Fix the pointer tests in the non-ndoified TTEST2() macro as well.

AC_TYPE_UINTPTR_T requires a newer autoconf.

C compilers can, and some do, optimize away pointer underflow checks.

Cast the pointers to uintptr_t; use AC_TYPE_UINTPTR_T to get uintptr_t
defined on older platforms that don't define it themselves.

Don't run past the snaplength when printing a packet with a too-short LI.

Fixes GitHub issue #437.

Check not just the capture length but the on-the-network length.

Don't run past the snapshot length when doing hex/ASCII dumps.

Do bounds checking when unescaping PPP.

Clean up a const issue while we're at it.

Don't subtract the UDP header size from the length twice.

Use the length field in the UDP header.

If it's less than the length of the IP payload, use it as the size of
the UDP packet.  If it's greater than the length of the IP payload,
and we're not dissecting the payload, report the length as bad.

Report a too-long unreachable destination list.

Running out of packet length before running out of unreachable
destinations is an error; report it as such.

Don't worry about leftover data past the end of the list of unreachable
destinations.

Not using offsetof() any more, so no need for <stddef.h>.

Further cleanups.

Use ND_TCHECK() rather than home-brew bounds checks.  Do simpler length
checks.

Let i be the length of the actual remaining packet data; use ND_TCHECK()
inside loops that iterate over the remaining data.

Let the printers for particular message types cast the raw data pointer
to a pointer of the appropriate type, rather than passing two pointers,
with different types, to the same data.

Clean up error message printing.

Have "struct aodv_rerr" just be the header, not including the actual
destinations.

Simplify the logic somewhat, and make it similar in the print routines
for the three types of error messages.

Add initial bounds check, get rid of union aodv.

Fetch the type field without using a structure, and check to make sure
it's not past the end of the packet.

Pass to each dissection routine a pointer to the appropriate message
type structure, rather than a pointer to a union of all the message type
structures.

Do more bounds checking and length checking.

Don't run past the end of the captured data, and don't run past the end
of the packet (i.e., don't make the length variable go negative).

Also, stop dissecting if the message length isn't valid.

The interval in an AODV HELLO extension is not aligned on a 4-byte boundary.

Give more information on -l, and note that -U works without -w.

Note that -l, on Windows (i.e., in WinDump), is unbuffered, not
line-buffered, and describe -U as an alternative (that doesn't have that
problem on Windows).

Note that -U does packet-buffering without -w.

Fix up the formatting of the example command lines with -l.

Discuss buffering when describing the -w flag.

Mention that the output of tcpdump -w is buffered, and note that this
means packets won't necessarily show up in the output as soon as they're
received, so programs reading that output won't see them immediately,
and note that the -U flag forces "packet buffering" so that a reader
will see the packets as soon as they're received.

Fix the other typo, so setting CPPFLAGS in the environment works correctly.

Based-On-Patch-From: Simon Ruderich <[email protected]>

Ask for the libpcap Makefile while we're at it.

...so that we can see what's being used to turn grammar.y into
grammar.c.

While we're at it, say "config.log file from the libpcap source
directory", in the hopes of making it more likely that we'll get it in
addition to the tcpdump config.log.

Fix typo, so setting CPPFLAGS in the environment works correctly.

Based-On-Patch-From: Simon Ruderich <[email protected]>

Ask for more information if we don't find pcap_loop.

I give up.

People keep reporting that the configure process for tcpdump fails to
find pcap_loop, and the config.log file they send us says there's no
pcap_parse in libpcap, which suggests that something went wrong in the
build process for libpcap; perhaps they don't have Bison and the
configure script got confused and failed to cause the parser to be named
"pcap_parse", or something such as that, or perhaps Bison was recently
"improved" in a fashion that breaks that, but I've never been able to
reproduce this on any of the Linux distribution installations to which
*I* have access.

I therefore ask them to send the config.log output and make output for
libpcap; *not one of the reporters of this problem* has bothered to send
that information, so we're stuck.  Perhaps they don't care enough (in
which case, why did they bother asking us about it?), or perhaps they're
annoyed that we asked them a further question rather than Just Fixing
The Problem(TM) (in which case, all I have to say is "welcome to the
Wonderful World Of Computer Software(TM) - get used to it").

So let's just ask for all that information.  (I would not be surprised
if this doesn't suffice and that they *still* just send us the tcpdump
config.log output, but at least I'll be able to tell them that they
should have Read The Fine Error Message(TM).)

Print a space after the options if there are any options.

Get rid of extra blank after unknown options.

Reviewed-By: Guy Harris <[email protected]>

Use expr instead of bashisms.

Reviewed-By: Guy Harris <[email protected]>

bumped version in case we another point release

bittypes.h is no longer required include for windows

Set version to 4.2.1 for release

for some reason, ip-proto-72 was decoded as "cpnx" at some point

Note the length checks in the Babel printer.

Add length checks, use EXTRACT_16BITS().

Use EXTRACT_16BITS() rather than a hand-rolled macro to extract
big-endian 16-bit quantities from the packet.

When processing the message, check against the body length *and* the UDP
payload length, as well as against the raw frame length.

Add changes in 4.2.1.

Make this 4.2.1-PRE-GIT for now, in preparation for a release.

Fix a typo (from the Red Hat tcpdump package) and use .LP.

Get rid of an unused variable.

Fix a bunch of "sizeof(sizeof(XXX))".

In some places, there was one too many levels of sizeof() -
sizeof(sizeof(XXX)) is sizeof(size_t), but we wanted the size of type
XXX.

Reviewed-By: Guy Harris <[email protected]>

Add a CARP dissector and a command-line option to dissect proto 112 as CARP.

CARP and VRRP both use IP protocol number 112, so there needs to be a -T
flag to specify that protocol 112 be dissected as CARP rather than VRRP.

Also update the man page.

Constify some arguments.

Put in missing break.

Reviewed-by: Guy Harris <[email protected]>

Remove unnecessary test.

Also, from me: add a comment explaining why the test isn't being done.

Reviewed-by: Guy Harris <[email protected]>

Clean up option-walking code.

Loop as long as the remaining option list length is not zero, even if
that means we try to process the remaining options if the remaining
length is 1, so that if the option length is bogus, we'll report it.

Check for a valid ESIS_OPTION_ES_CONF_TIME length - it's supposed to be
2.

Fix test output - IP protocol 72 is in /etc/services on at least some UN*Xes.

Reviewed-By: Guy Harris <[email protected]>

Change name of Hilscher link types to say NETANALYER.

That makes the names a bit shorter, and mentions the specific Hilscher
product to which they apply.

Add printers for the Hilscher Ethernet link-layer types.

Handle systems with getrpcbynumber() but no header file for it.

Glibc 2.14 doesn't install the ONC RPC headers, but it installs the ONC
RPC routines, presumably for binary compatibility.  Don't use
getrpcbynumber() unless we have it *and* the header file to declare it.

For Babel, recognise both UDP/6696 and UDP/6697.

IANA has reallocated the Babel port; it is now 6696.  This patch makes
tcpdump recognise both the old and the new Babel ports.

Get rid of another zero-length array.

Don't compile print-babel.c if we don't have IPv6 support.

Get rid of GCCisms.

Not all C compilers support anonymous unions in structures, zero-length
array members of structures, or __attribute__.

Don't assume we have IPv6 support.

Declare all local variables before any executable statements.

Some C compilers let you get away with that C++-ism; not all do.

Make sure ppi.h is in the release tarball.

Reviewed-By: Guy Harris <[email protected]>

Also get rid of lmp.new.

Update the EXTRA_DIST list to reflect what's now in the tests directory.

Fixed version value

Changes for 4.2 of tcpdump

Fwd: pcap files

On Tue, Jun 28, 2011 at 3:52 PM, Michael Richardson <[email protected]> wrote:

> I'm not aware of a new file.

The email i responded to had 4 attachments sent by Evangelos.
Those were supposed to replace the files with those exact names.

> Please send github tree, ideally.

You mentioned github to me last time and offered to get me to
learn it in 5 minutes;->  I havent had time and the old school stuff i do
still works.
How about i send you patch #1 to delete the old files (as attached)
and another to re-add with new ones.
Alternatively: I could send one that overrides the existing ones.

cheers,
jamal
> --
> ]       He who is tired of Weird Al is tired of life!           |  firewalls  [
> ]   Michael Richardson, Sandelman Software Works, Ottawa, ON    |net architect[
> ] [email protected] http://www.sandelman.ottawa.on.ca/ |device driver[
>   Kyoto Plus: watch the video <http://www.youtube.com/watch?v=kzx1ycLXQSE>
>                       then sign the petition.
>

commit d93443f24bfb5fd982ff33deb66979bae811db57
Author: Jamal Hadi Salim <[email protected]>
Date:   Tue Jun 28 16:15:49 2011 -0400

    [PATCH] Remove test files using old ForCES ports

Signed-off-by: Jamal Hadi Salim <[email protected]>

ignore more cruft

removed unneeded pcap file

Note that ndo_error doesn't, and *ndo_error shouldn't, return.

Tcpdump's ndo_error() doesn't return.  Any other ndo_error routine
supplied to netdissect shouldn't, either, as printers expect it not to.

Use "-H", not "-h", for the 802.11s option, and improve error reporting.

I was rudely surprised to find that "tcpdump -h" wasn't printing a usage
message, and I'm the person who *added* the "-h" option.  Make it "-H",
and add an explicit "-h" option to print a usage message, so nobody else
makes the same mistake.  Also, don't clear opterr, so that if you give
an illegal command-line option, you get an explanatory error message.

from Weesan Lee <[email protected]>: display pim bidir support

Handle ICMP6 checksums more like TCP checksums.

Instead of printing the result of icmp6_cksum() if it's non-zero, print
the checksum field value and the value it should have had.  That means
that what we print is the same regardless of whether we're running on a
big-endian or little-endian machine.

Fix some warnings.

Add a routine to do the "checksum with pseudo-header" stuff for IPv4.

Clean up some other stuff while we're at it.

Use nextproto6_cksum() for XXX-over-IPv6 checksums.

Get rid of duplicated checksums with IPv6 pseudo-headers.

Handle UDP checksums more like TCP checksums.

Instead of printing the result of udp_cksum() if it's non-zero, print
the checksum field value and the value it should have had.  That means
that what we print is the same regardless of whether we're running on a
big-endian or little-endian machine.

Also, just as we did with TCP:

Check -v and -K, and the fragmented flag, up front; then check the IP
version etc..  Don't check for IPv6 if we already know it's IPv4.  Fetch
the checksum field only once.

Update some test files for the new output format.

Get rid of $Id$ - you can't get that with Git.

Clean up the checksum checking.

Check -v and -K, and the fragmented flag, up front; then check the IP
version etc..  Don't check for IPv6 if we already know it's IPv4.  Fetch
the checksum field only once.

add support for the RPKI/Router Protocol as per draft-ietf-sidr-rpki-rtr-12

Go with Wireshark's Internet checksum routine.

The Wireshark routine is based on the BSD in-kernel portable checksum
routine (thus BSD-licensed); it takes a vector of pointers and lengths
and checksums the concatenation of the buffers in question (just as the
BSD in-kernel routine checksums a chain of mbufs).

This simplifies the "with a pseudo-header" checksums; hopefully it'll
fix up the problems being seen on some big-endian platforms, which might
be due to hand-calculating some or all of the checksum and doing so
incorrectly.  It also gets rid of some code that might be dereferencing
unaligned pointers.

Update sflow test output to reflect recent changes to print-sflow.c.

Fix some problems with the tests.

Get rid of some no-longer-necessary uudecodes (Git can store binary
files such as pcap files, so we no longer need to uuencode them, and the
uuencoded files are no longer around), and handle the "-X" and "-XX"
flag tests (where we had to rename the "should be" output files to avoid
collisions on case-insensitive file systems such as the default local
file system on the desktop UN*X with the biggest market share).

The ifSpeed field of a generic interface counter in sFlow is 64 bits.

The "overlay" definition in print-sflow.c is correct, but the actual
extract for printing is using EXTRACT_32BITS rather than EXTRACT_64BITS,
which leads to an incorrect report for speed.

Reviewed-By: Guy Harris <[email protected]>

Don't use "struct netdissect_options" in interface.h.

Use it in netdissect.h, where it's defined; otherwise, we get a bunch of
warnings when compiling modules that include interface.h but don't yet
include netdissect.h.

From: Darren Reed <[email protected]>
To: [email protected]
Date: Sat, 09 Apr 2011 12:51:14 +1000
Subject: [tcpdump-workers] Printing PPI packets

Printing PPI packets with tcpdump does not turn out
to be that hard.

My simple tests have produced the output as below.

It would be worthwhile having some changes made into
the tcpdump code base that were similar to the attached
that print them out.

removed need for uudecode

added babal test cases

Merge branch 'master' of git+ssh://bpf.tcpdump.org/tcpdump/master/git/tcpdump

updated forces test cases

Fix endianness of some parameters.

Reviewed-By: Guy Harris <[email protected]>

Add error checking and support for DCB Exchange protocol (DCBX) version 1.01.

From Kaladhar Musunuru <[email protected]>:

Added support for DCB Exchange protocol (DCBX) version 1.01.
http://www.ieee802.org/1/files/public/docs2008/az-wadekar-dcbx-capability-exchange-discovery-protocol-1108-v1.01.pdf

DCBX protocol exchanges control state machine and generic feature state
machine parameters as Organizationally specific TLVs.  The OUI used for
the DCBX TLV 1.01 is 0x001B21.  Following TLVs are decoded:

- Control state
- Priority Groups (PG)
- Priority-based Flow Control (PFC)
- Application Protocol (APP)

From me:

Add a bunch of additional error checking, and sort the main switch
statement by TLV code (and thus by the order in the specification).
Also update/add indications of what standards document what items.

Babel dissector, from Juliusz Chroboczek and Grégoire Henry.

Reviewed-By: Guy Harris <[email protected]>

Try to handle radiotap Rate values > 127 better.

Use the same heuristic Wireshark uses, i.e. assume that FreeBSD only
reports MCS indices between 0 and 15, and that any other values with the
0x80 bit set are rate values.  (Yes, those do exist.)

Also note, as I did in Wireshark, that it might be possible to extract
from the XChannel and Flags field the additional information to convert
an MCS index from the Rate field into a rate.  (Whether that's possible
depends on what platforms using the FreeBSD convention do with the
channel width and guard interval information.)

Merge branch 'master' of git+ssh://bpf.tcpdump.org/tcpdump/master/git/tcpdump

Add printer for the Babel routing protocol (RFC 6126).

This version includes a couple of fixes from Wireshark.

added sflow test cases

Support RX flags, MCS and the vendor namespace, and fix Rate.

Based on patches from an anonymous donor, support the radiotap RX flags and
MCS fields, and the vendor namespace, and, if Channel and XChannel are
both present, use XChannel, not Channel.

Do not try to look up a rate for an MCS value from the Rate field; you
cannot map an MCS value to a rate without also knowing the channel width
and guard interval length.

Handle the enterprise field of the sflow flow and counter record format.

Thanks to some traces sent my way by Gavin McCullagh, and a comparison
against the output of inMon's sflowtool, I can confidently say "Yes
Virginia, there is an enterprise other than zero."  Which means lest we
start trying to decode something as what it is not, we best actually
look at the enterprise field and make sure it is one we recognize.

To enable printing of non-expanded samples I've shuffled a bunch of code
around and created a bunch of smaller routines to more easily support
printing of both expanded and non-expanded counter and flow samples.
I've done simple testing of non-expanded counter and flow, and expanded
counter, but I don't have expanded flow at present with which to test.
So, that part of the change is only compile/eyeball tested.

Reviewed-and-tweaked-by: Guy Harris <[email protected]>

Fix the handling of unknown tagged parameters in management frames.

Fetch the element length early in the process, rather than fetching it
each time we need it - even after we've advanced the pointer we are
using to fetch it (doing the latter means we fetch the wrong value when
we subtract it from the remaining length).

Process the flags even if parsing the full radiotap header fails.

If we were able to get the flags, we should process them, so we know
whether there's Atheros padding after the 802.11 header or if there's an
FCS at the end of the packet, and properly process them; if we weren't
able to get the flags, they're 0, so we're not doing anything
differently, and that's the best we can do.

Don't return value from a filed cpack_uint8() call.

If the cpack_uint8() call to fetch the flags for
IEEE80211_RADIOTAP_FLAGS fails, don't return u.u8, as we didn't fetch
anything into it.

Check the sample, flow, and counter lengths.

When dissecting a sample, or a flow or counter within the sample, make
sure we don't run past the length in the sample/flow/counter header.

This also means we count the sample length down as we process the
contents of the sample, so we only add what, if anything, remains of the
sample to the pointer into the packet, and subtract that from the
remaining data length in the packet, which means we properly handle
packets with multiple samples.

Include <tcpdump-stdinc.h> when checking for headers.

Now that we're setting V_INCLS correctly, we don't need to include
"tcpdump-stdinc.h" - including <tcpdump-stdinc.h> works.

This also picks up configure changes from the previous configure.in
change.

Properly define {u_}intN_t types when testing pcap/*.h headers.

pcap/bluetooth.h and pcap/usb.h require those types, so we check for
those types before checking those headers, and we include
"tcpdump-stdinc.h" in the tests, so the appropriate headers to define
those types get pulled in.

Expand srcdir in V_INCLS at configure time, not make time.

That way, if we temporarily set CPPFLAGS to include V_INCLS, it'll work
correctly.

Fix one place where we didn't save and restore CPPFLAGS when modifying it.

Have empty.uu explicitly be a uuencoding of /dev/null.

That way, uudecode will write the decoded output there, rather than to a
file named "empty" that gets left around.  That also means we don't need
to redirect the output of uudecode to /dev/null, so don't do that.

Check for uudecode at make time by uudecoding a uuencoded empty file.

Doing it at make time means you don't have to re-run the configure
script if you add uudecode to your system, and doing it by uudecoding a
uuencoded empty file means we don't depend on uudecode supporting
"--help".