Ciao a tutti :)

Sto studiando la classe jpcap di java. Ho scritto un codice molto semplice (preso pari pari dagli esempi scaricabili da QUA (http://netresearch.ics.uci.edu/kfujii/jpcap/doc/samples.html)) che cattura i pacchetti ICMP della mia scheda di rete virtuale e stampa a schermo il sequence number del pacchetto catturato.

A prima vista il codice funziona ma, appena il sequence number supera un certo valore, il numero che il programma "legge" diventa di 256 unità più piccolo di quanto dovrebbe...
Superato un secondo valore, il gap aumenta di altri 256 :eek:
E' chiaro che qualcosa non va. Al di là della risoluzione (è probabile che abbia fatto qualche errore di gioventù, non sono assolutamente pratico), vorrei capire la motivazione di questo comportamento anomalo.

Ecco il codice:
import jpcap.*;
import jpcap.PacketReceiver;
import jpcap.packet.Packet;
import jpcap.packet.ICMPPacket;

class Tcpdump implements PacketReceiver {
public void receivePacket(Packet packet) {
ICMPPacket icmp = (ICMPPacket) packet;
System.out.println(icmp.seq);
}

public static void main(String[] args) throws Exception {
NetworkInterface[] devices = JpcapCaptor.getDeviceList();
if(args.length<1){
System.out.println("usage: java Tcpdump <select a number from the following>");

for (int i = 0; i < devices.length; i++) {
System.out.println(i+" :"+devices[i].name + "(" + devices[i].description+")");
System.out.println(" data link:"+devices[i].datalink_name + "("
+ devices[i].datalink_description+")");
System.out.print(" MAC address:");
for (byte b : devices[i].mac_address)
System.out.print(Integer.toHexString(b&0xff) + ":");
System.out.println();
for (NetworkInterfaceAddress a : devices[i].addresses)
System.out.println(" address:"+a.address + " " + a.subnet + " "
+ a.broadcast);
}
}else{
JpcapCaptor jpcap = JpcapCaptor.openDevice(devices[Integer.parseInt(args[0])], 2000, false, 20);

jpcap.loopPacket(-1, new Tcpdump());
}
}
}


Grazie :D

Il campo seq è uno short. Questo vuol dire che in Java il suo range è [-2^15, 2^15 - 1] ossia [-32768, 32767]. Ora dalle RFC (in particolare ho dato uno sguardo alla RFC 792) non sono riuscito a capire se effettivamente quello short è con o senza segno.

Nel primo caso (con segno) il range coincide con quello del tipo primitivo in Java.
Nel secondo (senza segno) il range è [0, 65535].

Comunque ho fatto qualche prova.
Se creo un pacchetto ICMP con sequence number arbitrario, Jpcap mi restituisce:

* (seq mod 256), se 0 <= (seq mod 256) <= 127
* (seq mod 256) - 256, se 128 <= (seq mod 256) <= 255

Es:
seq = 127 -> seq di jpcap = 127
seq = 128 -> seq di jpcap = -128
seq = 255 -> seq di jpcap = -1
seq = 383 -> seq di jpcap = 127....e così via.

Il seq.number è uno short senza segno.

Edit 2: Ho capito l'origine del problema.

La stringa ICMPPacket icmp = (ICMPPacket) packet non funziona :D
Il pacchetto ICMP che ottengo non è corretto.

...ora tocca vedere come convertirlo in ICMP o, ancora, come catturarlo direttamente come ICMP...

Il seq.number è uno short senza segno.

Edit 2: Ho capito l'origine del problema.

La stringa ICMPPacket icmp = (ICMPPacket) packet non funziona :D
Il pacchetto ICMP che ottengo non è corretto.

...ora tocca vedere come convertirlo in ICMP o, ancora, come catturarlo direttamente come ICMP...

Seq number è senza segno da RFC intendi?

E che intendi pure nel dire che il pacchetto ICMP non è corretto???

Intendo che, nel protocollo, viene usato come short unsigned.

Per "non corretto" intendo che il pacchetto che catturo, in realtà, è corrotto. Per questo mi restituisce quei valori

:)

Intendo che, nel protocollo, viene usato come short unsigned.
Bè a dirti la verità mi era sembrato di averlo letto distrattamente, ma poi non ho più trovato il riferimento e ho pensato di essermelo inventato....:D

Il mistero rimane, visto che allora non si spiega come mai jpcap faccia quella strana operazione al seq.

Ma come ti generi il traffico ICMP? Sempre con la libreria o usi un altro programma?

Bè a dirti la verità mi era sembrato di averlo letto distrattamente, ma poi non ho più trovato il riferimento e ho pensato di essermelo inventato....:D

Il mistero rimane, visto che allora non si spiega come mai jpcap faccia quella strana operazione al seq.

Ma come ti generi il traffico ICMP? Sempre con la libreria o usi un altro programma?

Con un altra classe fatta ad hoc, sempre con jpcap =)

Mi rispondo. Il codice pare essere esatto. Ho compilato con versioni precedenti della libreria e il risultato è che:
- con la versione 0.6 non v'è alcun output. Il numero non è catturato affatto, quindi.
- con la versione 0.5 vi è output, ma il numero catturato è totalmente sbagliato.

A questo punto, poiché le rimanenti informazioni del pacchetto sono corrette, suppongo di essere incappato in un bug. Ho mandato una mail al creatore della libreria per chiedere conferme/smentite. Spero che corregga, anche perché, egoisticamente, avevo già tutto bello finito e di usare altre librerie (...ci sarebbe la versione di sourge force) e riscrivere tutto mi fa venir voglia di andare tutto al diavolo :cry:

Certo che ce ne vuole di c*lo a riprendere java dopo anni ed incappare (utopisticamente) in un bug :D

Aspetto notizie!:)

Ho aggirato il tutto con un ciclo del tipo:


...
short seqNumber = icmp.seq;

for (int i =0; i <256; i++){
p.sendPacket(seqNumber) ; //metodo che manda il pacchetto
seqNumber = (short) (seqNumber + 256);
}



Che, per ogni pacchetto ricevuto, manda 256 pacchetti, uno solo che il sequence number corretto.
Fa un pò schifo... ma non ho trovato soluzioni migliori. Spero che lo sviluppatore mi risponda :)