Skip the LLC and SNAP headers with -x.

Have llc_print() return the length of the LLC header, plus the length of
the SNAP header, if available - or, if it couldn't dissect the payload,
return the *negative* of that sum.  Use that return value in link-layer
printers.

Fix the printing of RFC 948-style IP packets.

They have a 3-octet LLC UI frame followed *immediately* by an IP packet;
the payload is 3 bytes, not 4 bytes, past the LLC header.

Get rid of unused variables.

Update test output for the previous change.

Clean up printing of LLC packets.

Don't print LLC header information for SNAP packets; if we have a SNAP
header, just call snap_print() and return its return value, regardless
of whether it's 1 or 0, don't fall into the code to print raw LLC header
information - and don't print it with -e, either.

If llc_print() returns 0, just call the default packet printer, don't
print the MAC-layer header or the extracted ethertype - llc_print() will
print the source and destination MAC addresses and whatever type
information is in the LLC or SNAP headers.

If we don't know the DSAP/LSAP, and it's an information frame (numbered
or not) and not an XID frame, return 0, so that we give a hex dump of
the raw payload.

In addition, print the length when printing SNAP header information with
-e.

Extract addresses for management frames in a separate routine.

Check the Protected bit for management frames, too.

Management frames can have the Protected bit set; if so, just use
wep_print() on the body.

Update test output to reflect previous change.

Don't announce protected data frames if -e isn't set.

wep_print()s output should indicate that the frame is protected; no need
to stick "Protected" into the output.

The FC flag is now "protected", not "WEP".

It's also used for WPA/WPA2, so it's a generic "protected by encryption"
flag.  Update the name of the macro that checks it, and report it as
"Protected" rather than "WEP Encrypted".

Reflect the results of recent changes.

We don't print anything from the MAC header without -e, even with -v -
except for the Protected flag, which we print regardless of -e or -v.

Handle the link-layer header more like other 802.x dissectors.

Have ieee_802_11_hdr_print() unconditionally print the MAC header, call
it before any payload dissection if -e is specified, call it if
llc_print() fails and -e *isn't* specified, and print "WEP Encrypted"
for protected management and control frames if -e isn't specified.

Pull the extraction of source and destination addresses out of
ieee_802_11_hdr_print(), and do it only for data frames, as it's not
needed for management or control frames.

Get rid of unused variable.

Only print unknown frame type or subtype messages once.

Check whether extract_header_length() returns 0; if it does, that means
that  we don't have a known frame type or control frame subtype, so just
stop dissecting - extract_header_length() has already printed an
indication of the unknown frame type.

Remove other "unknown frame type" and "unknown control frame subtype"
printouts.

Merge pull request #452 from brooksdavis/backend-separation

Backend separation

Use the IEEE802_11_XXX_LEN #defines for the appropriate array lengths.

Get the header length for control wrapper and block ACK frames.

While we're at it, rename the "ctrl_XXX_t" structures to
"ctrl_XXX_hdr_t", and remove the FCS fields, as some control frames have
variable-length data in them and those structures only cover the
fixed-length portion of the frames.

Disentangle packet dissection functionally in tcpdump from the internal
libnetdissect.  This greatly narrows the public interface and allows
libnetdissect to be more easily sandboxed.

Move functions in util.c that are used in the dissectors into a
util-print.c.  The remaining functions are used only in the frontend.

Include the metadata *and* link-layer header in the header length.

Also, don't use the length of the fixed-length portion of the PPI header
as the metadata length, use the *entire* length.

Otherwise, "-x" doesn't start printing at the link-layer payload.

Update CHANGES.

Include the metadata *and* link-layer header in the header length.

Otherwise, "-x" doesn't start printing at the link-layer payload.

remove TODO

Most of the tasks in the file had been completed years ago.

merge atmuni31.h into print-atm.c

Not all C compilers accept C++/C99 comments by default.

Use "#if 0" instead to comment out code.

Fix dates.

Add information for 4.7.4 release.

Clean up CREDITS file.

Merge pull request #449 from Longinus00/tfo_rfc7413

Add support for TCP Fast Open official IANA option number
https://tools.ietf.org/html/rfc7413

We're not copying the string to buf, so print the string, not buf.

Get rid of the now-unused buf array while we're at it.

Print strings with fn_printn().

That filters out non-printable characters.

For -L, print the DLTs in order, not reverse order.

Reverse order puts the default DLT last, which is a bit weird.

whiteboard: fixup a few reversed tests (GH #446)

This is a follow-up to commit 3a3ec26.

fix compiling after the last change

Mind the HAVE_CAPSICUM and USE_LIBSMI cases.

dismiss NETDISSECT_REWORKED macro

The purpose of this macro was to enable the file-by-file switch to NDO,
after which only tcpdump.c had a use of it and the definitions guarded
by it. Update tcpdump.c not to require them any more and dismiss the
unused definitions.

remove unused function default_print()

IPv6 mobility: make use of tok2str()

RPKI to Router Protocol: Fix Segmentation Faults and other problems

-Fix/add ND_TCHECK2 tests,
-Fix a buffer overflow,
-Remove a debug printf

IPv6 mobility: remove unused macros

Those were part of an earlier implementation of the protocol with a
different encoding. For the present encoding ip6m_hdrlen[] does the job.

Reflect the addition of a space before "(unverified)".

Add a missing space to a printout.

Fix some warnings while we're at it.

Fix previous checkins of test output.

make sure that EXIT code is appended to results file

in some cases we expect tcpdump to fail with an error code

annotate kday packets with CVE numbers

update cve-2015-0261 test packets with expected output

broken packets from Kevin Day

test case for cve2015-0261 -- corrupted IPv6 mobility header

Author:    Michael Richardson <[email protected]>

protected osi_print_cksum is more general fashion

some patches to deal with kday pcap files

Author:    Michael Richardson <[email protected]>

enumerate F_OP values explicitely, provide reference to where they are defined.
guard against case where ops->print is nil

ND_TEST2 should validate that l is non-negative

added notes about CVEs that were fixed

Get rid of unused variable.

Get rid of support for non-NDOified printers.

Remove the TTEST{2}/TCHECK{2} macros.  Rename all "ndo_printer" routines,
structures, and structure members to just "printer", and get rid of the
old routines/structures/structure members with those names.

Clean up Capsicum rights setting a bit.

Rename set_dump_fd_capsicum_rights() to set_dumper_capsicum_rights() and
have it take a pcap_dumper_t * as an argument and extract the file
descriptor itself, rather than having the caller do so.

This fixes a syntax error in one of the calls.

Add a #define for the short options and put it above the long options.

That puts all the option lists together; hopefully this encourages
developers who want to add a new flag to read the big "don't use these
options, other tcpdumps use them for their own purposes" command and
thus *dis*courages them from using one of those options.

Do the dump file Capsicum stuff in a common routine.

We were doing the same stuff in two places and *almost* the same stuff
in a third place, which should have been doing the same stuff.  Put that
stuff into a common routine and just use that.

(What a mess.  If you pour a bottle of Capsicum on your OS, it seeps all
throughout the system; might as well admit it and, at least, extend the
standard I/O library to handle it a bit better.)

Merge pull request #433 from wxsBSD/cap_fix

Add CAP_FCNTL and use cap_fcntls_limit().

add/update some references in comments

clean K&R style up in function declarations a bit

The function body should have its opening brace on the next line.

Fix the pointer tests in the non-ndoified TTEST2() macro as well.

C compilers can, and some do, optimize away pointer underflow checks.

Cast the pointers to uintptr_t; use AC_TYPE_UINTPTR_T to get uintptr_t
defined on older platforms that don't define it themselves.

Don't run past the snaplength when printing a packet with a too-short LI.

Fixes GitHub issue #437.

Update config.{sub,guess}, timestamp='2015-02-2[23]'

Update config.{sub,guess}, timestamp='2015-01-01'

Merge pull request #435 from wolfgangkarall/sigusr1-man

document SIGUSR1 in manual page

document SIGUSR1 in manual page

OpenFlow 1.0: address a Coverity warning

gitattributes: Update the attributes for tests/*.out

The actual status for good conditions of tests in Windows are:

Sources from    autocrlf    *.out ending    sed stuff
git             true        CRLF            no
git             input       LF              yes
git             false       LF              yes
archive         N/A         LF              yes

We need to have the sed stuff for sources archives.
Thus we need that the endings of tests/*.out files be always LF only.
We don't want to depend on user config.
Thus this changes.
Advantage: This config is under version control, it applies to all users.

Get rid of legacy config 'core.autocrlf=true'

gitattributes: cleanup unused patterns

Add CAP_FCNTL and use cap_fcntls_limit().

Without these changes pcap_dump_ftell() will return -1 and set errno to
ENOTCAPABLE.

This allows you to do:

tcpdump -C 1 -W 5 -w foo.pcap

Without these changes it will never rotate to foo.pcap1 and continue writing
to foo.pcap0 forever.

Discussed at: http://unix.derkeiler.com/Mailing-Lists/FreeBSD/current/2014-09/msg00142.html

Check for pcap_dump_ftell() failing.

That way, we don't just keep writing if it fails (which it can when
using Capsicum, for example).

OpenFlow 1.0: improve BSN extensions support

Improve decoding of BSN vendor commands: update printing of commands
that set/get mirror port reporting flag, add decoding of shell exec
commands. Introduce decoding of vendor-specific actions with BSN as the
first such vendor and "mirror" as the first such BSN action.

Add a new test case based on a packet capture produced using Trema
controller and an Arista 7050SX-64 switch in Arista Networks' test lab.
Besides the structures above the capture contains the following items:

* OFPT_QUEUE_GET_CONFIG_REPLY with 0 queues (a valid edge case)
* OFPT_FEATURES_REPLY with ports 21 and 23 having bogus "config" field
  (a violation of the protocol, which required temporary patching of the
  controller to avoid the session shutdown)
* a set of IP mask manipulation BSN-specific commands

Fix issues with the setting of libcap-ng capabilities.

- Only set the SETUID/SETGID capabilities if required (i.e. we'll be changing
  the effective UID).
- Only set the CAP_DAC_OVERRIDE capability if writing out to a file (i.e. the -w
  flag was provided).
- Fix the calls to capng_clear to pass CAPNG_SELECT_BOTH so that the traditional
  and bounding capabilities are set.
- Only remove CAP_DAC_OVERRIDE from the permitted set after opening the write
  file if neither -G nor -C flag was provided.  We always drop it from the
  effective set immediately after opening the write file.  During file rotation,
  we reacquire it immediately before and drop it immediately after opening the
  file.

minor changes to detect core dumps better

Add additional test cases for Geneve.

The test cases exercise both more varied traffic and new libpcap
filters.

DECNET: Fix segmentation fault

If the 'dnet_htoa' function return NULL, '(strdup(dnet_htoa(&dna)))'
gives a segmentation fault.

Context:
- libdnet-dev installed (Thus HAVE_DNET_HTOA defined)
- Missing /etc/decnet.conf

Travis: add 'make install' in the build script

Travis: install libcap-ng-dev lib

configure: add support for cap-ng package

It uses '--with-cap-ng', for using libcap-ng [default=yes, if available]

Merge pull request #429 from mkirkhart/inverse-arp-print-fix

Fixed bug in arp_print() in handling of inverse arp responses

Use immediate mode if available.

If libpcap has pcap_set_immediate_mode(), then default to immediate mode
if we're printing packets to a terminal, and use immediate mode if
--immediate-mode is specified.

Move pcap function checks to configure.in.

It was doing some of the function checks; move the remaining ones out of
AC_LBL_LIBPCAP(), which is now solely responsible for finding libpcap,
making sure it'll work, and setting compiler and linker flags
appropriately.  Checks for functions that were introduced in later
versions of libpcap, which we use if available, are all done in
configure.in.

This is the trunk, and there's a 4.7.x branch, so call it 4.8.0-PRE-GIT.

droproot(): always print to stderr (GH #425)

Otherwise it interferes with the output of "tcpdump -w -".

Squelch a Coverity warning.

For unknown PDU types, we return 0 whether print_unknown_data() succeeds
or fails; don't bother checking whether it succeeds, Just Do It.

Fixed bug in arp_print() in handling of inverse arp responses - the target's hardware and protocol address were being printed instead of the sender's hardware and protocol address

OpenFlow 1.0: add missing items to bsn_subtype_str

refine 802.1Q VLAN TCI decoding

Factor the common code out to a new function and rename the CFI bit to
DEI to match the terminology in Clause 9.6 of IEEE 802.1Q-2011.

Merge pull request #422 from tbeadle/capng_changes

Make sure to init capng before dropping root.

capng_clear needs to be called before capng_change_id can be called within
droproot. Otherwise, an (unusable) error message is output: "error : ret -1" and it fails to drop root privileges.

This also fixes the dropping of the CAP_SETGID capability. Previously,
CAP_SETUID was being dropped twice.

Make sure to init capng before dropping root.

capng_clear needs to be called before capng_change_id can be called within
droproot.  Otherwise, an (unusable) error message is output: "error : ret -1".

This also fixes the dropping of the CAP_SETGID capability.  Previously,
CAP_SETUID was being dropped twice.

Fix a warning for 'strsep' function on Solaris

The warning was:
./missing/strsep.c:54:1: warning: no previous prototype for 'strsep' [-Wmissing-prototypes]

mkdep: It uses now the build environment PATH

Travis: avoid useless lines from 'brew' command in the logs

condition DOS/UNIX newline styles for Windows test

Merge remote-tracking branch 'bpf/master'

No OPER-TLV are "empty TLVs".

As section 7 of RFC 5810 says, an OPER-TLV is 1*PATH-DATA-TLV, so it
always has at least one PATH-DATA-TLV.  Remove the ZERO_TTLV check - the
old one was bogus ((!ops->flags & ZERO_TTLV) means ((!ops->flags) &
ZERO_TTLV), and if ops->flags is non-zero, !ops->flags is zero, and the
test fails), and the new one causes tests to fail, revealing that the
whole "empty TLVs like COMMIT and TRCOMMIT are empty, we stop here"
think is wrong, so we remove it.

Properly test ZERO_TTLV flag in otlv_print().

If that flag is set, the TLV in question is empty, so don't process
anything further - and if it's *not* empty, report an error.

Thanks to Maks Naumov for finding this.