Discussion :

[Kikx]

Bonjour et coucou steak si tu me lis

Bref ...

Je suis en train de faire un sniffer et j'aurai besoin d'aide sur la librairie pcap (ou plus exactement winpcap pour ma part mais bon c'est la meme chose)

il fonctionne pas mal pour l'instant mais le soucis que j'ai c'est la lecture du fichier de log (parsage)

Apres analyse, j'ai trouvé comme un grand que les 24 premiers bytes sont le headers du fichier de log puis viennent les paquets précédés de 16 bytes de header propres a chaque paquet (bref leur taille, le timestamp, ...)


Mais ca c'est bien mais je me pose 2 questions :
1/ Est ce standard a toutes les versions de pcap ? (sinon je suis dans la merde )
2/ Est ce que quelqu'un connait l'exact signification des bytes des differents headers

J'ai bien cherché sur le net mais j'ai rien trouvé (et pourtant google est mon ami...)

Merci a tous de vos réponses

PS : je pense que je suis sur le bon forum mais m'en veuillez pas si je me suis gourré car c'est mon premier post ici sur les conseils de steak (d'ailleurs ca a l'air pas mal du tout ... )

[Steki-kun]

Bonjour et coucou steak si tu me lis
j'm'appelle Steki-kun ici, kikxounet !

PS : je pense que je suis sur le bon forum mais m'en veuillez pas si je me suis gourré car c'est mon premier post ici sur les conseils de steak (d'ailleurs ca a l'air pas mal du tout ... )

non mais! je t'ai jamais dit de poster sur 'c++' !! d'ailleurs je pense que t'aurais dû poster ailleurs, y'a des forums aux topics bcp plus précis et puis pas de nom à la radio...

[Kikx]

j'm'appelle Steki-kun ici, kikxounet !

oups

non mais! je t'ai jamais dit de poster sur 'c++' !! d'ailleurs je pense que t'aurais dû poster ailleurs, y'a des forums aux topics bcp plus précis et puis pas de nom à la radio...

Ben je vois pas trop justement
c'est quand meme un sniffer c++

[Fry]

oui sur la doc de winpcap...

http://winpcap.polito.it/docs/man/html/index.html

et il me semble que cet entete ajouter a chaque trame capture est aussi ajoute avec libpcap (mais je suis pas sur)

[Kikx]

Moi je veux bien mais je trouve toujours pas cette fameuse structure ...
je dois etre donc doué comme un pied mais la je coinche ...

Je parle bien de la structure de stockage des paquets

[Fry]

c est dans la le lien que je t ai passe

tu recuperer tes trames avec une fonction de callback:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
//Appel de la fonction de callback
    pcap_loop(adhandle, 0, packet_handler, NULL);

Fonction ou tu recupere tes trames

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data)

en fait header va contenir les infos de la trame comme la date et la taille
et pkt_data va contenir ta trame (les octets) les 6 premiers octet de pkt_data sont une adresse mac et ainsi de suite...
le header contien la date et la taille de la trame

[Kikx]

en fait header va contenir les infos de la trame comme la date et la taille
et pkt_data va contenir ta trame (les octets) les 6 premiers octet de pkt_data sont une adresse mac et ainsi de suite...
le header contien la date et la taille de la trame

Ahhhhhhhhhhhhhhhhhhhhhhh

Je crois qu'on s'est mal compris ...
Nan c'est bon je maitrise correctement ces fonctions c'est pas le problème ici...

J'essaye d'etre plus clair
Je lit correctemnt les paquets "en live" mais l'interet pour moi c'est de stocker certaine info en ram dans un liste mais je vais quand meme pas tout stocké en ram ... sinon ca risque d'exploser ...
Donc l'idée c'est que je stocke les infos les plus importantes en liste comme l'ip et les macs et je stock aussi un offset qui pointe vers le debut paquet dans le fichier de log

Comme ca c'est rapide pour y acceder et tout et tout

Le problème est donc pour le calcul de cette offset, j'ai trouvé une "loi empirique" qui fonctionne actuelementet que j'ai cité plus haut mais je ne suis absolument pas sur que cette loi est generique pour toute les versions de pcap ...

voila voila ...

est que j'ai été plus clair la ?

désolé c'est un peu pointu comme question

[Fry]

en fait le dump dans le fichier est coder par toi ou tu utilise les fonctions de winpcap?

[Kikx]

j'utilise les fonctions de winpcap stocker ...
voici let de code que j'utilise

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
while((res=pcap_next_ex(fp,&header,(const u_char**) &pkt_data))>= 0){
     if(res != 0) { // le timeout n'est pas arrivé
         pcap_dump((u_char*) fpd, header, pkt_data);
     }
     if (sniffThread.etat==DEMANDE_FERMETURE) {
         break ;
     }
}

voilà
le but est qd meme de garder un fichier portable ...

[fabaix]

Pour ceux que ça interresse, il existe la librairie libpcapnav qui possède de nombreuses fonctions déjà implémentées permetant d'utiliser un fichier pcap. Je l'ai utilisé et elle est vraiment simple d'utilisation.
( Il existe aussi la libnetdude )

lien : http://netdude.sourceforge.net/