Discussion :

[qhardy]

Bonjour à tous,

Je veux réaliser un programme qui lit dans un fichier pcap produit par wireshark. Lorsque je l'aurai lu , je ferai des traitement dessus en Java, surtout des statistiques. Ex: pourcentage de visite de page web comme google.

Cependant il m'est impossible , pour l'instant, de lire ce type de fichier en ayant passé toute la journée d'hier à lire des pages web comme :
- http://www.winpcap.org/ntar/draft/PC...ormat.html#toc
- http://wiki.wireshark.org/Development/LibpcapFileFormat
...
- http://dnasystem.sourceforge.net/doc...p/javacap.html

J'ai lu un code C expliquant la facon de lire ce type de fichier sans bien comprendre comment recuperer l'ENSEMBLE des données contenu dans un paquet :
- http://www.bortzmeyer.org/libpcap-c.html

En ayant lu ces pages, je suis un peu (beaucoup) perdu. Peut etre par manque d'experience en programmation. J'ai déja réalisé ce type de travail en c mais en passant par un fichier texte recuperé via wireshark, contenant bien entendu tous les paquets que je voulais.

Ma question est plutot simple, en apparence. Comment lire un fichier .pcap en java? (peut etre en utilisant javacap)
Quel structure (pour traiter du C) doit -je utiliser pour lire ce type de fichier?
Ou trouver la librairie javacap?

Merci à tous d'avance de l'aide apportée.

[qhardy]

Bonjour à tous,

J'ai un peu avancé par rapport à hier.
J'ai trouvé les sources de javacap sur ce site : http://dnasystem.sourceforge.net. J'ai bien entendu installé cette librairie. Je trouve pour autant que cette librairie (javacap) n'est pas super super: Il manque pas mal de chose dans la documentation et il manque beaucoup de méthode par rapport au fonctions c contenu dans pcap. Mais bon , la n'est pas le probleme...

J'ai réussi à lire quelque parti d'un fichier .pcap. Mais pas tout. Je n'arrive pas a recuperer le destinataire , la source et l'heure de recuperation des paquets concernés. >Exemple de ce que je peux récuperer avec la méthode readFileNextPaquet() et en affichant les données avec getData() :

E ç:Ï@ € #,À¨ CWb€ÈÄP P” ¡ nÓ8ZP Œ ½ G GET /forums/...
Accept: */*
Referer: http://www.developpez.net/forums/f40...-java/apis/io/
Accept-Language: fr
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30618; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)
Accept-Encoding: gzip, deflate
If-Modified-Since: Sun, 06 Sep 2009 13:14:07 GMT
If-None-Match: "3114484710"
Host: www.developpez.net
Connection: Keep-Alive
Cookie: bbla ....

Comment puis-je lire cette premiere ligne correctement pour recuperer adresse source et destination, heure recuperation ?
Comment puis-je recuperer d'autre information sur le paquet recuperé comme les adresses Mac, le nom des routeurs , les ports... ?

Je ne vois pas du tout comment recuperer ces dernieres données avec javacap (http://dnasystem.sourceforge.net/doc...p/javacap.html).

Je vous remerci d'avance pour votre aide et bonne journée.

[tchize_]

le format pcap sont prévu pour stocker des paquets ethernet. Ensuite, pour lire les informatiosn de haut niveau, il faut utiliser les spécification de ces différente couche. Pour lire un paquet IP, par exemple, tu devra utiliser les spécification en question, ca te permettra de lire les entete IP de ton data et son payload. Le payload en question, tu devra probablement le faire passer dans un filtre TCP, si c'est un paquet TCP, pour connaitre les ports concernés. Etc.

Bref, les données dans le fichier de capture sont brutes, a toi de traiter les différents niveau, je ne je suis pas sur que ce soit le boulot de la libpcap java de faire l'intreprétation.... Si comme je le pense cette librairie est un wrapper autour de la libpcap native, son boulot est de te permettre de sniffer des paquets ethernet, c'est tout.

[qhardy]

Merci pour ces informations, je vai étudier ta réponse.

[qhardy]

Bonjour à tous

J'ai etudié le sujet. J'ai changé de librairie après 2 jours avec JavaCap. J'utilise maintenant jnetpcap: elle est beaucoup plus facile a utiliser et beaucoup plus complete. http://jnetpcap.com/

J'ai réussi a recuperer les adresses MAC (couche Ethernet), IP( couche IP), et la date de récuperation du paquet sans problèmes car de bonnes explications et de bons exemples. Je ne vai pas mettre de code , très bien expliqué ici : http://jnetpcap.com/examples

Cependant je n'arrive pas a recuperer les ports et surtout je ne sais pas comment connaitre le protocol utilisé. Ces données sont , je crois, dans la couche transport.

Est ce que quelqu'un pourrait me mettre sur la voie ?

Je remercie par avance ceux qui m'aideront et bonne soirée à tous.

[tchize_]

Les ports sont dans la couche TCP ou UDP, en dessous de la couche IP. La couche IP contient un numéro de protocole permettant de différencier entre TCP, UDP et ICMP.

Si tu cherche à savoir si il s'agit d'un protocole http, ftp ou autre, ce n'est nulle part dans la trame, il est supposé que le serveur et le client à chaque bout de TCP ou UDP sait quel protocole il doit parler.

[qhardy]

Bonjour à tous et merci pour la réponse.

J'ai résolu tous mes problèmes. Cette librairie est vraiment bien faites.

En vous remerciant , très bonne après midi.

[soshelpvb]

Bonjour,

Je remonte ce sujet car actuellement je travaille sur le même problème ( l'ouverture et la lecture d'un fichier pcap en java ) je voudrais avoir vos avis si possible et aussi les démarches suivis pour résoudre ce problème .

Merci

[soshelpvb]

up

[francisyuya]

Bonjour à tous, je suis conscient que la discussion a été close mais je suis confronté au même problème et j'ai pas trouvé de solution jusqu'à présent.

pour un début j'aimerai pouvoir ouvrir un fichier .pcap avant de chercher plus tard comment extraire des informations.

Merci d'avance.

[joel.drigo]

La réponse est dans le message #5 !

[francisyuya]

Merci Joel pour cette réponse.
J'ai exploré ce qui a été dit dans le message #5 et à présent je sais lire des paquets d'un fichier .pcap et extraire des informations de bases tels que les adresses IP/MAC sources et destinations.
A présent j'aimerai savoir si il est possible d'extraire de ces paquets les coordonnées de géolocalisation ? Si oui un indice pour me guider s'il vous plait.

Merci