Discussion :

[totoz]

bonjour!!
je suis en train de developper une application c sous unix qui permet l'archivage
des fichiers pcap a partir des fichiers pcap et ceci par session
c'est à dire que je vait decouper mon fichier pcap en sous fichier pcap
chacun correspodant a une session (ou un seul stream)
mais j'arrive pas a recuperer ces données
j'ai costater que wireshark peut faire ce filtrage
mais j'ai pas trouvé la solution avec C
Et je ne sais pas comment creer un pcap a partir du premier!!!!

[ram-0000]

Tu as un double problème à résoudre

D'abord tu dois connaitre le format des fichiers pcap afin de savoir les lire et en créer de nouveaux. Wireshark sait effectivement le faire, tu dois savoir faire la même chose. Wireshark étant un programme GPL, le format du fichier doit pouvoir être trouvé assez facilement (j'ai pas d'idées sur ce sujet).

Ensuite, une fois que tu sais lire les fichiers pcap, il faut interpréter les données contenues dedans et savoir reconstituer les flux de protocoles. Là, il n'y a pas de secret, il faut connaitre les protocoles que tu veux analyser (HTTP, Netbios, FTP, ...) et mettre les mains dans le camboui.

Une autre piste, il y a peut être une API ou un ActiveX wireshark pour t'aider.

En tout cas, il n'y a rien de tout fait en C pour t'aider.

[totoz]

merci mé je veut savoir si la bibliothèque libpcap ou pcap.h
permet de faire le filtre que fait wireshark afin de decomposer le fichier pcap
par stream et comment je pourrai le faire
et si c'est possible pourrai-je avoire un petit aide sur le format du fichier pcap
pour pouvoir en creer un autre avec C

[Mac LAK]

Format des fichiers PCAP... Toutefois, si tu utilises la libpcap correctement, tu te contrefiche du format interne PCAP, la librairie le lira / écrira pour toi. Pour ma part, je ne tripote manuellement les fichiers .PCAP que si je dois générer des erreurs...

Pour le reste, il faut :

• Filtrer un fichier PCAP en l'ouvrant (pcap_open_offline),
• Configurer un filtre BPF dessus (pcap_compile + pcap_setfilter),
• Créer un deuxième canal pcap (pcap_open_dead), et un dumper dessus (pcap_dump_open) pour sauvegarder les données.
• Faire un pcap_loop + pcap_dump pour filtrer le premier fichier pcap vers le second.
• Fermer tout ce qui a été ouvert, le filtrage est terminé.

Dans tous les cas, épluchage de la documentation pcap obligatoire.

Pour fusionner deux fichiers PCAP, par exemple, tu ouvres un dumper, le premier .pcap, tu le vides, tu fermes le fichier pcap SANS fermer le dumper, puis tu recommences avec tous les autres fichiers .pcap requis. Tu ne fermera le dumper qu'à la fin de la fusion.

[ram-0000]

Format des fichiers PCAP...

Le lien semble HS !!

Par contre, si la libpcap sait lire ces fichiers (et écrire ?), pas d'hésitation effectivement, il faut utiliser la libpcap.

[Mac LAK]

Le lien semble HS !!

Gni ??? Non, il marche, je viens de re-tester... Filtrage de firewall, peut-être ?

Par contre, si la libpcap sait lire ces fichiers (et écrire ?), pas d'hésitation effectivement, il faut utiliser la libpcap.

Ben... "libpcap", ".pcap", y'a quand même relation de cause à effet, hein...