Discussion :

[Kikx]

Bonjour et coucou steak si tu me lis

Bref ...

Je suis en train de faire un sniffer et j'aurai besoin d'aide sur la librairie pcap (ou plus exactement winpcap pour ma part mais bon c'est la meme chose)

il fonctionne pas mal pour l'instant mais le soucis que j'ai c'est la lecture du fichier de log (parsage)

Apres analyse, j'ai trouv� comme un grand que les 24 premiers bytes sont le headers du fichier de log puis viennent les paquets pr�c�d�s de 16 bytes de header propres a chaque paquet (bref leur taille, le timestamp, ...)


Mais ca c'est bien mais je me pose 2 questions :
1/ Est ce standard a toutes les versions de pcap ? (sinon je suis dans la merde )
2/ Est ce que quelqu'un connait l'exact signification des bytes des differents headers

J'ai bien cherch� sur le net mais j'ai rien trouv� (et pourtant google est mon ami...)

Merci a tous de vos r�ponses

PS : je pense que je suis sur le bon forum mais m'en veuillez pas si je me suis gourr� car c'est mon premier post ici sur les conseils de steak (d'ailleurs ca a l'air pas mal du tout ... )

[Steki-kun]

Bonjour et coucou steak si tu me lis
j'm'appelle Steki-kun ici, kikxounet !

PS : je pense que je suis sur le bon forum mais m'en veuillez pas si je me suis gourr� car c'est mon premier post ici sur les conseils de steak (d'ailleurs ca a l'air pas mal du tout ... )

non mais! je t'ai jamais dit de poster sur 'c++' !! d'ailleurs je pense que t'aurais d� poster ailleurs, y'a des forums aux topics bcp plus pr�cis et puis pas de nom � la radio...

[Kikx]

j'm'appelle Steki-kun ici, kikxounet !

oups

non mais! je t'ai jamais dit de poster sur 'c++' !! d'ailleurs je pense que t'aurais d� poster ailleurs, y'a des forums aux topics bcp plus pr�cis et puis pas de nom � la radio...

Ben je vois pas trop justement
c'est quand meme un sniffer c++

[Fry]

oui sur la doc de winpcap...

http://winpcap.polito.it/docs/man/html/index.html

et il me semble que cet entete ajouter a chaque trame capture est aussi ajoute avec libpcap (mais je suis pas sur)

[Kikx]

Moi je veux bien mais je trouve toujours pas cette fameuse structure ...
je dois etre donc dou� comme un pied mais la je coinche ...

Je parle bien de la structure de stockage des paquets

[Fry]

c est dans la le lien que je t ai passe

tu recuperer tes trames avec une fonction de callback:

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
 
//Appel de la fonction de callback
    pcap_loop(adhandle, 0, packet_handler, NULL);

Fonction ou tu recupere tes trames

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
 
void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data)

en fait header va contenir les infos de la trame comme la date et la taille
et pkt_data va contenir ta trame (les octets) les 6 premiers octet de pkt_data sont une adresse mac et ainsi de suite...
le header contien la date et la taille de la trame

[Kikx]

en fait header va contenir les infos de la trame comme la date et la taille
et pkt_data va contenir ta trame (les octets) les 6 premiers octet de pkt_data sont une adresse mac et ainsi de suite...
le header contien la date et la taille de la trame

Ahhhhhhhhhhhhhhhhhhhhhhh

Je crois qu'on s'est mal compris ...
Nan c'est bon je maitrise correctement ces fonctions c'est pas le probl�me ici...

J'essaye d'etre plus clair
Je lit correctemnt les paquets "en live" mais l'interet pour moi c'est de stocker certaine info en ram dans un liste mais je vais quand meme pas tout stock� en ram ... sinon ca risque d'exploser ...
Donc l'id�e c'est que je stocke les infos les plus importantes en liste comme l'ip et les macs et je stock aussi un offset qui pointe vers le debut paquet dans le fichier de log

Comme ca c'est rapide pour y acceder et tout et tout

Le probl�me est donc pour le calcul de cette offset, j'ai trouv� une "loi empirique" qui fonctionne actuelementet que j'ai cit� plus haut mais je ne suis absolument pas sur que cette loi est generique pour toute les versions de pcap ...

voila voila ...

est que j'ai �t� plus clair la ?

d�sol� c'est un peu pointu comme question

[Fry]

en fait le dump dans le fichier est coder par toi ou tu utilise les fonctions de winpcap?

[Kikx]

j'utilise les fonctions de winpcap stocker ...
voici let de code que j'utilise

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
8
9
 
while((res=pcap_next_ex(fp,&header,(const u_char**) &pkt_data))>= 0){
     if(res != 0) { // le timeout n'est pas arrivé
         pcap_dump((u_char*) fpd, header, pkt_data);
     }
     if (sniffThread.etat==DEMANDE_FERMETURE) {
         break ;
     }
}

voil�
le but est qd meme de garder un fichier portable ...

[fabaix]

Pour ceux que �a interresse, il existe la librairie libpcapnav qui poss�de de nombreuses fonctions d�j� impl�ment�es permetant d'utiliser un fichier pcap. Je l'ai utilis� et elle est vraiment simple d'utilisation.
( Il existe aussi la libnetdude )

lien : http://netdude.sourceforge.net/