Reimplement the tests similarly to libpcap. [skip appveyor]

Import TESTlib.pm, TESTst.pm and TESTmt.pm from libpcap.  In TESTrun use
strict and warnings, also address all Perl issues that manifest because
of that, remove old code that the imported files make redundant and
clean the rest up.  Ibid., remove the core dump file before every test
and apply the "only this one test" mode even if the test does not come
from the TESTLIST file; focus on tcpdump specifics and have the imported
files handle all test/result logistics.

The latter among other things places all temporary test files in a
proper temporary directory rather than the source tree, which in turn
eliminates the tests/NEW and tests/DIFF temporary directories, which
also includes *.out.raw.stderr files; the .passed and .failed files have
been gone since commit b82970c in 2020.  This way, the tests/.gitignore
file no longer has a purpose, so remove it and the associated exemption
for TEST_DIST in Makefile.  Remove failure-outputs.txt from the
top-level .gitignore as well.  Prune "make distclean" as well.

Merge tests/*.tests into TESTrun: these are a part of the source tree
rather than volatile external data, so instead of implementing the
required run-time logistics just place the Perl data structures in the
only Perl script that uses them.  Convert "config_set" and
"config_unset" using "skip" and equivalent Perl expressions.

Since these changes rewrite most of TESTrun, reindent and reformat it to
match the code style of the new files.

Make all test names unique in TESTLIST.

PTP: Refine timestamp printing.

In ptp_print_timestamp_identity() and ptp_print_announce_msg() use
ptp_print_timestamp() to deduplicate code.  In ptp_print_timestamp()
change the format to SECONDS.NANOSECONDS and indicate an invalid
nanoseconds value.  Update the tests.  This resolves GH issue #1260.

Report invalid microseconds as "us", not "ms".

In timeval-operations.h for microseconds and nanoseconds define both the
maximum number of units per second and the string to use for reporting
an invalid value.  Use the new macros in ts_frac_print() and update a
test.

For consistency in print-arista.c instead of MAX_VALID_NS and
BOGUS_NS_STR use the macros from timeval-operations.h.

Update the GitHub issue template for the new workflow

Summary:
Create the .github/ISSUE_TEMPLATE directory
Rename the file ISSUE_TEMPLATE to .github/ISSUE_TEMPLATE/issue_template.md
Update this file with some keywords (name, about, ...)
Add a .github/ISSUE_TEMPLATE/config.yml file containing
"blank_issues_enabled: false".

[skip ci]

LISP: Add a length check

Verify we have at least the header length.

Print the protocol name with nd_print_protocol_caps() before any check.
Update the lisp_type[] structure accordingly.

Add a test file with an invalid length.

ESP: Delete a useless custom bounds check

The two GET_BE_U_4() perform the bounds checks.

Print the protocol name, with nd_print_protocol_caps(), before any
check.

Add a test file with a truncated ESP packet.

CHANGES: Add changes backported to 4.99

[skip ci]

ISO: avoid undefined behavior and integer overflow in the fletcher checksum calculation

The fletcher checksum calculation would sometimes left-shift
a negative number, which is an undefined operation.  Rework the
code to avoid this.

checksum.c:186:20: runtime error: left shift of negative value -36
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior checksum.c:186:20

Unlike some checksum routines that use the defined semantics of
2's-complement unsigned overflow to their advantage, this one
gets the wrong value if it is allowed to overflow, due to the
use of mod-255.

Convert c1 to uint64_t to avoid overflow.

checksum.c:163:16: runtime error: unsigned integer overflow: NNN + NNN
  cannot be represented in type 'unsigned int'

Use integers during subtraction to avoid implicit conversion to unsigned
when calculating both x and y

checksum.c:172:18: runtime error: unsigned integer overflow: NNN - NNN
  cannot be represented in type 'unsigned int'
checksum.c:172:9: runtime error: implicit conversion from type
  'unsigned int' of value NNN (32-bit, unsigned) to type 'int' changed
  the value to -NNN (32-bit, signed)
checksum.c:173:12: runtime error: unsigned integer overflow: NNN - NNN
  cannot be represented in type 'unsigned int'
checksum.c:173:9: runtime error: implicit conversion from type
  'unsigned int' of value NNN (32-bit, unsigned) to type 'int' changed
  the value to -NNN (32-bit, signed)

NFS: Delete dead code

Since  commit f2eaaa35725c6cb52e9e3947769fc6e7f2579dee in year 2000
the typedef struct my_fsid has a field 'char Opaque_Handle[2 * 32 + 1];'

Thus sizeof(*fsidp) is > 14.
Delete the else block as dead code and the two useless if.

This should remove two Visual Studio warnings:
parsenfsfh.c(318,25): warning C4127: conditional expression is constant
parsenfsfh.c(319,22): warning C4127: conditional expression is constant

BOOTP: Use an uint16_t variable to get the result of a GET_BE_U_2()

This will fix this Visual Studio warning:
print-bootp.c(1009,18): warning C4242: =: conversion from uint16_t to
uint8_t, possible loss of data

Fix comments. [skip ci]

Yes, the offending set of *BSDs (FreeBSD, DragonFly BSD, and
CupertinoBSD) all do define IPPROTO_PIGP.  And the #defines are
IPPROTO_xxx, not IP_PROTO_xxx.

Add macOS to the list of OSes that define IPPROTO_IGRP as 88. [skip ci]

Add comments about the IGRP/EIGRP protocol number and #define mess.

The current IANA protocol number assignments page lists 9 as "any
private interior gateway (used by Cisco for their IGRP)" and 88 as
"EIGRP" from Cisco.

Recent FreeBSD and DragonFly BSD <netinet/in.h> headers define
IP_PROTO_IGRP as 9 and IP_PROTO_IGRP as 88.  We define IP_PROTO_PIGP
("private interior gateway protocol") as 9 and IP_PROTO_EIGRP as 88;
those names* better match what the current protocol number assignments
say.

tcpdump: show error message for PCAP_ERROR_CAPTURE_NOTSUP.

If an attempt to open a capture device failed because capturing isn't
supported on that device, check whether an error message with a further
explanation was provided and, if so, report it.

CHANGES: Add changes backported to 4.99

[skip ci]

frag6: Add a bounds check in non-verbose mode

Define ND_LONGJMP_FROM_TCHECK.

Rename a test and its output, with "-v" in the names.
Add a test case (same pcap printed without "-v").

IP: Use ND_TTEST_LEN() instead of a custom bounds check

This avoids an invalid-pointer-pair AddressSanitizer error with options
-fsanitize=address -fsanitize=pointer-compare
and
ASAN_OPTIONS=detect_invalid_pointer_pairs=1

The error was:
    ip_printroute_asan                      : TEST FAILED[...]

reading from file ip_printroute_asan.pcap, link-type EN10MB (Ethernet),
  snapshot length 60
=================================================================
==ERROR: AddressSanitizer: invalid-pointer-pair: 0x60600000006a
  0x60600000005c
    #0 0x558ce1cddb0b in ip_print
      /home/cpe/soft-origin/tcpdump/my-tcpdump/print-ip.c:429:55

0x60600000006a is located 14 bytes after 60-byte region
  [0x606000000020,0x60600000005c)
allocated by thread T0 here:
    #0 0x558ce1c5390e in malloc
      (/home/cpe/soft-origin/tcpdump/my-tcpdump/tcpdump+0x1fd90e)
    #1 0x558ce1efbba3 in pcap_check_header
      /home/cpe/soft-origin/tcpdump/my-libpcap/sf-pcap.c:480:14

0x60600000005c is located 0 bytes after 60-byte region
  [0x606000000020,0x60600000005c)
allocated by thread T0 here:
    #0 0x558ce1c5390e in malloc
      (/home/cpe/soft-origin/tcpdump/my-tcpdump/tcpdump+0x1fd90e)
    #1 0x558ce1efbba3 in pcap_check_header
      /home/cpe/soft-origin/tcpdump/my-libpcap/sf-pcap.c:480:14

SUMMARY: AddressSanitizer: invalid-pointer-pair
  /home/cpe/soft-origin/tcpdump/my-tcpdump/print-ip.c:429:55 in ip_print

Point to the correct documentation for installation on Windows. [skip ci]

CHANGES: Add a change backported to 4.99

[skip ci]

Add sub-second packet timestamp checks for invalid micro/nano

Now prints e.g.:
    2  17:16:10.1000000 (invalid ms) IP [...]
    3  17:16:10.2147483648 (invalid ms) IP [...]
or
    2  17:16:10.1000000000 (invalid ns) IP [...]
    3  17:16:10.2147483648 (invalid ns) IP [...]

Add two test files.

tests: Fix some tests with invalid microsecond packet timestamps

If the timestamp for packets are given in seconds and microseconds,
a microsecond value > 999999 is invalid. Set it to 999999.

IKEv1: Fix a typo in a comment

[skip ci]

Cirrus CI: Do not install coreutils on macOS. [skip appveyor]

libpcap build & test process now tolerates a missing timeout(1), so
let's keep the build environment as close to the original as possible.
This reverts commit 673a2fe.

CHANGES: move some misplaced main branch changes. [skip ci]

They were mistakenly put in a section for a 1.10 branch change.

CHANGES: additional pflog changes. [skip ci]

Switch to sentence case for some entries while we're at it.

pflog: handle OpenBSD's "rewriten" flag and addresses.

Derived from the OpenBSD tcpdump.

pflog: don't use PF_ as a prefix for #defines.

PF_ is used as a prefix for packet family values, and that may cause a
collision between PF_ packet family values, such as PF_DIVERT, and PF_
action valus, such as... PF_DIVERT.

Use PFACT_ for action values and PFDIR_ for direction values.

pflog: print the ruleset if it's present.

Do that regardless of whether the subrule is present.

Picked up from the OpenBSD tcpdump.

pflog: handle all types of pflog files, as best as can be done.

We can distinguish between FreeBSD, OpenBSD, and everything else
(NetBSD, DragonFly BSD, and Darwin) based on the length field in the
header.

For NetBSD, DragonFly BSD, and Darwin, the differences are the meaning
of certain reason and action codes; we just mark those with the OSes and
meanings, so the user will have to figure out whether reason code 15 is
"state-locked' (NetBSD)" or "dummynet" (Darwin)". The other ones
shouldn't occur on OSes other than Darwin, but we mark it just in case
they do.

Fix the handling of "UID not present"; that's 0xFFFFFFFFU in FreeBSD,
OpenBSD, and DragonFly BSD, but it's 0x7FFFFFFFU in NetBSD and Darwin,
so for "neither NetBSD nor OpenBSD" we check for both of those values.

Do the checks for minimum and maximum header lengths before we round
the header length up.

CHANGES: some additional changes not in 4.99. [skip ci]

LISP: Fix a typo

Update the outputs of two tests accordingly.

CHANGES: changes backported to 4.99. [skip ci]

CI: install coreutils with Homebrew on macOS. [skip appveyor]

We need it because we do an install of libpcap, including "make check",
and "make check" requires Homebrew's coreutils in order to get the
timeout command.

CI: Remove VS 2015 build. [skip ci]

VS 2015 is approximately 10 years old; get tid of the VS 2015 builds.

CI: expand the matrix for AppVeyor and fix issues that finds.

Add ARM64 builds for VS 2019 and VS 2022.

Fix cmake/Modules/FindPCAP.cmake to look in the right directory for pcap
libraries if the build isn't being done for 32-bit or 64-bit x86.

Use the -A flag for all generators; according to the CMake
documentation, they're supported for all generators in CMake 3.1 and
later and, on Windows, we require CMake 3.12 or later.  That ensures
that CMAKE_GENERATOR_PLATFORM will be set, so that we can use it to
determine the right directory in which to look for pcap libraries.

autotools, CMake: fix issues with snprintf test and sanitizers.

Avoid trying to cast negative values to unsigned types, or doing shifts
of signed types, in order not to have the test program fail if we're
building with undefined-behavior sanitizers enabled.

See the-tcpdump-group/libpcap#1396 for the equivalent libpcap issue.

CMake: check whether check_c_source_runs() works.

That's the simplest way to check whether we can use
check_c_source_runs() to test for a suitable snprintf; it's easier than
trying to find out the target instruction set architecture and comparing
it with the host instruction set architecture, as CMake doesn't provide
any mechanism to provide the target instruction set architecture, on all
platforms, in a form that can be compared with the host instruction set
architecture, and even if the target is different, we may be able to run
code for that instruction set architecture if, for example, it's a
32-bit version of the instruction set architecture on which the build is
being done, or if there's a binary emulator.

DECnet: Add comments about the specification. [skip ci]

tests: Remove debugging leftovers from TESTrun.

Rename the variable 'packets_skipped' to 'packets_to_skip'

Fix two undefined behaviors for the pcap_loop() call

Limit the --skip argument to INT_MAX.
Limit the sum of -c and --skip arguments to INT_MAX.

Fix the regression in 3eab64d3: The '--skip 0' option is allowed to get
the first packet in some loop e.g. in a shell script.

The errors were:

tcpdump.c:2696:8: runtime error: implicit conversion from type 'int' of
  value -1 (32-bit, signed) to type 'u_int' (aka 'unsigned int')
  changed the value to 4294967295 (32-bit, unsigned)
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior tcpdump.c:2696:8

tcpdump.c:2696:8: runtime error: implicit conversion from type 'u_int'
  (aka 'unsigned int') of value 4294967295 (32-bit, unsigned) to type
  'int' changed the value to -1 (32-bit, signed)
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior tcpdump.c:2696:8

autotools, CMake: add a comment.

We should have our own copies of the ONC RPC headers, rather than
relying on the OS to supply them.  We've already done that for most if
not all other protocols.

Add routines to parse numeric command-line arguments, and use them.

They do various error checks; use them instead of strto*() or atoi().

Use C99 macros to define 64-bit constants and maximum 64-bit values.

We require C99 support, so don't roll our own versions.

LISP: Add two length checks for "invalid" cases

Moreover:
Update a ND_ICHECK_U to ND_ICHECKMSG_U().
Add an "unsuported address family identifier" message.
Add two test cases (a pcap with two outputs, with/without -v).

SOME/IP: Remove empty lines in output

There is a newline in pretty_print_packet().

Update the output of some tests accordingly.

Update the man page date. [skip ci]

CHANGES: Add a change backported to 4.99

[skip ci]

Warn that options -A, -x[x] and -X[X] are mutually exclusive

[skip ci]

man: Add details on the relationships between -A, -X[X] and -x[x] options

[skip ci]

Add the --skip option in print_usage()

This is a follow-up to d0c66a2c2aa40ee0289198086cf20e1f21b7bf9c.

[skip ci]

BGP: Remove the UPDATE_BUF_BUFLEN() macro

This macro has been unused since commit 71045f95c.

Add comments to several #endif directives. [skip ci]

CHANGES: Add a change in the main section

[skip ci]

LISP: Modernize packet parsing

Define ND_LONGJMP_FROM_TCHECK and remove a 'trunc' label.
Make a bounds check conditional.
Use ND_ICHECK_U() for a length test.
Fix a bounds check, not invalid, but truncated.
(The bounds check is done by hex_print_with_offset() via hex_print().)
Use ND_TTEST_LEN() instead of testing ndo->ndo_snapend.
Remove an useless variable ('packet_iterator' same as 'bp').

Remove/update some comments.
Fix some indentations.
Remove some extra blank lines.

Update the outputs of two tests accordingly.

LISP: Add three test cases (existing pcap printed without "-v")

Rename three test and three test outputs, with "-v" in the names.

doc: Update OmniOS particulars. [skip ci]

r151052 has been released, r151048 is now end-of-life.

CMake: Fix the comment about versions. [skip ci]

CHANGES: Add a change in the main section

[skip ci]

RT6: Add a bounds check for the PadN TLV in Segment Routing Header

Define ND_LONGJMP_FROM_TCHECK.

Add a test file.

CHANGES: add changes backported to 4.99. [skip ci]

CMake: fix to support CMake 3.31.

Expand the "still support old versions of CMake, for the benefit of
people with older versions, but avoid deprecation warnings/errors"
section to handle the deprecation of pre-3.10 versions by 3.31.

ipv6: set the snapshot length for the payload correctly.

Cut off the snapshot length to the end of the IP payload or the end of
the data in which it's contained, whichever comes first.

Cirrus CI: Update the macOS task image

Based on https://cirrus-ci.org/guide/macOS/.

This will avoid the warning:
Only ghcr.io/cirruslabs/macos-runner:sonoma is allowed. Automatically
upgraded.

CHANGES: Add two changes backported to 4.99

[skip ci]

ptp: Add test for management packets

Test setup:
ip link add link vethA type veth peer name vethB
ip link set dev vethA up
ip link set dev vethB up
ptp4l -2 -P -S -i vethA &
tcpdump -i vethA 'ether[14] = 0xD' -w ptp_management.pcap &

Tcpdump filtering on only management packets (0xD) to skip capturing
other traffic that is already covered by other tests.

Sending management requests (which ptp4l responds to):
pmc -b 3 -2 -i vethB 'get current_data_set'
pmc -b 3 -2 -i vethB 'get port_data_set'
pmc -b 3 -2 -i vethB 'get default_data_set'
pmc -b 3 -2 -i vethB 'get parent_data_set'
pmc -b 3 -2 -i vethB 'get clock_description'

Sidenote: the management packets contains a TLV at the end and I
included 5 of them (out of the total ~50 listed in the
standard). Tcpdump currently does not print the TLV.

Signed-off-by: Casper Andersson <[email protected]>

ptp: Fix management packet fields

`bp` was modified inside the function but the change was not
reflected back outside, resulting in the fields afterwards accessing
the wrong part of the packet.

Signed-off-by: Casper Andersson <[email protected]>

CHANGES: Add a change backported to 4.99

[skip ci]

TCP: Fix Reset segment processing

When a received RST segment contains data, this is diagnostic data that
explains the cause of the RST.

So we have to stop processing, even if we don't print the data (no "-v").

Rename two test outputs, with "-v" in the names.
Add two test cases (existing pcap printed without "-v").

IPv6: Fix inconsistencies in the printing of some option names

1) Hop-by-Hop Options Header

$ ./tcpdump --skip 1 -c1 -tnv -r tests/icmpv6.pcap
Before:
IP6 (hlim 1, next-header Options (0), payload length 36)
  fe80::215:17ff:fecc:e546 > ff02::16: HBH (rtalert: 0x0000) (padn)
  [icmp6 sum ok] ICMP6, [...]

There is "next-header Options" but the next header is printed "HBH".

After:
IP6 (hlim 1, next-header HBH (0), payload length 36)
  fe80::215:17ff:fecc:e546 > ff02::16: HBH (rtalert: 0x0000) (padn)
  [icmp6 sum ok] ICMP6, [...]

2) Destination Options Header

$ ./tcpdump  -tnv -r tests/erspan-type-iii-pb-1.pcap
Before:
IP6 (class 0x30, flowlabel 0x00001, hlim 1, next-header unknown (60),
  payload length 288) 4120:7467:1700:4200:143:100:7f01:400e >
  4591:bfd7:cd87:d7:68:38:101:e800: DSTOPT (padn) [...]

There is "next-header unknown" but next header is printed "DSTOPT".

After:
IP6 (class 0x30, flowlabel 0x00001, hlim 1, next-header DSTOPT (60),
  payload length 288) 4120:7467:1700:4200:143:100:7f01:400e >
  4591:bfd7:cd87:d7:68:38:101:e800: DSTOPT (padn) [...]

Moreover:
Update a ndo_protocol (s/hbhopt/hbh/).
Use nd_print_protocol_caps().

Update some test outputs accordingly.

CHANGES: add a change backported to 4.99. [skip ci]

ip: set the snapshot length for the payload correctly.

Cut off the snapshot length to the end of the IP payload or the end of
the data in which it's contained, whichever comes first.

Don't hardwire the Windows system directory path.

Instead, fetch it with GetSystemDirectoryW() and append "\Npcap" to it.

erspan: add checks for data we don't print.

Make sure we don't run past the end of the captured data for fields we
skip in ERSPAN type III packets.

Add a test file.

Appveyor: Run "git show --oneline -s"

It is used to identify the git HEAD.

[skip ci]

erspan: Rename two printers

Rename erspan_print_i_ii() to erspan_i_ii_print() and erspan_print_iii()
to erspan_iii_print(), with _print suffixes as in most similar cases.

build_matrix.sh: Add a "| cat" at the end of a git command

This can avoid a display pause problem with "less -S" as a git pager.

This is a folow-up to 2f0fc907b4863d78e16528d1b9477e2fbc2d238b.

[skip ci]

build_matrix.sh: Run "git show --oneline -s"

It is used to identify the git HEAD.

Add vim swap files to .gitignore. [skip ci]

Add --skip option to skip some packets before writing or printing

With this change, we can write/print some contiguous packets from a file.
We can also skip some packets doing a live capture.

The '--skip 0' option is allowed to help some loop in a shell script.

Examples:

Skip 3 packets when printing:
tcpdump -#n --skip 3 -r in.pcap

Write the sixth packet, if any:
tcpdump --skip 5 -c 1 -r in.pcap -w out.pcap

Write up to 5 packets after skipping 3:
tcpdump --skip 3 -c 5 -r in.pcap -w out.pcap

Juniper: Use the ND_ICHECKMSG_U() macro for a length check

It displays the reason for the "invalid" case.

Before:
    1  2015-05-19 13:34:16.720640  (invalid)
After:
    1  2015-05-19 13:34:16.720640  [cookie length 10 > 8] (invalid)

This is a follow-up to 8c7221d39b44502999c78200d544665f13b4e331.

Add the poc test file from GitHub issue #783 (first packet).

Moreover:
Remove some extra blank lines.

Update the ND_TCHECK_LEN macro definitions

Avoid warnings such as in the following case:

        if (...)
                ND_TCHECK_LEN(...);
        else

With gcc:
source.c:X:12: warning: suggest explicit braces to avoid ambiguous
  'else' [-Wdangling-else]
    X |         if (...)
      |            ^

With clang:
source.c:Y:2: warning: add explicit braces to avoid dangling else
  [-Wdangling-else]
        else
        ^

Update the ND_ICHECKMSG_U and ND_ICHECKMSG_ZU macro definitions

Avoid errors such as in the following case:

        if (...)
                ND_ICHECKMSG_U(...);
else

source.c:X:9: error: 'else' without a previous 'if'
    X |         else
      |         ^~~~

with gcc, or "error: expected expression" with clang.

This avoids the need to use explicit braces (dangling else).

Same for ND_ICHECK_U, ND_ICHECKMSG_ZU and ND_ICHECK_ZU.

PTP: Remove spaces before colons in output

Update four test outputs accordingly.

Fix a few typos in comments

[skip ci]

CHANGES: Add a change backported to 4.99

[skip ci]

CHANGES: add a change backported to 1.10. [skip ci]

Make tcpdump find wpcap.dll on Windows if it's not in the system library.

See https://npcap.com/guide/npcap-devguide.html#npcap-feature-native-dll-implicitly
for details on what's being done.

Fix #1226.

Avoid some typo reports in comments

[skip ci]

README.windows.md: Add VS 2022. [skip ci]

Also, put the "here's how to install CMake from Visual Studio" stuff
ahead of the "oh, and you can install it with Chocolatey" stuff.

LWAPP: Fix indentation for some ND_PRINT()

[skip ci]

LWAPP: Fix indentation

s/^<tab>/<8 spaces>/

[skip ci]

LWAPP: Use flag bit names closer to those in the RFC

L Bit: If set, it's not "Last Fragment", but "Not Last".

Add comments on flag bits.

Moreover:
Remove extra spaces in the output.

CREDITS: Update Robert Edmonds entry. [skip ci]

Same as in libpcap.

CHANGES: Add a change in the main section

[skip ci]

NTP: Use GET_U_1() to replace a direct dereference

CHANGES: Add a change backported to 4.99

[skip ci]

Fix a typo in a comment

Fix '-tt' option printing when time > 2106-02-07T06:28:15Z

Currently the printing with '-tt' option (unix time) is incorrect.

Some examples:
1) test: time_2106_overflow-tt
0.000000 IP 192.168.1.11.43966 > 209.87.249.18.53: UDP, length 56
Should be:
4294967296.000000 IP 192.168.1.11.43966 > 209.87.249.18.53: UDP, length 56
2) test: time_2107-tt
28315904.000000 IP 192.168.1.11.43966 > 209.87.249.18.53: UDP, length 56
Should be:
4323283200.000000 IP 192.168.1.11.43966 > 209.87.249.18.53: UDP, length 56

Two build examples:
64-bit build: tv->tv_sec has type '__time_t' (aka 'long').
32-bit build with _TIME_BITS=64: tv->tv_sec has type '__time64_t'
  (aka 'long long').

Using 'unsigned' cast is incorrect for these 64-bit data.

Thus convert to 'int64_t' and print with '"%" PRId64'.

Add two test cases (existing pcapng printed with -tt).