C - la Rédaction des structures dans un fichier (.ppce)

Je suis en train d'écrire une .fichier pcap, qui est quelque chose qui peut être utilisé dans Wireshark.
Pour ce faire, j'ai un couple de structures avec différents types de données j'ai besoin d'écrire dans un fichier. (voir le code)

Donc, j'ai créer la structure des instances, remplissez les données, utilisez FILE* fp = fopen("test.ppce","w"), et puis je suis pas sûr de la façon de bien l'écrire dans le fichier. Je crois que je dois utiliser memcpy mais je ne suis pas sûr de la meilleure façon de le faire. J'ai surtout eu recours à des bibliothèques C++ dans le passé pour ce faire. Des suggestions?

typedef struct pcap_hdr_s {
        uint32_t magic_number;   /* magic number */
        uint16_t version_major;  /* major version number */
        uint16_t version_minor;  /* minor version number */
        int32_t  thiszone;       /* GMT to local correction */
        uint32_t sigfigs;        /* accuracy of timestamps */
        uint32_t snaplen;        /* max length of captured packets, in octets */
        uint32_t network;        /* data link type */
} pcap_hdr_t;

typedef struct pcaprec_hdr_s {
   uint32_t ts_sec;         /* timestamp seconds */
   uint32_t ts_usec;        /* timestamp microseconds */
   uint32_t incl_len;       /* number of octets of packet saved in file */
   uint32_t orig_len;       /* actual length of packet */
} pcaprec_hdr_t;

typedef struct ethernet_hdr_s {
   uint8_t dst[6];    /* destination host address */
   uint8_t src[6];    /* source host address */
   uint16_t type;     /* IP? ARP? RARP? etc */
} ethernet_hdr_t;

typedef struct ip_hdr_s {
   uint8_t  ip_hl:4, /* both fields are 4 bits */
            ip_v:4;
   uint8_t        ip_tos;
   uint16_t       ip_len;
   uint16_t       ip_id;
   uint16_t       ip_off;
   uint8_t        ip_ttl;
   uint8_t        ip_p;
   uint16_t       ip_sum;
   uint32_t ip_src;
   uint32_t ip_dst;
}ip_hdr_t;

typedef struct udp_header
{
  uint16_t src;
  uint16_t dst;
  uint16_t length;
  uint16_t checksum;
} udp_header_t;
Soyez prudent avec l'ordre des octets -- je pense que les paquets capturés toujours utiliser le réseau d'ordre des octets, mais vous pourriez avoir besoin pour vérifier l'ordre des octets de l'en-tête. Peut-être pas un souci, si le format de fichier utilise le magic_number champ pour déterminer l'ordre des octets de l'en-tête.
Le nombre magique vous permet d'écrire dans les deux big ou little-endian, vous pouvez même basculer après chaque paquet si vous le souhaitez. Le nombre magique vous alerte également pour les dommages causés par un mauvais transfert du fichier.
Le nombre magique n' pas laissez-vous écrire le paquet en big-endian ou little-endian; vous devez écrire cela dans l'ordre dans lequel il apparaît sur le fil, qui, pour l'Ethernet, IP, TCP et UDP multi-octets partie intégrante des champs, est big-endian. t vous permettent d'écrire les champs dans le fichier et l'enregistrement d'en-tête dans votre langue natale, l'ordre des octets, mais vous pourriez tout aussi bien laisser libpcap/WinPcap faire ce travail. Et, malheureusement, le nombre magique n'est pas affecté, par exemple, via ftp le fichier en mode ASCII entre Windows et UN*X.

OriginalL'auteur KaiserJohaan | 2011-09-05

  1. 4

    Utilisation fwrite(). Vous devez vérifier cette info, mais je pense que .ppce les fichiers sont écrits en binaire mode.

    Exemple:

    pcaprec_hdr_t pcaprec_hdr;
//fill pcaprec_hdr with valid info

FILE* pFile = NULL;
pFile = fopen ("myfile.pcap" , "wb"); //open for writing in binary mode

fwrite (&pcaprec_hdr, 1, sizeof(pcaprec_hdr_t) , pFile);

fclose(pFile);
    +1 pour fwrite et de mentionner le mode binaire.
    -1 pour oublier d'écrire le fichier d'en-tête et de ne pas juste dire "utiliser libpcap/WinPcap, ils savent déjà comment écrire le fichier d'en-tête et l'enregistrement d'en-tête".
    Vous assumez qu'ils connaissent déjà. Mais le font-ils? L'obtention de cette réponse est sélectionnée officiel montre quelque chose d'autre.
    "Vous supposez qu'ils connaissent déjà. Mais le font-ils?" Oui, ils le font. Ils ont été la première mise en œuvre du format de fichier jamais.
    Je vais avoir des troubles avec cela, vous pouvez modifier votre réponse avec "plein" par exemple? Quand j'ouvre mon fichier pcap dans wireshark j'obtiens l'erreur en disant The capture file appears to have been cut short in the middle of a packet. Et je peux voir seulement "cadre" de ligne. Merci.

    OriginalL'auteur karlphillip

  2. 16

    Utilisation libpcap ou WinPcap - pcap_open_dead() pour obtenir un "faux" pcap_t à utiliser avec pcap_dump_open() pour spécifier la couche de liaison de type en-tête (Ethernet, utilisez DLT_EN10MB) et de l'instantané de longueur (utiliser 65535), pcap_dump_open() pour ouvrir le fichier pour l'écriture, pcap_dump() à écrire un paquet, et pcap_dump_close() pour fermer le fichier. BEAUCOUP plus facile que d'utiliser directement fopen(), fwrite(), et fclose() (qui sont ce libpcap/WinPcap utilisation "sous le capot").

    Et, oui, vous avez à l'ordre des octets dans les paquets corrects. L'ordre des octets dépend du protocole; pour le type champ dans l'en-tête Ethernet, et pour tous les multi-octets dans les champs IP, TCP et UDP en-têtes, ils doivent être en big-endian commande. (Le nombre magique dans le fichier pcap est pas pertinent pour ce - qu'il n'indique que l'ordre des octets des champs dans le fichier d'en-tête et le par paquet enregistrement d'en-tête, PAS l'ordre des octets des champs dans le paquet, ainsi que, en raison de la façon dont il est mis en œuvre dans Linux, les méta-données au début de paquets sous Linux USB de capture. Le paquet de données est censé ressembler exactement comme il le ferait "sur le fil".)

    pouvez-vous s'il vous plaît partager "plus les un code"? Je veux dire écrire un exemple?

    OriginalL'auteur

  3. 2

    Voici ma compréhension de ce que Guy Harris suggère. Donc, comme par Kyslik de la demande, nous avons:

    #include <libpcap/pcap.h>
/* Ethernet/IP/SCTP INIT chunk */
static const unsigned char pkt1[82] = {
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, /* ........ */
0x00, 0x00, 0x00, 0x00, 0x08, 0x00, 0x45, 0x00, /* ......E. */
0x00, 0x44, 0x55, 0xb1, 0x00, 0x00, 0x40, 0x84, /* .DU...@. */
0x26, 0x83, 0x7f, 0x00, 0x00, 0x01, 0x7f, 0x00, /* &....... */
0x00, 0x01, 0x00, 0x01, 0x1f, 0x90, 0x00, 0x00, /* ........ */
0x00, 0x00, 0x68, 0xe5, 0x88, 0x1b, 0x01, 0x00, /* ..h..... */
0x00, 0x24, 0x00, 0x00, 0x00, 0x00, 0x00, 0x0f, /* .$...... */
0xa0, 0x00, 0x00, 0x04, 0xff, 0xff, 0x00, 0x00, /* ........ */
0x16, 0x2e, 0x80, 0x00, 0x00, 0x04, 0xc0, 0x00, /* ........ */
0x00, 0x04, 0x00, 0x0c, 0x00, 0x06, 0x00, 0x05, /* ........ */
0x00, 0x00                                      /* .. */
};
int main(int argc, char *argv[]) {
pcap_t *handle = pcap_open_dead(DLT_EN10MB, 1 << 16);
pcap_dumper_t *dumper = pcap_dump_open(handle, "/tmp/pktcap/cap.pcap");
struct pcap_pkthdr pcap_hdr;
pcap_hdr.caplen = sizeof(pkt1);
pcap_hdr.len = pcap_hdr.caplen;
pcap_dump((u_char *)dumper, &pcap_hdr, pkt1);
pcap_dump_close(dumper);
return 0;
}
    J'ai dû modifier pcap_pkthdr pcap_hdr; à struct pcap_pkthdr pcap_hdr; de faire cette compilation avec gcc (Ubuntu 5.4.0-6ubuntu1~16.04.4) 5.4.0 20160609

    OriginalL'auteur Asblarf