~ubuntu-branches/ubuntu/gutsy/wireshark/gutsy-security

 *

 * Some structures from RFC2630

 *

 *

 * Wireshark - Network traffic analyzer

 * By Gerald Combs <gerald@wireshark.org>

 

#include <stdio.h>

#include <string.h>

#include <ctype.h>

 

#ifdef HAVE_LIBNETTLE

#include <nettle/des.h>

#include <nettle/cbc.h>

#endif

#include <sys/stat.h>   /* For keyfile manipulation */

#endif

 

#include <epan/packet.h>

 

#include <epan/strutil.h>

 

#include <epan/dissectors/packet-gssapi.h>

 

#define UDP_PORT_KERBEROS               88

#define TCP_PORT_KERBEROS               88

 

guint32 krb5_errorcode;

 

 

 

static gboolean do_col_info;

 

dissect_krb5_PW_SALT(packet_info *pinfo _U_, proto_tree *tree, tvbuff_t *tvb, int offset)

{

        /* Microsoft stores a special 12 byte blob here

         * guint32 unknown

         * guint32 unknown

         * decode everything as this blob for now until we see if anyone

 

 

 

static const true_false_string krb5_ticketflags_forwardable = {

        "FORWARDABLE tickets are allowed/requested",

        "Do NOT use forwardable tickets"

                tree=proto_item_add_subtree(item, ett_krb_PAC_LOGON_INFO);

        }

 

         * compiler   the first 4 bytes might be flags?

         */

        proto_tree_add_text(tree, tvb, offset, 16, "unknown blob");

                tree=proto_item_add_subtree(item, ett_krb_PAC_CONSTRAINED_DELEGATION);

        }

 

         * compiler   the first 4 bytes might be flags?

         */

        proto_tree_add_text(tree, tvb, offset, 16, "unknown blob");

        proto_tree_add_item(tree, hf_krb_gssapi_c_flag_mutual, tvb, offset, 4, TRUE);

        proto_tree_add_item(tree, hf_krb_gssapi_c_flag_deleg, tvb, offset, 4, TRUE);

        offset += 4;

        /* the next fields are optional so we have to check that we have

         * more data in our buffers */

        if(tvb_length_remaining(tvb, offset)<2){

        /* this should now be a KRB_CRED message */

        offset=dissect_ber_choice(pinfo, tree, tvb, offset, kerberos_applications_choice, -1, -1, NULL);

 

        return offset;

}

 

                break;

        case KRB5_ET_KRB5KDC_ERR_PREAUTH_REQUIRED:

        case KRB5_ET_KRB5KDC_ERR_PREAUTH_FAILED:

                offset=dissect_ber_octet_string_wcb(FALSE, pinfo, tree, tvb, offset, hf_krb_e_data, dissect_krb5_padata);

 

                break;

    return (dissect_kerberos_common(tvb, pinfo, tree, do_col_info, FALSE, FALSE, cb));

}

 

kerberos_output_keytype(void)

{

  return keytype;

dissect_kerberos_udp(tvbuff_t *tvb, packet_info *pinfo, proto_tree *tree)

{

    /* Some weird kerberos implementation apparently do krb4 on the krb5 port.

       an opcode <=16 in the first byte, use this to see if it might

       be krb4.

       All krb5 commands start with an APPL tag and thus is >=0x60

       so if first byte is <=16  just blindly assume it is krb4 then

    */

    if(tvb_bytes_exist(tvb, 0, 1) && tvb_get_guint8(tvb, 0)<=0x10){

        gboolean res;

 

        res=call_dissector_only(krb4_handle, tvb, pinfo, tree);

}

 

guint

{

    guint krb_rm;

    gint pdulen;

        show_krb_recordmark(kerberos_tree, tvb, offset, krb_rm);

        offset += 4;

    } else {

         * All krb5 packets start with a TAG class that is BER_CLASS_APP

         * and a tag value that is either of the values below:

         * If it doesnt look like kerberos, return 0 and let someone else have