gre: add support for MikroTik Ethernet-over-IP hack.

More from OpenBSD's tcpdump.

gre: clean up GRE "version 1" (PPTP) parsing of "key" field.

In the PPTP (RFC 2637) version of the PPTP header, the "key" field,
which must be present, consists of a 2-byte big-endian payload length
followed by a 2-byte big-endian call ID.  Dissect it as such, and report
an error if the K bit *isn't* set.

VXLAN: pick up some stuff from the OpenBSD tcpdump.

gre, erspan: add an ERSPAN dissector and have the GRE dissector call it.

This is from the OpenBSD tcpdump.

Fixes #1040.

Sort the .c list in CMakeLists.txt while we're at it.

Ignore failures when setting the default "any" device DLL to LINUX_SLL2.

If the user didn't explicitly request DLT_LINUX_SLL2 with -y, attempt to
set the link-layer type on the "any" device to DLT_LINUX_SLL2, but, if
that fails, just drive on - it could be the Solaris or macOS "any"
device, neither of which support the Linux-style headers, or it could be
a tcpdump built with a newer libpcap but dynamically-linked, and running
on a system with an older libpcap that doesn't support DLT_LINUX_SLL2.

Fixes #1057.

Moved source port equal BCM_LI_PORT to bottom of long if else chain

BCM_LI_SHIM (BCM_LI_PORT) value is set to 49152, therefore when the
source port is 49152, it does not matter what the true destination is,
it defaults to Broadcom. So tcpdump interprets any packet with source
UDP port of 49152 as BCM_LI_SHIM (Broadcom). Ports 49152+, by
definition are ephemeral ports so it's totally reasonable that, for
example, BFD is using that source port for their packets. To prevent,
for example, BFD packets from being wrongly identified as BCM_LI_SHIM
packets, the "else if" statement has been moved to bottom of long chain.

Add a test file.

Makefile.in: Update the whitespacecheck target

install-sh has no longer a tab at the end of one line.

This is a follow-up to b5a4b9338ca5d063914b7bacbbdda5faf0b27ce4.

Update install-sh script to the latest available version

The version of install-sh we have was made over 2 decades ago,
and last edited 9 years ago.

I updated the script by running autoreconf -fiv on autoconf 2.71,
and autoreconf automatically updated the script.

Rename the suffix of a pcapng test file to .pcapng

[skip ci]

OSPF6: Fix an undefined behavior

Handle ls_length shorter than sizeof(lsa_hdr) in the same way as OSPF.

Use a u_int32 to hold a loop variable initialized with GET_BE_U_4.

print-ospf6.c:815:46: runtime error: signed integer overflow:
-2147483648 - 1 cannot be represented in type 'int'
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior print-ospf6.c:817:46

[Part of the PR #1012]

mobile: Print the protocol name before any test

CONTRIBUTING.md: Update about 'struct tok' usage

[skip ci]

NFS: A pointer should not be compared to zero (improve code readability)

CARP: Print the protocol name before any GET_()

This change will print the protocol name even if the first octet is
truncated.
Use nd_print_protocol_caps().

Fix spelling of PTP type SIGNALING

The IEEE 1588 (PTP) standard uses the spelling SIGNALING, with one L.

DVMRP: Update an error message

This change will avoid having the keyword "invalid" twice as:
[invalid ncount] (invalid)

NSH: Update an error message

This change will avoid having the keyword "invalid" twice as:
(invalid length for the MD type) (invalid)

RT6: Update an error message

This change will avoid having the keyword "invalid" twice as:
(invalid length nnn) (invalid)

VTP: Update two error messages

This change will avoid having the keyword "invalid" twice as:
[invalid MgmtD Len nnn] (invalid)
and
(invalid TLV length nnn != 1) (invalid)

DTP: Update an error message

This change will avoid having the keyword "invalid" twice as :
[invalid TLV length nnn] (invalid)

mobile: Modernize packet parsing

Use ND_TCHECK_SIZE() and enable ND_LONGJMP_FROM_TCHECK.
Use ND_ICHECK_U() for length check and add standard "invalid" section.
Use nd_print_protocol().

Babel,DHCPv6: Use nd_print_protocol()

checksum.c: Remove a now useless include

It is a follow-up to 94f232c1ab0143c6da9fc00732b6b241b8abdf4c
where the assert() call was removed.

NTP: Remove three redundant tests with -vv option

-vv does not give more printed data than -v for the NTP protocol.
The only differences were about UDP checksums in IPv4 encapsulation.

NTP: Remove three redundant tests with -vvv option

-vvv does not give more printed data than -vv.

Makefile.in: Use the variable MAKE instead of the make command

From https://www.gnu.org/software/make/manual/make.html#MAKE-Variable:
```
Recursive make commands should always use the variable MAKE, not the
explicit command name 'make', as shown here:

subsystem:
cd subdir && $(MAKE)
```

This should avoid the following warning when running 'make releasecheck'
in some cases:
make[1]: warning: jobserver unavailable: using -j1. Add '+' to parent
make rule.

Cirrus CI: Fix FreeBSD 13 and update Linux. [skip appveyor]

Same as in tcpslice:

pkg: No packages available to install matching 'llvm14' have been
  found in the repositories

tcpdump.1.in: Delete Linux 2.0 references

Delete Linux 2.0 bugs from bug list.

Linux 2.0.x releases are from 1996-2004. The man page recommended upgrading to Linux 2.2, released in 1999.

https://en.wikipedia.org/wiki/Linux_kernel_version_history#Releases_up_to_2.6.0

I'm assuming these >20 year old bug references aren't that useful now.

instrument functions: Reduce the scope of a variable

Fix the cppcheck warning:
instrument-functions.c:77:15: warning: The scope of the variable
'instrument_type' can be reduced. [variableScope]

lwres: Fix an undefined behavior in pointer arithmetic

Check for truncation before doing pointer arithmetic to point
to the end of the packet.

print-lwres.c:294:10: runtime error: addition of unsigned offset to
  0xf3b032be overflowed to 0x9652d560
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior print-lwres.c:294:10

[Part of the PR #1012]

CI: Copy build_common.sh from tcpslice. [skip ci]

Cirrus CI: Avoid perl warnings about setting locale, Linux task

The warnings were like:
perl: warning: Setting locale failed.
perl: warning: Please check that your locale settings:
LANGUAGE = (unset),
LC_ALL = (unset),
LANG = "en_US.UTF-8"
    are supported and installed on your system.
perl: warning: Falling back to the standard locale ("C").

NHRP: Fix typos in a comment. [skip ci]

PPP: Check if there is some data to hexdump

This may avoid this error:
Dissector error: print_unknown_data() called with pointer past end of
packet

Add a test file showing the problem.

RIP: Check if there is some data to hexdump

This may avoid this error:
Dissector error: print_unknown_data() called with pointer past end of
packet

nhrp: fix infinite loop on malformed packets.

If a CIE doesn't fit in the remainder of the mandatory part, return the
length of that remainder, so that the loop processing the CIE
terminates.

Add capture that produced the infinite loop.

Fix a typo

[skip ci]

Put "}" at beginning of line with "else" to keep a consistent style

[skip ci]

Put "{" at end of line with "else" to keep a consistent style

[skip ci]

Put "{" at end of line with "switch" to keep a consistent style

[skip ci]

Put "{" at end of line with "if" to keep a consistent style

[skip ci]

Put "{" at end of line with "for" to keep a consistent style

[skip ci]

Put "{" at end of line with "while" to keep a consistent style

[skip ci]

SNMP: Fix two undefined behaviors

When converting an integer from ASN.1, use an unsigned value
for the partial result and assign it to the integer part of
the union at the end, to avoid shifting a negative number left.

print-snmp.c:545:19: runtime error: left shift of negative value -1
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior print-snmp.c:545:19

OID elements are unsigned; a large-enough oid value could result
in the undefined behavior of shifting a signed integer left through
the sign bit, so simply store them as unsigned.

print-snmp.c:751:11: runtime error: left shift of 268435455 by 7 places
  cannot be represented in type 'int'
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior print-snmp.c:751:11

[Part of the PR #1012]

Merge pull request #972 from martinetd/zombie

child_cleanup: reap as many child processes as possible

child_cleanup: reap as many child processes as possible

Under load it's possible multiple child processes have been killed before
we start processing the SIGCHILD signal, leaving zombie processes behind
everytime we miss a process.
Reap as many processes as possible instead of assuming one handler
call = one process like we currently did.

Can be reproduced by running the following commands in parallel:
 - tcpdump -i lo -w /tmp/test -C 1 -z /usr/bin/true
 - iperf3 -s
 - iperf3 -c localhost

RT6: Print SRH TLV HMAC "reserved" field if non zero in verbose mode

reserved: MUST be 0 (MBZ).

RT6: Declare the struct tok srh_tlv_type "static"

This should avoid error like:
./print-rt6.c:36:18: error: no previous extern declaration for
non-static variable 'srh_tlv_type' [-Werror,-Wmissing-variable-declarations]
const struct tok srh_tlv_type[] = {
                 ^
./print-rt6.c:36:7: note: declare 'static' if the variable is not
intended to be used outside of this translation unit
const struct tok srh_tlv_type[] = {
      ^

RT6: Use a "struct tok" for the SRH TLV type

Moreover:
Factorise "ND_PRINT(", TLV-len=%u", tlv_len);"

Merge pull request #949 from giulio-sido/tmp3

rt6: parse TLV

rt6: parse TLV

Parse Type Length Values (TLV) in IPv6 Routing Header as specified by
RFC 8754 [1].

[1] https://datatracker.ietf.org/doc/html/rfc8754

Signed-off-by: Giulio Sidoretti <[email protected]>

EAP: Assign ndo_protocol in the eap_print() function

nhrp: handle draft-detienne-dmvpn-01, improve indication decoding.

Handle the I-D draft-detienne-dmvpn-01 traffic indication packet.

Print the error code in an error indication symbolically if it's a known
code.

Print the address fields in the mandatory part of the header for error
and traffic indication packets.

Geneve: Add a bounds check

nhrp: add casts to squelch narrowing warnings.

Get rid of some commented-out code while we're at it.

Add support for dissecting RFC 2332 NHRP.

This is from the OpenBSD tcpdump.

cdp: require that the Address TLV have at least 4 bytes of data.

Specify a minimum length of 4 in the cdptlvs table, rather than having
its printer do the length check itself.

cdp: show the TLV type as a 4-digit hex number.

It's 2 bytes long.

cdp: support CDP TLV 0x001a.

Based on the way it's dissected in Wireshark.

cdp: don't explicitly check for T_DEV_ID when printing.

Instead, have an additional element in a struct cdp_tlvinfo that
indicates whether to print the TLV in all modes or only in verbose mode;
that would allow other TLVs to printed in non-verbose mode.

Also, use the usual (sizeof x / sizeof x[0]) trick to determine how big
the table is, rather than having a defined size.

bootp/dhcp6: DHCPv4/v6 ZTP and SZTP option support

DHCPv4: RFC8572 specifies the SZTP redirect tag.

DHCPv6: RFC5970 specifies the boot file URL, used for ZTP,
 and RFC8572 specifies the SZTP redirect tag
 The base DHCPv6 RFC3315 specifies the user class option.

gre: support CDP over GRE.

Taken from the OpenBSD version of tcpdump.

tests: wccp_redirect_gre.pcap contains SMB, so it needs two tests.

Have separate .out files for dissection of wccp_redirect_gre.pcap with,
and without, SMB dissection enabled in tcpdump.

cdp: only hex-dump unknown TLVs in verbose mode.

If we're not in verbose mode, we only show the Device ID TLV, so there's
no good reason to show a hex dump of other TLVs if we don't happen to
have a printer for them - especially given that we don't show the type
value for the TLV, so it's not clear to what type value those hex bytes
correspond.  Furthermore, the hex dump causes the non-verbose output to
be multiple lines, and causes the ", length N" to show up at the end of
the hex dump rather than at the end of the first line.

I.e., it seems as if either 1) printing the hex dump in non-verbose mode
wasn't intended or 2) it was intended by whoever intended it didn't look
into what it would involve.

GRE: Refine the WCCP header commit. [skip ci]

Fixup the comment and have the case block actually fall through
consistently with the comment and the OpenBSD implementation.  Update
the test case, which now has the IPv4 packet after the WCCP header.  The
indentation does not represent the header nesting, but the same stands
for the OpenBSD implementation.

gre: handle Network Service Header (NSH), RFC 8300

This, and the previous multicast MPLS change, come from the OpenBSD
tcpdump.

gre: handle multicast MPLS.

Pass ETHERTYPE_MPLS_MULTI packets to the MPLS dissector.

gre: add support for WCCP redirects over GRE.

Add a test capture for it - and for GRE keepalives.

Both this and the previous GRE keepalive changes are based on OpenBSD
code.

gre: recognize (Cisco?) GRE keepalives.

The RFCs don't seem to mention this use, but Cisco, at least, uses
packets with a protocol value of 0x0000 as keepalives.

gre: expand a comment, mention NVGRE. [skip ci]

When processing the key field, note that OpenBSD shows it both a a 32bit
key and an NVGRE VSID+FlowID.

CHANGES: Synchronize the 4.99.x sections. [skip ci]

CHANGES: Add a change backported to 4.99

Update config.{guess,sub}, timestamps 2023-01-01,2023-01-21

From repository git://git.savannah.gnu.org/config.git

CHANGES: List more backported commits. [skip ci]

(cherry picked from commit af4b5f75370f521f96326f0d9469031a0a0a595d)

Merge pull request #1039 from mspncp/ikev2-add-missing-notification-types

IKEv2: add missing notification types

Autoconf: Update a stale comment in aclocal.m4. [skip ci]

Autoconf: Fix --static-pcap-only test on Solaris 10. [skip appveyor]

On Solaris 10 /usr/bin/grep does not implement the -q flag:

checking for pcap-config... ../libpcap/pcap-config
grep: illegal option -- q
Usage: grep -hblcnsviw pattern file . . .
checking for pcap_loop... yes

Follow recommendation of the "Limitations of Usual Tools" section of GNU
Autoconf manual and use output redirection to fix it:

checking for pcap-config... ../libpcap/pcap-config
checking for pcap_loop... yes

doc: Add more Solaris-related particulars. [skip ci]

man: Format "output format" subsections properly. [skip ci]

Cirrus CI: Configure with --enable-instrument-functions, Coverity task

Add the required binutils-dev package.

[skip ci]

instrument functions: Use an environment variable instead of config files

If the environment variable INSTRUMENT is
- unset or set to an empty string, print nothing, like with no
  instrumentation
- set to "all" or "a", print all the functions names
- set to "global" or "g", print only the global functions names

The configuration with --enable-instrument-functions remains.

Note that before this change, the default was to print all functions.
Now it is to print nothing. So by default 'make check' runs without errors.

This allows to run:
$ INSTRUMENT=a ./tcpdump ...
$ INSTRUMENT=g ./tcpdump ...
$ INSTRUMENT= ./tcpdump ...
or
$ export INSTRUMENT=global
$ ./tcpdump ...

This also allows to run the statically compiled binary on another host
after copying it.

It is no longer necessary to modify the configuration with:
$ make instrument_all
$ make instrument_global
$ make instrument_off
(Targets removed.)

Update .gitignore, CONTRIBUTING.md and Makefile.in accordingly.

Moreover:
Reduce the scope of a variable.
Rename a variable.
Remove '\n' in the perror() call.
Remove 2 spaces in function calls (style).

[skip ci]

man: Spell TCP header flags names. [skip ci]

In the prose use the names from respective registry [1], which says:

* "PSH", not "PUSH",
* "CWR", not "ECN CWR", and
* "ECE", not "ECN-Echo".

This does not resolve all known inconsistencies related to TCP flags,
but at least makes the problem smaller.

1: https://www.iana.org/assignments/tcp-parameters/tcp-parameters.xhtml

instrument functions: Add a NULL check

Same as in tcpslice to fix a Coverity issue.

The issue was:
Null pointer dereferences  (FORWARD_NULL)
Passing null pointer "func" to "strncmp", which dereferences it.

instrument functions: Add a length check

We need space for the '\0'.

Same as in tcpslice to fix a Coverity issue.

Moreover:
Use '\0' for the null character.

Refine the patterns in .gitignore. [skip ci]

Spell patterns that are supposed to apply at the source tree root only
and remove two patterns that already appear in tests/.gitignore.

IKEv2: add missing notification types

The notification type entries were crafted from the CSV files
provided by IANA for the [error types] resp. [status types].

[error types]:  https://www.iana.org/assignments/ikev2-parameters/ikev2-parameters-14.csv
[status types]: https://www.iana.org/assignments/ikev2-parameters/ikev2-parameters-16.csv

Get Markdown right in the previous change. [skip ci]

HTML 3 had problems, but confusing italic for bold was not one of them.

Fix minor issues in INSTALL.md. [skip ci]

Makefile.in: Add instrument-functions.o in CLEANFILES

It is not in LIBNETDISSECT_OBJ because it is optionally built.

[skip ci]

Makefile.in: Add print-smb.o and smbutil.o in CLEANFILES

They are not in LIBNETDISSECT_OBJ because they are optionally built.

[skip ci]

Cirrus CI: Configure with --enable-smb in the Coverity task

Rename a test. The protocol is IEEE 802.11

man: Add the TCP flag names tcp-ece and tcp-cwr

State that these flag names became available when linking with libpcap
1.9.0 or later.

doc: Update Haiku particulars. [skip ci]

Add a section for the 32-bit version.

Untangle detection of pcap_findalldevs().

tcpdump.c requires both HAVE_PCAP_IF_T and HAVE_PCAP_FINDALLDEVS to
manage the code that depends on pcap_findalldevs().  Other than that,
the Autoconf and CMake checks that produce these two macros do not
relate directly, so having the check for pcap_if_t conditional on the
check for pcap_findalldevs() is an unnecessary complication.

More importantly, in the CMake case this places the check_type_size()
for pcap_if_t into a context with CMAKE_REQUIRED_LIBRARIES already set
to PCAP_LIBRARIES.  This works only if check_type_size() does not have
to check for <sys/types.h>, <stdint.h> or <stddef.h> implicitly.  This
was the case so long as another check_type_size() before the
CMAKE_REQUIRED_LIBRARIES change made the implicit checks and cached the
results, but removing that earlier instance resulted in a warning:

  Policy CMP0075 is not set: Include file check macros honor
  CMAKE_REQUIRED_LIBRARIES.  Run "cmake --help-policy CMP0075" for policy
  details.  Use the cmake_policy command to set the policy and suppress this
  warning.

  CMAKE_REQUIRED_LIBRARIES is set to:

    /usr/lib/x86_64-linux-gnu/libpcap.so

  For compatibility with CMake 3.11 and below this check is ignoring it.

To fix that, in both Autoconf and CMake make the two checks separate and
unconditional and place the check for pcap_if_t where it fits better.
In CMake remove the earlier workaround with in6_addr.

CI: Introduce TEST_RELEASETAR. [skip ci]

Same as in tcpslice and libpcap.

tcpdump.c: fix a comment.  [skip ci]

Some versions of Mac OS X (as it was then called) *did*, in fact, ship
with a libpcap that had pcap_findalldevs() but a pcap.h that didn't
define pcap_if_t; it's not a question of "may ship", it's a fact of "did
ship".

State there are currently no OS dependent defines and prototypes

The last header was removed by commit
6008cb83b72a8fafe9c69f6955f4bdffbc049a09.

CMake: balance cmake_push_check_state() and cmake_pop_check_state().

We didn't completely pop the check state after we finished the checks
for libpcap.

Detect OS IPv6 support using AF_INET6 only.

tcpdump source code has not been using struct in6_addr since commit
0c9cfdc in 2019, so lose the conditional structure declaration, which is
a no-op.

Since commit de7c619 in 2015 netdissect-stdinc.h on Windows defines
HAVE_OS_IPV6_SUPPORT if AF_INET6 if defined, which makes it equivalent
to AF_INET6.  On Unix-like systems taking struct in6_addr out of scope
would make HAVE_OS_IPV6_SUPPORT equivalent to AF_INET6, thus after
removing struct in6_addr remove HAVE_OS_IPV6_SUPPORT together with
Autoconf and CMake checks that define it.  Leave an unrelated CMake
workaround in place for later debugging.

On Windows do not define AF_INET6 if it is not defined, which makes
AF_INET6 a universal indicator of the OS IPv6 support on all supported
OSes.  The few remaining use cases that genuinely need AF_INET6 use it
to make OS API calls, so if the macro is not defined, it most likely
means such an API call in the best case would return just a well-formed
error status.  With this in mind, in win32_gethostbyaddr() and
ip6addr_string() guard all IPv6-specific code with #ifdef AF_INET6.  In
tcpdump.c add a comment to note why a guard is not required for
Casper-specific conditional code that uses AF_INET6.

This way when the OS does not support IPv6, IPv6 addresses will not
resolve to names, which is expected.  Other than that, tcpdump should be
able to process IPv6 addresses the usual way regardless if the OS would
be able to process the packets with these addresses.