Format des logs Pcap / TcpDump

Version imprimable

13/01/2005, 00h05
Kikx

Format des logs Pcap / TcpDump

Bonjour et coucou steak si tu me lis :)

Bref ...

Je suis en train de faire un sniffer et j'aurai besoin d'aide sur la librairie pcap (ou plus exactement winpcap pour ma part mais bon c'est la meme chose)

il fonctionne pas mal pour l'instant mais le soucis que j'ai c'est la lecture du fichier de log (parsage)

Apres analyse, j'ai trouvé comme un grand que les 24 premiers bytes sont le headers du fichier de log puis viennent les paquets précédés de 16 bytes de header propres a chaque paquet (bref leur taille, le timestamp, ...)

Mais ca c'est bien mais je me pose 2 questions :
1/ Est ce standard a toutes les versions de pcap ? (sinon je suis dans la merde :))
2/ Est ce que quelqu'un connait l'exact signification des bytes des differents headers

J'ai bien cherché sur le net mais j'ai rien trouvé (et pourtant google est mon ami...)

Merci a tous de vos réponses

PS : je pense que je suis sur le bon forum mais m'en veuillez pas si je me suis gourré car c'est mon premier post ici sur les conseils de steak (d'ailleurs ca a l'air pas mal du tout ... :))
13/01/2005, 00h21
Steki-kun

Re: Format des logs Pcap / TcpDump

Citation:

Envoyé par Kikx

Bonjour et coucou steak si tu me lis :)
j'm'appelle Steki-kun ici, kikxounet !

Citation:

PS : je pense que je suis sur le bon forum mais m'en veuillez pas si je me suis gourré car c'est mon premier post ici sur les conseils de steak (d'ailleurs ca a l'air pas mal du tout ... :))

non mais! je t'ai jamais dit de poster sur 'c++' !! d'ailleurs je pense que t'aurais dû poster ailleurs, y'a des forums aux topics bcp plus précis :) et puis pas de nom à la radio... :)
13/01/2005, 00h28
Kikx

Re: Format des logs Pcap / TcpDump

Citation:

Envoyé par Steki-kun

j'm'appelle Steki-kun ici, kikxounet !

oups :)

Citation:

Envoyé par Steki-kun

non mais! je t'ai jamais dit de poster sur 'c++' !! d'ailleurs je pense que t'aurais dû poster ailleurs, y'a des forums aux topics bcp plus précis :) et puis pas de nom à la radio... :)

Ben je vois pas trop justement :(
c'est quand meme un sniffer c++
13/01/2005, 10h36
Fry

oui sur la doc de winpcap... :D

http://winpcap.polito.it/docs/man/html/index.html

et il me semble que cet entete ajouter a chaque trame capture est aussi ajoute avec libpcap (mais je suis pas sur)
13/01/2005, 11h32
Kikx

Moi je veux bien mais je trouve toujours pas cette fameuse structure ...
je dois etre donc doué comme un pied mais la je coinche ... :roll:

Je parle bien de la structure de stockage des paquets :!:
13/01/2005, 14h15
Fry
c est dans la le lien que je t ai passe

tu recuperer tes trames avec une fonction de callback:
Code:

1 2 3 //Appel de la fonction de callback pcap_loop(adhandle, 0, packet_handler, NULL);
Fonction ou tu recupere tes trames
Code:

1 2 void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data)
en fait header va contenir les infos de la trame comme la date et la taille
et pkt_data va contenir ta trame (les octets) les 6 premiers octet de pkt_data sont une adresse mac et ainsi de suite...
le header contien la date et la taille de la trame
13/01/2005, 15h38
Kikx

Citation:

Envoyé par Fry

en fait header va contenir les infos de la trame comme la date et la taille
et pkt_data va contenir ta trame (les octets) les 6 premiers octet de pkt_data sont une adresse mac et ainsi de suite...
le header contien la date et la taille de la trame

Ahhhhhhhhhhhhhhhhhhhhhhh

Je crois qu'on s'est mal compris ...
Nan c'est bon je maitrise correctement ces fonctions c'est pas le problème ici...

J'essaye d'etre plus clair :P
Je lit correctemnt les paquets "en live" mais l'interet pour moi c'est de stocker certaine info en ram dans un liste mais je vais quand meme pas tout stocké en ram ... sinon ca risque d'exploser ...
Donc l'idée c'est que je stocke les infos les plus importantes en liste comme l'ip et les macs et je stock aussi un offset qui pointe vers le debut paquet dans le fichier de log

Comme ca c'est rapide pour y acceder et tout et tout

Le problème est donc pour le calcul de cette offset, j'ai trouvé une "loi empirique" qui fonctionne actuelementet que j'ai cité plus haut mais je ne suis absolument pas sur que cette loi est generique pour toute les versions de pcap ...

voila voila ...

est que j'ai été plus clair la ?

désolé c'est un peu pointu comme question :(
14/01/2005, 09h55
Fry

en fait le dump dans le fichier est coder par toi ou tu utilise les fonctions de winpcap?

j'utilise les fonctions de winpcap stocker ...
voici let de code que j'utilise

Code:

1
2
3
4
5
6
7
8
9
 
while((res=pcap_next_ex(fp,&header,(const u_char**) &pkt_data))>= 0){
     if(res != 0) { // le timeout n'est pas arrivé
         pcap_dump((u_char*) fpd, header, pkt_data);
     }
     if (sniffThread.etat==DEMANDE_FERMETURE) {
         break ;
     }
}

voilà
le but est qd meme de garder un fichier portable ...

28/09/2006, 10h41
fabaix

libpcapnav

Pour ceux que ça interresse, il existe la librairie libpcapnav qui possède de nombreuses fonctions déjà implémentées permetant d'utiliser un fichier pcap. Je l'ai utilisé et elle est vraiment simple d'utilisation.
( Il existe aussi la libnetdude )

lien : http://netdude.sourceforge.net/