Discussion :

[darknight]

Bonjours,

J'ai un problème concernant l'enregistrement des paquets dans 1 fichier .pcap. Je l'ai fait de 2 façons différentes :

1e : Je capture les paquets et les enregistre en même temps dans 1 fichier toto.pcap

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
/* callback function */

void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data)
{
if (msg is TCP,....) {pcap_dump(dumpfile,header,pkt_data;}
//dumpfile est le pointer vers le fichier ouvert toto.pcap
}

2e : Je capture les paquets, les sauvegarde dans 1 buffer et à la fin, je lis le buffer puis enregistre tous ses contenus dans toto.pcap

La 1ere methode marche bien, par contre, quand j'ouvre le fichier toto.pcap obtenu par la 2e methode (par ethereal), j'ai toujours cette erreur :

"The capture file appears to be damaged or corrupt.
(pcap: File has 1414942806-byte packet, bigger than maximum of 65535)"

J'ai verifie la taille des paquets reçus par ethereal, il n'y en a aucun dont la taille dépasse 65535 BITS

Est-ce que vous avez une idée? Merci

[ced600]

Peut être que d'autres choses viennent ce coller dans ton buffer, des messages parasites, autre que ceux que tu interceptes.