<html><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><META name="Author" content="Novell GroupWise WebAccess"></head><body style='font-family: Helvetica, Arial, sans-serif; font-size: 13px; '><span id="result_box" class="" lang="en"><span class="hps">Hi Emiliano, <br><br>I still trying to log the IP4 source en IP4 destination addresses in dotted decimal format. <br><br>I was too</span> <span class="hps">fast in my</span> <span class="hps">opinion that</span> <span class="hps">everything worked fine</span></span> using the code you provided previously. I hope you will help me once again (or anyone else) to figure out what is wrong. <br><br>When I am adding this code to the dpx.c (from the <a href="https://webmail.hro.nl/gw/dpx-1.6.tar.gz%29">dpx-1.6.tar.gz)</a> just before the last } <br><br><br><i>IP4Hdr iphd;<br>sfip_t iphdt;<br></i><pre><i>iphdt = iphd.ip_src;
unsigned char* ipsrcp_test = (unsigned char*) &iphdt.ip;
unsigned int src_ip_test = (*ipsrcp_test << 24) + (*(ipsrcp_test+1) << 16) + \
(*(ipsrcp_test+2) << 8) + *(ipsrcp_test+3); unsigned short int src_port_test = \
p->src_port;

iphdt = iphd.ip_dst;
unsigned char* ipdstp_test = (unsigned char*) &iphdt.ip;
unsigned int dst_ip_test = (*ipdstp_test << 24) + (*(ipdstp_test+1) << 16) + \
(*(ipdstp_test+2) << 8) + *(ipdstp_test+3); unsigned short int dst_port_test = \
p->dst_port; _dpd.logMsg("\tTest: ipsrc%u portsrc%u ipdst%u \
portDst%u\n",src_ip_test,src_port_test, dst_ip_test,dst_port_test);</i></pre><br>I can not find the correct IP address output (the port numbers are correct) when running ./test.sh (using test.pcap as input) <br><br><i>Test: ipsrc16777216 portsrc12345 ipdst0         portDst8<br>Test: ipsrc16777216 portsrc8 ipdst0     portDst12345<br>Test: ipsrc16777216 portsrc12345 ipdst0         portDst80<br>Test: ipsrc16777216 portsrc12345 ipdst0         portDst8<br>Test: ipsrc16777216 portsrc8 ipdst0     portDst12345<br>Test: ipsrc16777216 portsrc12345 ipdst0         portDst80</i><br><br>The IPsrc should be 10.1.2.3 ...<br>The IPdst should be 10.4.5.6 ...<br><br>I can not figure out what is wrong. Any help is appreciated.<br><br>Regards,<br><br>Luc<br><br><br><br><br><br><br>>>> Zeeuw, L.V. de 07/25/14 9:19 AM >>><br><meta http-equiv="Content-Type" content="text/html; charset=utf-8"><meta name="Author" content="Novell GroupWise WebAccess">Hi Emiliano,<br><br>thank you! I have tried this and indeed it works fine if I use <br><br>   IP4Hdr iphd;<br>   sfip_t iphdt;<br><br>for the declaration.<br><br>These code snippets are very useful!<br><br>Regards,<br><br>Luc<br><br><br><br>>>> Emiliano Fausto <emiliano.fausto@...2499...> 07/24/14 6:49 PM >>><br><div dir="ltr"><div><div>Hello Luc,<br><br></div>I've tried this testing and it works fine:<pre><code class=""><br><span id="LC1023" class="">iphdt = iphd.ip_src;</span><br><span id="LC1024" class="">unsigned char* ipsrcp_test = (unsigned char*) &iphdt.ip;</span><br><span id="LC1025" class="">unsigned int src_ip_test = (*ipsrcp_test << 24) + (*(ipsrcp_test+1) << 16) + (*(ipsrcp_test+2) << 8) + *(ipsrcp_test+3);</span><br><span id="LC1026" class="">unsigned short int src_port_test = p->src_port;</span><br><span id="LC1027" class=""></span><span id="LC1028" class=""><br>iphdt = iphd.ip_dst;</span><br><span id="LC1029" class="">unsigned char* ipdstp_test = (unsigned char*) &iphdt.ip;</span><br><span id="LC1030" class="">unsigned int dst_ip_test = (*ipdstp_test << 24) + (*(ipdstp_test+1) << 16) + (*(ipdstp_test+2) << 8) + *(ipdstp_test+3);</span><br><span id="LC1031" class="">unsigned short int dst_port_test = p->dst_port;</span><br><span id="LC1033" class="">_dpd.logMsg(<span class="">"\tTest: ipsrc%u portsrc%u ipdst%u portDst%u\n"</span>,src_ip_test,src_port_test, dst_ip_test,dst_port_test);</span></code></pre><br></div>Hope it helps,<br> Emiliano.<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">2014-07-24 10:35 GMT-03:00 Zeeuw, L.V. de <span dir="ltr"><<a href="mailto:l.v.de.zeeuw@...3504..." target="_blank">l.v.de.zeeuw@...3504...</a>></span>:<br> <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="font-family:Helvetica,Arial,sans-serif;font-size:13px">Hi,<br><br>i am experimenting with the dpx. Its working. Now i started adding some statements to view the content ip4/tcp headers. I am able log things like src/dst, TCP payload size, etc. <br> <br><i>SFSnortPacket* p = (SFSnortPacket*)pkt;<br></i><i><i>_dpd.logMsg("Source port: %i, Destination port: %i\n",p->src_port, p->dst_port);<br></i>_dpd.logMsg("Payload size %i\n",p->payload_size);<br> </i><br>but from sf_snort_packet.h and sf_ip.h  (??) i do not know how to log an ip-address ... <br><br>I should like to ...<br><br><i>_dpd.logMsg("Source ip %<b>??</b> \n", <b>?????</b>);<br><br></i>BTW: Are there any recent books/tutorials for these kind of questions you would recommend? What about Snort development documentation for the most recent Snort version?<br> <br>Any help is appreciated.<br><br>Regards,<br><br>Luc<i><br><br></i>the Netherlands<i><br></i><br><br>    <br><br><br></div> <br>------------------------------------------------------------------------------<br> Want fast and easy access to all the code in your enterprise? Index and<br> search up to 200,000 lines of code with a free copy of Black Duck<br> Code Sight - the same software that powers the world's largest code<br> search on Ohloh, the Black Duck Open Hub! Try it now.<br> <a href="http://p.sf.net/sfu/bds" target="_blank">http://p.sf.net/sfu/bds</a><br>_______________________________________________<br> Snort-devel mailing list<br> <a href="mailto:Snort-devel@...2764...t">Snort-devel@lists.sourceforge.net</a><br> <a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br> Archive:<br> <a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel</a><br> <br> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote></div><br></div> </body></html>