Use guint8 rather than guchar for raw octets and pointers to arrays of
[obnox/wireshark/wip.git] / wiretap / nettl.c
1 /* nettl.c
2  *
3  * $Id$
4  *
5  * Wiretap Library
6  * Copyright (c) 1998 by Gilbert Ramirez <gram@alumni.rice.edu>
7  *
8  * Enhancements by Mark C. Brown <mbrown@hp.com>
9  * Copyright (C) 2003, 2005 Hewlett-Packard Development Company, L.P.
10  *
11  * This program is free software; you can redistribute it and/or
12  * modify it under the terms of the GNU General Public License
13  * as published by the Free Software Foundation; either version 2
14  * of the License, or (at your option) any later version.
15  *
16  * This program is distributed in the hope that it will be useful,
17  * but WITHOUT ANY WARRANTY; without even the implied warranty of
18  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
19  * GNU General Public License for more details.
20  *
21  * You should have received a copy of the GNU General Public License
22  * along with this program; if not, write to the Free Software
23  * Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA  02110-1301, USA.
24  */
25
26 #ifdef HAVE_CONFIG_H
27 #include "config.h"
28 #endif
29
30 #include <stdlib.h>
31 #include <errno.h>
32 #include <string.h>
33 #include "wtap-int.h"
34 #include "file_wrappers.h"
35 #include "buffer.h"
36 #include "nettl.h"
37
38 /* HP nettl file header */
39
40 /* Magic number size */
41 #define MAGIC_SIZE      12
42
43 /* HP-UX 9.x */
44 static const guint8 nettl_magic_hpux9[MAGIC_SIZE] = {
45     0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00, 0x00, 0x00, 0x07, 0xD0, 0x00
46 };
47 /* HP-UX 10.x and 11.x */
48 static const guint8 nettl_magic_hpux10[MAGIC_SIZE] = {
49     0x54, 0x52, 0x00, 0x64, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x80
50 };
51
52 #define FILE_HDR_SIZE   128
53 #define NETTL_FILENAME_SIZE 56
54
55 struct nettl_file_hdr {
56     guint8      magic[MAGIC_SIZE];
57     gchar       file_name[NETTL_FILENAME_SIZE];
58     gchar       tz[20];
59     gchar       host_name[9];
60     gchar       os_vers[9];
61     guint8      os_v;
62     guint8      xxa[8];
63     gchar       model[11];
64     guint16     unknown;        /* just padding to 128 bytes? */
65 };
66
67 /* HP nettl record header */
68 /* see /usr/include/sys/netdiag1.h for hints */
69 struct nettlrec_hdr {
70     guint16     hdr_len;
71     guint16     subsys;
72     guint32     devid;
73     guint8      xxa[4];
74     guint32     kind;
75     guint8      xxb[16];
76     guint32     caplen;
77     guint32     length;
78     guint32     sec;
79     guint32     usec;
80     guint32     pid;
81     guint8      xxc[10];
82     guint16     uid;
83 };
84
85 /*
86  * This is what we treat as the minimum size of a record header.
87  * It is *not* necessarily the same as sizeof(struct nettlrec_hdr),
88  * because it doesn't include any padding added to the structure.
89  */
90 #define NETTL_REC_HDR_LEN       64
91
92 /* HP nettl record header for the SX25L2 subsystem - The FCS is not included
93    in the file. */
94 struct nettlrec_sx25l2_hdr {
95     guint8      xxa[8];
96     guint8      from_dce;
97     guint8      xxb[55];
98     guint8      caplen[2];
99     guint8      length[2];
100     guint8      xxc[4];
101     guint8      sec[4];
102     guint8      usec[4];
103     guint8      xxd[4];
104 };
105
106 /* NL_LS_DRIVER :
107 The following shows what the header and subheader looks like for NS_LS_DRIVER
108 The capture was taken on HPUX11 and for a 100baseT interface.
109
110 000080 00 44 00 0b 00 00 00 02 00 00 00 00 20 00 00 00
111 000090 00 00 00 00 00 00 04 06 00 00 00 00 00 00 00 00
112 0000a0 00 00 00 74 00 00 00 74 3c e3 76 19 00 06 34 63
113 0000b0 ff ff ff ff 00 00 00 00 00 00 00 00 ff ff ff ff
114 0000c0 00 00 00 00 00 00 01 02 00 5c 00 5c ff ff ff ff
115 0000d0 3c e3 76 19 00 06 34 5a 00 0b 00 14 <here starts the MAC header>
116
117 Each entry starts with 0x0044000b
118
119 The values 0x005c at position 0x0000c8 and 0x0000ca matches the number of
120 bytes in the packet up to the next entry, which starts with 0x00440b again.
121 These are the captured and real and captured length of the packet.
122
123 The values 0x00000074 at positions 0x0000a0 and 0x0000a4 seems to indicate
124 the same number as positions 0x0000c8 and 0x0000ca but added with 24.
125 Perhaps we have here two layers of headers.
126 The first layer is fixed and consists of all the bytes from 0x000084 up to and
127 including 0x0000c3 which is a generic header for all packets captured from any
128 device. This header might be of fixed size 64 bytes (although the first two
129 bytes appear to be the length of that header, in big-endian format) and there
130 might be something in it which indicates the type of the next header which is
131 link type specific. Following this header there is another header for the
132 100baseT interface which in this case is 24 bytes long spanning positions
133 0x0000c4 to 0x0000db.
134
135 In another capture, claimed to be taken on an HP-UX 8 box, but with a
136 file header suggesting it was taken on HP-UX 10.20, the header for
137 NS_LS_DRIVER looks like:
138
139 000080   00 40 00 0b ff ff ff ff 00 00 00 00 00 00 00 00
140 000090   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
141 0000a0   00 00 00 51 00 00 00 51 42 02 5e bf 00 0e ab 7c
142 0000b0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
143 0000c0   00 02 01 00 00 3b 00 3b ff ff ff ff 42 02 5e bf
144 0000d0   00 0e 8e 44 00 0b <here starts the MAC header>
145
146 When someone reports that the loading of the captures breaks, we can
147 compare this header above with what he/she got to learn how to
148 distinguish between different types of link specific headers.
149
150
151 For now, the subheader for 100baseT seems to be
152         4-5     captured length
153         6-7     actual length
154         8-11    unknown
155         12-15   secs
156         16-19   usecs
157         20-21   unknown
158 */
159 struct nettlrec_ns_ls_drv_eth_hdr {
160     guint8      xxa[4];
161     guint8      caplen[2];
162     guint8      length[2];
163     guint8      xxb[4];
164     guint8      sec[4];
165     guint8      usec[4];
166     guint8      xxc[2];
167 };
168
169 /*
170  * This is the size of an NS_LS_DRV_ETH header; it is *not* necessarily
171  * the same as sizeof(struct nettlrec_ns_ls_drv_eth_hdr), because it
172  * doesn't include any padding added to the structure.
173  */
174 #define NS_LS_DRV_ETH_HDR_LEN   22
175
176 /* header is followed by data and once again the total length (2 bytes) ! */
177
178 typedef struct {
179         gboolean is_hpux_11;
180 } nettl_t;
181
182 static gboolean nettl_read(wtap *wth, int *err, gchar **err_info,
183                 gint64 *data_offset);
184 static gboolean nettl_seek_read(wtap *wth, gint64 seek_off,
185                 union wtap_pseudo_header *pseudo_header, guint8 *pd,
186                 int length, int *err, gchar **err_info);
187 static int nettl_read_rec_header(wtap *wth, FILE_T fh,
188                 struct wtap_pkthdr *phdr, union wtap_pseudo_header *pseudo_header,
189                 int *err, gchar **err_info, gboolean *fddihack);
190 static gboolean nettl_read_rec_data(FILE_T fh, guint8 *pd, int length,
191                 int *err, gchar **err_info, gboolean fddihack);
192 static gboolean nettl_dump(wtap_dumper *wdh, const struct wtap_pkthdr *phdr,
193     const union wtap_pseudo_header *pseudo_header, const guint8 *pd, int *err);
194
195 int nettl_open(wtap *wth, int *err, gchar **err_info)
196 {
197     struct nettl_file_hdr file_hdr;
198     guint16 dummy[2];
199     int subsys;
200     int bytes_read;
201     nettl_t *nettl;
202
203     memset(&file_hdr, 0, sizeof(file_hdr));
204
205     /* Read in the string that should be at the start of a HP file */
206     errno = WTAP_ERR_CANT_READ;
207     bytes_read = file_read(file_hdr.magic, MAGIC_SIZE, wth->fh);
208     if (bytes_read != MAGIC_SIZE) {
209         *err = file_error(wth->fh, err_info);
210         if (*err != 0)
211             return -1;
212         return 0;
213     }
214
215     if (memcmp(file_hdr.magic, nettl_magic_hpux9, MAGIC_SIZE) &&
216         memcmp(file_hdr.magic, nettl_magic_hpux10, MAGIC_SIZE)) {
217         return 0;
218     }
219
220     /* Read the rest of the file header */
221     bytes_read = file_read(file_hdr.file_name, FILE_HDR_SIZE - MAGIC_SIZE,
222                            wth->fh);
223     if (bytes_read != FILE_HDR_SIZE - MAGIC_SIZE) {
224         *err = file_error(wth->fh, err_info);
225         if (*err != 0)
226             return -1;
227         return 0;
228     }
229
230     /* This is an nettl file */
231     wth->file_type = WTAP_FILE_NETTL;
232     nettl = g_malloc(sizeof(nettl_t));
233     wth->priv = (void *)nettl;
234     if (file_hdr.os_vers[2] == '1' && file_hdr.os_vers[3] == '1')
235         nettl->is_hpux_11 = TRUE;
236     else
237         nettl->is_hpux_11 = FALSE;
238     wth->subtype_read = nettl_read;
239     wth->subtype_seek_read = nettl_seek_read;
240     wth->snapshot_length = 0;   /* not available */
241
242     /* read the first header to take a guess at the file encap */
243     bytes_read = file_read(dummy, 4, wth->fh);
244     if (bytes_read != 4) {
245         if (*err != 0) {
246             wth->priv = NULL;
247             g_free(nettl);
248             return -1;
249         }
250         if (bytes_read != 0) {
251             *err = WTAP_ERR_SHORT_READ;
252             wth->priv = NULL;
253             g_free(nettl);
254             return -1;
255         }
256         wth->priv = NULL;
257         g_free(nettl);
258         return 0;
259     }
260
261     subsys = g_ntohs(dummy[1]);
262     switch (subsys) {
263         case NETTL_SUBSYS_HPPB_FDDI :
264         case NETTL_SUBSYS_EISA_FDDI :
265         case NETTL_SUBSYS_PCI_FDDI :
266         case NETTL_SUBSYS_HSC_FDDI :
267                 wth->file_encap = WTAP_ENCAP_NETTL_FDDI;
268                 break;
269         case NETTL_SUBSYS_TOKEN :
270         case NETTL_SUBSYS_PCI_TR :
271                 wth->file_encap = WTAP_ENCAP_NETTL_TOKEN_RING;
272                 break;
273         case NETTL_SUBSYS_NS_LS_IP :
274         case NETTL_SUBSYS_NS_LS_LOOPBACK :
275         case NETTL_SUBSYS_NS_LS_TCP :
276         case NETTL_SUBSYS_NS_LS_UDP :
277         case NETTL_SUBSYS_NS_LS_IPV6 :
278                 wth->file_encap = WTAP_ENCAP_NETTL_RAW_IP;
279                 break;
280         case NETTL_SUBSYS_NS_LS_ICMP :
281                 wth->file_encap = WTAP_ENCAP_NETTL_RAW_ICMP;
282                 break;
283         case NETTL_SUBSYS_NS_LS_ICMPV6 :
284                 wth->file_encap = WTAP_ENCAP_NETTL_RAW_ICMPV6;
285                 break;
286         case NETTL_SUBSYS_NS_LS_TELNET :
287                 wth->file_encap = WTAP_ENCAP_NETTL_RAW_TELNET;
288                 break;
289         default:
290                 /* If this assumption is bad, the read will catch it */
291                 wth->file_encap = WTAP_ENCAP_NETTL_ETHERNET;
292     }
293
294     if (file_seek(wth->fh, FILE_HDR_SIZE, SEEK_SET, err) == -1) {
295         g_free(nettl);
296         return -1;
297     }
298     wth->data_offset = FILE_HDR_SIZE;
299     wth->tsprecision = WTAP_FILE_TSPREC_USEC;
300
301     return 1;
302 }
303
304 /* Read the next packet */
305 static gboolean nettl_read(wtap *wth, int *err, gchar **err_info,
306     gint64 *data_offset)
307 {
308     int ret;
309     gboolean fddihack=FALSE;
310
311     /* Read record header. */
312     *data_offset = wth->data_offset;
313     ret = nettl_read_rec_header(wth, wth->fh, &wth->phdr, &wth->pseudo_header,
314         err, err_info, &fddihack);
315     if (ret <= 0) {
316         /* Read error or EOF */
317         return FALSE;
318     }
319     wth->data_offset += ret;
320
321     /*
322      * If the per-file encapsulation isn't known, set it to this
323      * packet's encapsulation.
324      *
325      * If it *is* known, and it isn't this packet's encapsulation,
326      * set it to WTAP_ENCAP_PER_PACKET, as this file doesn't
327      * have a single encapsulation for all packets in the file.
328      */
329     if (wth->file_encap == WTAP_ENCAP_UNKNOWN)
330         wth->file_encap = wth->phdr.pkt_encap;
331     else {
332         if (wth->file_encap != wth->phdr.pkt_encap)
333             wth->file_encap = WTAP_ENCAP_PER_PACKET;
334     }
335
336     /*
337      * Read the packet data.
338      */
339     buffer_assure_space(wth->frame_buffer, wth->phdr.caplen);
340     if (!nettl_read_rec_data(wth->fh, buffer_start_ptr(wth->frame_buffer),
341                 wth->phdr.caplen, err, err_info, fddihack))
342         return FALSE;   /* Read error */
343     wth->data_offset += wth->phdr.caplen;
344     return TRUE;
345 }
346
347 static gboolean
348 nettl_seek_read(wtap *wth, gint64 seek_off,
349                 union wtap_pseudo_header *pseudo_header, guint8 *pd,
350                 int length, int *err, gchar **err_info)
351 {
352     int ret;
353     struct wtap_pkthdr phdr;
354     gboolean fddihack=FALSE;
355
356     if (file_seek(wth->random_fh, seek_off, SEEK_SET, err) == -1)
357         return FALSE;
358
359     /* Read record header. */
360     ret = nettl_read_rec_header(wth, wth->random_fh, &phdr, pseudo_header,
361         err, err_info, &fddihack);
362     if (ret <= 0) {
363         /* Read error or EOF */
364         if (ret == 0) {
365             /* EOF means "short read" in random-access mode */
366             *err = WTAP_ERR_SHORT_READ;
367         }
368         return FALSE;
369     }
370
371     /*
372      * Read the packet data.
373      */
374     return nettl_read_rec_data(wth->random_fh, pd, length, err, err_info,
375         fddihack);
376 }
377
378 static int
379 nettl_read_rec_header(wtap *wth, FILE_T fh, struct wtap_pkthdr *phdr,
380                 union wtap_pseudo_header *pseudo_header, int *err,
381                 gchar **err_info, gboolean *fddihack)
382 {
383     nettl_t *nettl = (nettl_t *)wth->priv;
384     int bytes_read;
385     struct nettlrec_hdr rec_hdr;
386     guint16 hdr_len;
387     struct nettlrec_ns_ls_drv_eth_hdr drv_eth_hdr;
388     guint16 length, caplen;
389     int offset = 0;
390     int subsys;
391     int padlen;
392     guint8 dummyc[16];
393
394     errno = WTAP_ERR_CANT_READ;
395     bytes_read = file_read(&rec_hdr.hdr_len, sizeof rec_hdr.hdr_len, fh);
396     if (bytes_read != sizeof rec_hdr.hdr_len) {
397         *err = file_error(fh, err_info);
398         if (*err != 0)
399             return -1;
400         if (bytes_read != 0) {
401             *err = WTAP_ERR_SHORT_READ;
402             return -1;
403         }
404         return 0;
405     }
406     offset += 2;
407     hdr_len = g_ntohs(rec_hdr.hdr_len);
408     if (hdr_len < NETTL_REC_HDR_LEN) {
409         *err = WTAP_ERR_BAD_RECORD;
410         *err_info = g_strdup_printf("nettl: record header length %u too short",
411             hdr_len);
412         return -1;
413     }
414     bytes_read = file_read(&rec_hdr.subsys, NETTL_REC_HDR_LEN - 2, fh);
415     if (bytes_read != NETTL_REC_HDR_LEN - 2) {
416         *err = file_error(fh, err_info);
417         if (*err == 0)
418             *err = WTAP_ERR_SHORT_READ;
419         return -1;
420     }
421     offset += NETTL_REC_HDR_LEN - 2;
422     subsys = g_ntohs(rec_hdr.subsys);
423     hdr_len -= NETTL_REC_HDR_LEN;
424     if (file_seek(fh, hdr_len, SEEK_CUR, err) == -1)
425         return -1;
426     offset += hdr_len;
427
428     if ( (pntohl(&rec_hdr.kind) & NETTL_HDR_PDU_MASK) == 0 ) {
429         /* not actually a data packet (PDU) trace record */
430         phdr->pkt_encap = WTAP_ENCAP_NETTL_RAW_IP;
431         length = pntohl(&rec_hdr.length);
432         caplen = pntohl(&rec_hdr.caplen);
433         padlen = 0;
434     } else switch (subsys) {
435         case NETTL_SUBSYS_LAN100 :
436         case NETTL_SUBSYS_EISA100BT :
437         case NETTL_SUBSYS_BASE100 :
438         case NETTL_SUBSYS_GSC100BT :
439         case NETTL_SUBSYS_PCI100BT :
440         case NETTL_SUBSYS_SPP100BT :
441         case NETTL_SUBSYS_100VG :
442         case NETTL_SUBSYS_GELAN :
443         case NETTL_SUBSYS_BTLAN :
444         case NETTL_SUBSYS_INTL100 :
445         case NETTL_SUBSYS_IGELAN :
446         case NETTL_SUBSYS_IETHER :
447         case NETTL_SUBSYS_IXGBE :
448         case NETTL_SUBSYS_HSSN :
449         case NETTL_SUBSYS_IGSSN :
450         case NETTL_SUBSYS_ICXGBE :
451         case NETTL_SUBSYS_IEXGBE :
452         case NETTL_SUBSYS_HPPB_FDDI :
453         case NETTL_SUBSYS_EISA_FDDI :
454         case NETTL_SUBSYS_PCI_FDDI :
455         case NETTL_SUBSYS_HSC_FDDI :
456         case NETTL_SUBSYS_TOKEN :
457         case NETTL_SUBSYS_PCI_TR :
458         case NETTL_SUBSYS_NS_LS_IP :
459         case NETTL_SUBSYS_NS_LS_LOOPBACK :
460         case NETTL_SUBSYS_NS_LS_TCP :
461         case NETTL_SUBSYS_NS_LS_UDP :
462         case NETTL_SUBSYS_HP_APAPORT :
463         case NETTL_SUBSYS_HP_APALACP :
464         case NETTL_SUBSYS_NS_LS_IPV6 :
465         case NETTL_SUBSYS_NS_LS_ICMPV6 :
466         case NETTL_SUBSYS_NS_LS_ICMP :
467         case NETTL_SUBSYS_NS_LS_TELNET :
468         case NETTL_SUBSYS_NS_LS_SCTP :
469             if( (subsys == NETTL_SUBSYS_NS_LS_IP)
470              || (subsys == NETTL_SUBSYS_NS_LS_LOOPBACK)
471              || (subsys == NETTL_SUBSYS_NS_LS_UDP)
472              || (subsys == NETTL_SUBSYS_NS_LS_TCP)
473              || (subsys == NETTL_SUBSYS_NS_LS_SCTP)
474              || (subsys == NETTL_SUBSYS_NS_LS_IPV6)) {
475                 phdr->pkt_encap = WTAP_ENCAP_NETTL_RAW_IP;
476             } else if (subsys == NETTL_SUBSYS_NS_LS_ICMP) {
477                 phdr->pkt_encap = WTAP_ENCAP_NETTL_RAW_ICMP;
478             } else if (subsys == NETTL_SUBSYS_NS_LS_ICMPV6) {
479                 phdr->pkt_encap = WTAP_ENCAP_NETTL_RAW_ICMPV6;
480             } else if (subsys == NETTL_SUBSYS_NS_LS_TELNET) {
481                 phdr->pkt_encap = WTAP_ENCAP_NETTL_RAW_TELNET;
482             } else if( (subsys == NETTL_SUBSYS_HPPB_FDDI)
483                     || (subsys == NETTL_SUBSYS_EISA_FDDI)
484                     || (subsys == NETTL_SUBSYS_PCI_FDDI)
485                     || (subsys == NETTL_SUBSYS_HSC_FDDI) ) {
486                 phdr->pkt_encap = WTAP_ENCAP_NETTL_FDDI;
487             } else if( (subsys == NETTL_SUBSYS_PCI_TR)
488                     || (subsys == NETTL_SUBSYS_TOKEN) ) {
489                 phdr->pkt_encap = WTAP_ENCAP_NETTL_TOKEN_RING;
490             } else {
491                 phdr->pkt_encap = WTAP_ENCAP_NETTL_ETHERNET;
492             }
493
494             length = pntohl(&rec_hdr.length);
495             caplen = pntohl(&rec_hdr.caplen);
496
497             /* HPPB FDDI has different inbound vs outbound trace records */
498             if (subsys == NETTL_SUBSYS_HPPB_FDDI) {
499                 if (pntohl(&rec_hdr.kind) == NETTL_HDR_PDUIN) {
500                     /* inbound is very strange...
501                        there are an extra 3 bytes after the DSAP and SSAP
502                        for SNAP frames ???
503                     */
504                     *fddihack=TRUE;
505                     padlen = 0;
506                 } else {
507                     /* outbound appears to have variable padding */
508                     bytes_read = file_read(dummyc, 9, fh);
509                     if (bytes_read != 9) {
510                         *err = file_error(fh, err_info);
511                         if (*err == 0)
512                             *err = WTAP_ERR_SHORT_READ;
513                         return -1;
514                     }
515                     /* padding is usually either a total 11 or 16 bytes??? */
516                     padlen = (int)dummyc[8];
517                     if (file_seek(fh, padlen, SEEK_CUR, err) == -1)
518                         return -1;
519                     padlen += 9;
520                     offset += padlen;
521                 }
522             } else if ( (subsys == NETTL_SUBSYS_PCI_FDDI)
523                      || (subsys == NETTL_SUBSYS_EISA_FDDI)
524                      || (subsys == NETTL_SUBSYS_HSC_FDDI) ) {
525                 /* other flavor FDDI cards have an extra 3 bytes of padding */
526                 if (file_seek(fh, 3, SEEK_CUR, err) == -1)
527                     return -1;
528                 padlen = 3;
529                 offset += padlen;
530             } else if (subsys == NETTL_SUBSYS_NS_LS_LOOPBACK) {
531                 /* LOOPBACK has an extra 26 bytes of padding */
532                 if (file_seek(fh, 26, SEEK_CUR, err) == -1)
533                     return -1;
534                 padlen = 26;
535                 offset += padlen;
536             } else if (subsys == NETTL_SUBSYS_NS_LS_SCTP) {
537                 /*
538                  * SCTP 8 byte header that we will ignore...
539                  * 32 bit integer defines format
540                  *   1 = Log
541                  *   2 = ASCII
542                  *   3 = Binary (PDUs should be Binary format)
543                  * 32 bit integer defines type
544                  *   1 = Inbound
545                  *   2 = Outbound
546                  */
547                 if (file_seek(fh, 8, SEEK_CUR, err) == -1)
548                     return -1;
549                 padlen = 8;
550                 offset += padlen;   
551             } else {
552                 padlen = 0;
553             }
554             break;
555
556         case NETTL_SUBSYS_NS_LS_DRIVER :
557             /* XXX we dont know how to identify this as ethernet frames, so
558                we assumes everything is. We will crash and burn for anything else */
559             /* for encapsulated 100baseT we do this */
560             phdr->pkt_encap = WTAP_ENCAP_NETTL_ETHERNET;
561             bytes_read = file_read(&drv_eth_hdr, NS_LS_DRV_ETH_HDR_LEN, fh);
562             if (bytes_read != NS_LS_DRV_ETH_HDR_LEN) {
563                 *err = file_error(fh, err_info);
564                 if (*err == 0)
565                     *err = WTAP_ERR_SHORT_READ;
566                 return -1;
567             }
568             offset += NS_LS_DRV_ETH_HDR_LEN;
569
570             length = pntohs(&drv_eth_hdr.length); 
571             caplen = pntohs(&drv_eth_hdr.caplen);
572             /*
573              * XXX - is there a length field that would give the length
574              * of this header, so that we don't have to check for
575              * nettl files from HP-UX 11?
576              *
577              * And what are the extra two bytes?
578              */
579             if (nettl->is_hpux_11) {
580                 if (file_seek(fh, 2, SEEK_CUR, err) == -1) return -1;
581                 offset += 2;
582             }
583             padlen = 0;
584             break;
585
586         case NETTL_SUBSYS_SX25L2:
587         case NETTL_SUBSYS_SX25L3:
588             /*
589              * XXX - is the 24-byte padding actually a header with
590              * packet lengths, time stamps, etc., just as is the case
591              * for NETTL_SUBSYS_NS_LS_DRIVER?  It might be
592              *
593              *    guint8        caplen[2];
594              *    guint8        length[2];
595              *    guint8        xxc[4];
596              *    guint8        sec[4];
597              *    guint8        usec[4];
598              *    guint8        xxd[4];
599              *
600              * or something such as that - if it has 4 bytes before that
601              * (making it 24 bytes), it'd be like struct
602              * nettlrec_ns_ls_drv_eth_hdr but with 2 more bytes at the end.
603              *
604              * And is "from_dce" at xxa[0] in the nettlrec_hdr structure?
605              */
606             phdr->pkt_encap = WTAP_ENCAP_NETTL_X25;
607             length = pntohl(&rec_hdr.length);
608             caplen = pntohl(&rec_hdr.caplen);
609             padlen = 24;        /* sizeof (struct nettlrec_sx25l2_hdr) - NETTL_REC_HDR_LEN + 4 */
610             if (file_seek(fh, padlen, SEEK_CUR, err) == -1)
611                 return -1;
612             offset += padlen;
613             break;
614
615         default:
616             /* We're going to assume it's ethernet if we don't recognize the
617                subsystem -- We'll probably spew junks and core if it isn't... */
618             wth->file_encap = WTAP_ENCAP_PER_PACKET;
619             phdr->pkt_encap = WTAP_ENCAP_NETTL_ETHERNET;
620             length = pntohl(&rec_hdr.length);
621             caplen = pntohl(&rec_hdr.caplen);
622             padlen = 0;
623             break;
624     }
625
626     if (length < padlen) {
627         *err = WTAP_ERR_BAD_RECORD;
628         *err_info = g_strdup_printf("nettl: packet length %u in record header too short, less than %u",
629             length, padlen);
630         return -1;
631     }
632     phdr->len = length - padlen;
633     if (caplen < padlen) {
634         *err = WTAP_ERR_BAD_RECORD;
635         *err_info = g_strdup_printf("nettl: captured length %u in record header too short, less than %u",
636             caplen, padlen);
637         return -1;
638     }
639     phdr->caplen = caplen - padlen;
640     phdr->ts.secs = pntohl(&rec_hdr.sec);
641     phdr->ts.nsecs = pntohl(&rec_hdr.usec) * 1000;
642
643     pseudo_header->nettl.subsys   = subsys;
644     pseudo_header->nettl.devid    = pntohl(&rec_hdr.devid);
645     pseudo_header->nettl.kind     = pntohl(&rec_hdr.kind);
646     pseudo_header->nettl.pid      = pntohl(&rec_hdr.pid);
647     pseudo_header->nettl.uid      = pntohs(&rec_hdr.uid);
648
649     return offset;
650 }
651
652 static gboolean
653 nettl_read_rec_data(FILE_T fh, guint8 *pd, int length, int *err,
654         gchar **err_info, gboolean fddihack)
655 {
656     int bytes_to_read, bytes_read;
657     guint8 dummy[3];
658
659     if (fddihack) {
660         /* read in FC, dest, src, DSAP and SSAP */
661         bytes_to_read = 15;
662         if (bytes_to_read > length)
663             bytes_to_read = length;
664         bytes_read = file_read(pd, bytes_to_read, fh);
665         if (bytes_read != bytes_to_read) {
666             if (*err == 0)
667                 *err = WTAP_ERR_SHORT_READ;
668             return FALSE;
669         }
670         length -= bytes_read;
671         if (length == 0) {
672                 /* There's nothing past the FC, dest, src, DSAP and SSAP */
673                 return TRUE;
674         }
675         if (pd[13] == 0xAA) {
676             /* it's SNAP, have to eat 3 bytes??? */
677             bytes_to_read = 3;
678             if (bytes_to_read > length)
679                 bytes_to_read = length;
680             bytes_read = file_read(dummy, bytes_to_read, fh);
681             if (bytes_read != bytes_to_read) {
682                 if (*err == 0)
683                     *err = WTAP_ERR_SHORT_READ;
684                 return FALSE;
685             }
686             length -= bytes_read;
687             if (length == 0) {
688                 /* There's nothing past the FC, dest, src, DSAP, SSAP, and 3 bytes to eat */
689                 return TRUE;
690             }
691         }
692         bytes_read = file_read(pd + 15, length, fh);
693     } else
694         bytes_read = file_read(pd, length, fh);
695
696     if (bytes_read != length) {
697         *err = file_error(fh, err_info);
698         if (*err == 0)
699             *err = WTAP_ERR_SHORT_READ;
700         return FALSE;
701     }
702     return TRUE;
703 }
704
705
706 /* Returns 0 if we could write the specified encapsulation type,
707    an error indication otherwise.  nettl files are WTAP_ENCAP_UNKNOWN
708    when they are first opened, so we allow that for tshark read/write.
709  */
710
711 int nettl_dump_can_write_encap(int encap)
712 {
713
714         switch (encap) {
715                 case WTAP_ENCAP_ETHERNET:
716                 case WTAP_ENCAP_FDDI_BITSWAPPED:
717                 case WTAP_ENCAP_TOKEN_RING:
718                 case WTAP_ENCAP_NETTL_ETHERNET:
719                 case WTAP_ENCAP_NETTL_FDDI:
720                 case WTAP_ENCAP_NETTL_TOKEN_RING:
721                 case WTAP_ENCAP_NETTL_RAW_IP:
722                 case WTAP_ENCAP_NETTL_RAW_ICMP:
723                 case WTAP_ENCAP_NETTL_RAW_ICMPV6:
724                 case WTAP_ENCAP_NETTL_RAW_TELNET:
725 /*
726                 case WTAP_ENCAP_NETTL_X25:
727 */
728                 case WTAP_ENCAP_PER_PACKET:
729                 case WTAP_ENCAP_UNKNOWN:
730                 case WTAP_ENCAP_NETTL_UNKNOWN:
731                         return 0;
732                 default:
733                         return WTAP_ERR_UNSUPPORTED_ENCAP;
734         }
735 }
736
737
738 /* Returns TRUE on success, FALSE on failure;
739    sets "*err" to an error code on failure */
740 gboolean nettl_dump_open(wtap_dumper *wdh, int *err)
741 {
742         struct nettl_file_hdr file_hdr;
743
744         /* This is a nettl file */
745         wdh->subtype_write = nettl_dump;
746         wdh->subtype_close = NULL;
747
748         /* Write the file header. */
749         memset(&file_hdr,0,sizeof(file_hdr));
750         memcpy(file_hdr.magic,nettl_magic_hpux10,sizeof(file_hdr.magic));
751         g_strlcpy(file_hdr.file_name,"/tmp/wireshark.TRC000",NETTL_FILENAME_SIZE);
752         g_strlcpy(file_hdr.tz,"UTC",20);
753         g_strlcpy(file_hdr.host_name,"",9);
754         g_strlcpy(file_hdr.os_vers,"B.11.11",9);
755         file_hdr.os_v=0x55;
756         g_strlcpy(file_hdr.model,"9000/800",11);
757         file_hdr.unknown=g_htons(0x406);
758         if (!wtap_dump_file_write(wdh, &file_hdr, sizeof file_hdr, err))
759                 return FALSE;
760         wdh->bytes_dumped += sizeof(file_hdr);
761
762         return TRUE;
763 }
764
765 /* Write a record for a packet to a dump file.
766    Returns TRUE on success, FALSE on failure. */
767 static gboolean nettl_dump(wtap_dumper *wdh,
768         const struct wtap_pkthdr *phdr,
769         const union wtap_pseudo_header *pseudo_header _U_,
770         const guint8 *pd, int *err)
771 {
772         struct nettlrec_hdr rec_hdr;
773         guint8 dummyc[24];
774
775         memset(&rec_hdr,0,sizeof(rec_hdr));
776         /* HP-UX 11.X header should be 68 bytes */
777         rec_hdr.hdr_len = g_htons(sizeof(rec_hdr) + 4);
778         rec_hdr.kind = g_htonl(NETTL_HDR_PDUIN);
779         rec_hdr.sec = g_htonl(phdr->ts.secs);
780         rec_hdr.usec = g_htonl(phdr->ts.nsecs/1000);
781         rec_hdr.caplen = g_htonl(phdr->caplen);
782         rec_hdr.length = g_htonl(phdr->len);
783         rec_hdr.devid = -1;
784         rec_hdr.pid = -1;
785         rec_hdr.uid = -1;
786
787         switch (phdr->pkt_encap) {
788
789                 case WTAP_ENCAP_NETTL_FDDI:
790                         /* account for pad bytes */
791                         rec_hdr.caplen = g_htonl(phdr->caplen + 3);
792                         rec_hdr.length = g_htonl(phdr->len + 3);
793                         /* fall through and fill the rest of the fields */
794                 case WTAP_ENCAP_NETTL_ETHERNET:
795                 case WTAP_ENCAP_NETTL_TOKEN_RING:
796                 case WTAP_ENCAP_NETTL_RAW_IP:
797                 case WTAP_ENCAP_NETTL_RAW_ICMP:
798                 case WTAP_ENCAP_NETTL_RAW_ICMPV6:
799                 case WTAP_ENCAP_NETTL_RAW_TELNET:
800                 case WTAP_ENCAP_NETTL_UNKNOWN:
801                         rec_hdr.subsys = g_htons(pseudo_header->nettl.subsys);
802                         rec_hdr.devid = g_htonl(pseudo_header->nettl.devid);
803                         rec_hdr.kind = g_htonl(pseudo_header->nettl.kind);
804                         rec_hdr.pid = g_htonl(pseudo_header->nettl.pid);
805                         rec_hdr.uid = g_htons(pseudo_header->nettl.uid);
806                         break;
807
808                 case WTAP_ENCAP_RAW_IP:
809                         rec_hdr.subsys = g_htons(NETTL_SUBSYS_NS_LS_IP);
810                         break;
811
812                 case WTAP_ENCAP_ETHERNET:
813                         rec_hdr.subsys = g_htons(NETTL_SUBSYS_BTLAN);
814                         break;
815
816                 case WTAP_ENCAP_FDDI_BITSWAPPED:
817                         rec_hdr.subsys = g_htons(NETTL_SUBSYS_PCI_FDDI);
818                         /* account for pad bytes */
819                         rec_hdr.caplen = g_htonl(phdr->caplen + 3);
820                         rec_hdr.length = g_htonl(phdr->len + 3);
821                         break;
822
823                 case WTAP_ENCAP_TOKEN_RING:
824                         rec_hdr.subsys = g_htons(NETTL_SUBSYS_PCI_TR);
825                         break;
826 /*      
827                 case WTAP_ENCAP_NETTL_X25:
828                         rec_hdr.caplen = g_htonl(phdr->caplen + 24);
829                         rec_hdr.length = g_htonl(phdr->len + 24);
830                         rec_hdr.subsys = g_htons(pseudo_header->nettl.subsys);
831                         rec_hdr.devid = g_htonl(pseudo_header->nettl.devid);
832                         rec_hdr.kind = g_htonl(pseudo_header->nettl.kind);
833                         rec_hdr.pid = g_htonl(pseudo_header->nettl.pid);
834                         rec_hdr.uid = g_htons(pseudo_header->nettl.uid);
835                         break;
836 */
837                 default:
838                         /* found one we don't support */
839                         *err = WTAP_ERR_UNSUPPORTED_ENCAP;
840                         return FALSE;
841         }
842
843         if (!wtap_dump_file_write(wdh, &rec_hdr, sizeof(rec_hdr), err))
844                 return FALSE;
845         wdh->bytes_dumped += sizeof(rec_hdr);
846
847         /* Write out 4 extra bytes of unknown stuff for HP-UX11
848          * header format.
849          */
850         memset(dummyc, 0, sizeof dummyc);
851         if (!wtap_dump_file_write(wdh, dummyc, 4, err))
852                 return FALSE;
853         wdh->bytes_dumped += 4;
854
855         if ((phdr->pkt_encap == WTAP_ENCAP_FDDI_BITSWAPPED) ||
856             (phdr->pkt_encap == WTAP_ENCAP_NETTL_FDDI)) {
857                 /* add those weird 3 bytes of padding */
858                 if (!wtap_dump_file_write(wdh, dummyc, 3, err))
859                         return FALSE;
860                 wdh->bytes_dumped += 3;
861         }
862 /*
863         } else if (phdr->pkt_encap == WTAP_ENCAP_NETTL_X25) {
864                 if (!wtap_dump_file_write(wdh, dummyc, 24, err))
865                         return FALSE;
866                 wdh->bytes_dumped += 24;
867         }
868 */
869
870         /* write actual PDU data */
871
872         if (!wtap_dump_file_write(wdh, pd, phdr->caplen, err))
873                 return FALSE;
874         wdh->bytes_dumped += phdr->caplen;
875
876         return TRUE;
877 }