&iplen);
109   /* if iplen and hdr.caplen are equal, default to no byteswap. */
110   if( iplen > hdr.caplen ) {
111     /* maybe this is just a byteswapped version. the iplen ipflags */
112     /* and ipid are swapped. We cannot use the normal swaps because */
113     /* we don't know the host */
114     iplen = BSWAP16(iplen);
115     if( iplen <= hdr.caplen ) {
116       /* we know this format */
117       byteswap = TRUE;
118     } else {
119       /* don't know this one */
120       return 0;
121     }
122   } else {
123     byteswap = FALSE;
124   } 
125
126   /* no file header. So reset the fh to 0 so we can read the first packet */
127   if (file_seek(wth->fh, 0, SEEK_SET, err) == -1)
128     return -1;
129
130   wth->data_offset = 0; 
131   wth->capture.csids = g_malloc(sizeof(csids_t));
132   wth->capture.csids->byteswapped = byteswap;
133   wth->file_encap = WTAP_ENCAP_RAW_IP; 
134   wth->file_type = WTAP_FILE_CSIDS; 
135   wth->snapshot_length = 0; /* not known */
136   wth->subtype_read = csids_read;
137   wth->subtype_seek_read = csids_seek_read;
138   wth->subtype_close = csids_close;
139
140   return 1;
141 }
142
143 /* Find the next packet and parse it; called from wtap_loop(). */
144 static gboolean csids_read(wtap *wth, int *err, long *data_offset)
145 {
146   guint8 *buf;
147   int bytesRead = 0;
148   struct csids_header hdr;
149
150   *data_offset = wth->data_offset;
151
152   bytesRead = file_read( &hdr, 1, sizeof( struct csids_header) , wth->fh );
153   if( bytesRead != sizeof( struct csids_header) ) {
154     *err = file_error( wth->fh );
155     if (*err == 0 && bytesRead != 0)
156       *err = WTAP_ERR_SHORT_READ;
157     return FALSE;
158   }
159   hdr.seconds = pntohl(&hdr.seconds);
160   hdr.caplen = pntohs(&hdr.caplen);
161
162   wth->data_offset += sizeof( struct csids_header );
163
164   /* Make sure we have enough room for the packet */
165   buffer_assure_space(wth->frame_buffer, hdr.caplen);
166   buf = buffer_start_ptr(wth->frame_buffer);
167   
168   bytesRead = file_read( buf, 1, hdr.caplen, wth->fh );
169   if( bytesRead != hdr.caplen ) {
170     *err = file_error( wth->fh );
171     if (*err == 0)
172       *err = WTAP_ERR_SHORT_READ;
173     return FALSE;
174   }
175   
176   wth->data_offset += hdr.caplen;
177
178   wth->phdr.len = hdr.caplen;
179   wth->phdr.caplen = hdr.caplen;
180   wth->phdr.ts.tv_sec = hdr.seconds;
181   wth->phdr.ts.tv_usec = 0;
182   wth->phdr.pkt_encap = WTAP_ENCAP_RAW_IP;
183
184   if( wth->capture.csids->byteswapped == TRUE ) {
185     guint16* swap = (guint16*)buf;
186     swap++;
187     *(swap) = BSWAP16(*swap); /* the ip len */
188     swap++;
189     *(swap) = BSWAP16(*swap); /* ip id */
190     swap++;
191     *(swap) = BSWAP16(*swap); /* ip flags and fragoff */
192   }
193
194   return TRUE;
195 }
196
197 /* Used to read packets in random-access fashion */
198 static gboolean
199 csids_seek_read (wtap *wth,
200                  long seek_off,
201                  union wtap_pseudo_header *pseudo_header _U_,
202                  guint8 *pd,
203                  int len,
204                  int *err)
205 {
206   int bytesRead;
207   struct csids_header hdr;
208
209   if( file_seek( wth->random_fh, seek_off, SEEK_SET, err ) == -1 )
210     return FALSE;
211
212   bytesRead = file_read( &hdr, 1, sizeof( struct csids_header), wth->random_fh );
213   if( bytesRead != sizeof( struct csids_header) ) {
214     *err = file_error( wth->random_fh );
215     if( *err == 0 ) {
216       *err = WTAP_ERR_SHORT_READ;
217     }
218     return FALSE;
219   }
220   hdr.seconds = pntohl(&hdr.seconds);
221   hdr.caplen = pntohs(&hdr.caplen);
222   
223   if( len != hdr.caplen ) {
224     *err = WTAP_ERR_BAD_RECORD;
225     return FALSE;
226   }
227
228   bytesRead = file_read( pd, 1, hdr.caplen, wth->random_fh );
229   if( bytesRead != hdr.caplen ) {
230     *err = file_error( wth->random_fh );
231     if( *err == 0 ) {
232       *err = WTAP_ERR_SHORT_READ;
233     }
234     return FALSE;
235   }
236
237   if( wth->capture.csids->byteswapped == TRUE ) {
238     guint16* swap = (guint16*)pd;
239     swap++;
240     *(swap) = BSWAP16(*swap); /* the ip len */
241     swap++;
242     *(swap) = BSWAP16(*swap); /* ip id */
243     swap++;
244     *(swap) = BSWAP16(*swap); /* ip flags and fragoff */
245   }
246   
247   return TRUE;
248 }
249
250 static void
251 csids_close(wtap *wth)
252 {
253   g_free(wth->capture.csids);
254 }