Have "wtap_read()" set "wth->phdr.pkt_encap" to "wth->file_encap",
[obnox/wireshark/wip.git] / wiretap / csids.c
1 /* csids.c
2  *
3  * $Id: csids.c,v 1.17 2004/03/03 22:24:51 guy Exp $
4  *
5  * Copyright (c) 2000 by Mike Hall <mlh@io.com>
6  * Copyright (c) 2000 by Cisco Systems
7  *
8  * This program is free software; you can redistribute it and/or
9  * modify it under the terms of the GNU General Public License
10  * as published by the Free Software Foundation; either version 2
11  * of the License, or (at your option) any later version.
12  *
13  * This program is distributed in the hope that it will be useful,
14  * but WITHOUT ANY WARRANTY; without even the implied warranty of
15  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
16  * GNU General Public License for more details.
17  *
18  * You should have received a copy of the GNU General Public License
19  * along with this program; if not, write to the Free Software
20  * Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA  02111-1307, USA.
21  */
22
23 #ifdef HAVE_CONFIG_H
24 #include "config.h"
25 #endif
26 #include "wtap-int.h"
27 #include "buffer.h"
28 #include "csids.h"
29 #include "file_wrappers.h"
30
31 #include <stdio.h>
32 #include <stdlib.h>
33 #include <string.h>
34
35 /*
36  * This module reads the output from the Cisco Secure Intrustion Detection
37  * System iplogging facility. The term iplogging is misleading since this
38  * logger will only output TCP. There is no link layer information.
39  * Packet format is 4 byte timestamp (seconds since epoch), and a 4 byte size
40  * of data following for that packet.
41  *
42  * For a time there was an error in iplogging and the ip length, flags, and id
43  * were byteswapped. We will check for this and handle it before handing to
44  * ethereal.
45  */
46
47 static gboolean csids_read(wtap *wth, int *err, gchar **err_info,
48         long *data_offset);
49 static gboolean csids_seek_read(wtap *wth, long seek_off,
50         union wtap_pseudo_header *pseudo_header, guint8 *pd, int len,
51         int *err, gchar **err_info);
52 static void csids_close(wtap *wth);
53
54 struct csids_header {
55   guint32 seconds; /* seconds since epoch */
56   guint16 zeropad; /* 2 byte zero'ed pads */
57   guint16 caplen;  /* the capture length  */
58 };
59
60 /* XXX - return -1 on I/O error and actually do something with 'err'. */
61 int csids_open(wtap *wth, int *err, gchar **err_info _U_)
62 {
63   /* There is no file header. There is only a header for each packet
64    * so we read a packet header and compare the caplen with iplen. They
65    * should always be equal except with the wierd byteswap version.
66    *
67    * THIS IS BROKEN-- anytime the caplen is 0x0101 or 0x0202 up to 0x0505
68    * this will byteswap it. I need to fix this. XXX --mlh
69    */
70
71   int tmp,iplen,bytesRead;
72
73   gboolean byteswap = FALSE;
74   struct csids_header hdr;
75   bytesRead=0;
76
77   /* check the file to make sure it is a csids file. */
78   bytesRead = file_read( &hdr, 1, sizeof( struct csids_header), wth->fh );
79   if( bytesRead != sizeof( struct csids_header) ) {
80     *err = file_error( wth->fh );
81     if( *err != 0 ) {
82       return -1;
83     } else {
84       return 0;
85     }
86   }
87   if( hdr.zeropad != 0 ) {
88         return 0;
89   }
90   hdr.seconds = pntohl( &hdr.seconds );
91   hdr.caplen = pntohs( &hdr.caplen );
92   bytesRead = file_read( &tmp, 1, 2, wth->fh );
93   if( bytesRead != 2 ) {
94     *err = file_error( wth->fh );
95     if( *err != 0 ) {
96       return -1;
97     } else {
98       return 0;
99     }
100   }
101   bytesRead = file_read( &iplen, 1, 2, wth->fh );
102   if( bytesRead != 2 ) {
103     *err = file_error( wth->fh );
104     if( *err != 0 ) {
105       return -1;
106     } else {
107       return 0;
108     }
109   }
110   iplen = pntohs(&iplen);
111   /* if iplen and hdr.caplen are equal, default to no byteswap. */
112   if( iplen > hdr.caplen ) {
113     /* maybe this is just a byteswapped version. the iplen ipflags */
114     /* and ipid are swapped. We cannot use the normal swaps because */
115     /* we don't know the host */
116     iplen = BSWAP16(iplen);
117     if( iplen <= hdr.caplen ) {
118       /* we know this format */
119       byteswap = TRUE;
120     } else {
121       /* don't know this one */
122       return 0;
123     }
124   } else {
125     byteswap = FALSE;
126   }
127
128   /* no file header. So reset the fh to 0 so we can read the first packet */
129   if (file_seek(wth->fh, 0, SEEK_SET, err) == -1)
130     return -1;
131
132   wth->data_offset = 0;
133   wth->capture.csids = g_malloc(sizeof(csids_t));
134   wth->capture.csids->byteswapped = byteswap;
135   wth->file_encap = WTAP_ENCAP_RAW_IP;
136   wth->file_type = WTAP_FILE_CSIDS;
137   wth->snapshot_length = 0; /* not known */
138   wth->subtype_read = csids_read;
139   wth->subtype_seek_read = csids_seek_read;
140   wth->subtype_close = csids_close;
141
142   return 1;
143 }
144
145 /* Find the next packet and parse it; called from wtap_loop(). */
146 static gboolean csids_read(wtap *wth, int *err, gchar **err_info _U_,
147     long *data_offset)
148 {
149   guint8 *buf;
150   int bytesRead = 0;
151   struct csids_header hdr;
152
153   *data_offset = wth->data_offset;
154
155   bytesRead = file_read( &hdr, 1, sizeof( struct csids_header) , wth->fh );
156   if( bytesRead != sizeof( struct csids_header) ) {
157     *err = file_error( wth->fh );
158     if (*err == 0 && bytesRead != 0)
159       *err = WTAP_ERR_SHORT_READ;
160     return FALSE;
161   }
162   hdr.seconds = pntohl(&hdr.seconds);
163   hdr.caplen = pntohs(&hdr.caplen);
164
165   wth->data_offset += sizeof( struct csids_header );
166
167   /* Make sure we have enough room for the packet */
168   buffer_assure_space(wth->frame_buffer, hdr.caplen);
169   buf = buffer_start_ptr(wth->frame_buffer);
170
171   bytesRead = file_read( buf, 1, hdr.caplen, wth->fh );
172   if( bytesRead != hdr.caplen ) {
173     *err = file_error( wth->fh );
174     if (*err == 0)
175       *err = WTAP_ERR_SHORT_READ;
176     return FALSE;
177   }
178
179   wth->data_offset += hdr.caplen;
180
181   wth->phdr.len = hdr.caplen;
182   wth->phdr.caplen = hdr.caplen;
183   wth->phdr.ts.tv_sec = hdr.seconds;
184   wth->phdr.ts.tv_usec = 0;
185
186   if( wth->capture.csids->byteswapped == TRUE ) {
187     guint16* swap = (guint16*)buf;
188     swap++;
189     *(swap) = BSWAP16(*swap); /* the ip len */
190     swap++;
191     *(swap) = BSWAP16(*swap); /* ip id */
192     swap++;
193     *(swap) = BSWAP16(*swap); /* ip flags and fragoff */
194   }
195
196   return TRUE;
197 }
198
199 /* Used to read packets in random-access fashion */
200 static gboolean
201 csids_seek_read (wtap *wth,
202                  long seek_off,
203                  union wtap_pseudo_header *pseudo_header _U_,
204                  guint8 *pd,
205                  int len,
206                  int *err,
207                  gchar **err_info)
208 {
209   int bytesRead;
210   struct csids_header hdr;
211
212   if( file_seek( wth->random_fh, seek_off, SEEK_SET, err ) == -1 )
213     return FALSE;
214
215   bytesRead = file_read( &hdr, 1, sizeof( struct csids_header), wth->random_fh );
216   if( bytesRead != sizeof( struct csids_header) ) {
217     *err = file_error( wth->random_fh );
218     if( *err == 0 ) {
219       *err = WTAP_ERR_SHORT_READ;
220     }
221     return FALSE;
222   }
223   hdr.seconds = pntohl(&hdr.seconds);
224   hdr.caplen = pntohs(&hdr.caplen);
225
226   if( len != hdr.caplen ) {
227     *err = WTAP_ERR_BAD_RECORD;
228     *err_info = g_strdup_printf("csids: record length %u doesn't match requested length %d",
229                                  hdr.caplen, len);
230     return FALSE;
231   }
232
233   bytesRead = file_read( pd, 1, hdr.caplen, wth->random_fh );
234   if( bytesRead != hdr.caplen ) {
235     *err = file_error( wth->random_fh );
236     if( *err == 0 ) {
237       *err = WTAP_ERR_SHORT_READ;
238     }
239     return FALSE;
240   }
241
242   if( wth->capture.csids->byteswapped == TRUE ) {
243     guint16* swap = (guint16*)pd;
244     swap++;
245     *(swap) = BSWAP16(*swap); /* the ip len */
246     swap++;
247     *(swap) = BSWAP16(*swap); /* ip id */
248     swap++;
249     *(swap) = BSWAP16(*swap); /* ip flags and fragoff */
250   }
251
252   return TRUE;
253 }
254
255 static void
256 csids_close(wtap *wth)
257 {
258   g_free(wth->capture.csids);
259 }