Coral related tools

<title>Coral related tools</title>
<img src=/Images/moat2-logo-trans.gif>

<center>
<h3>Coral related tools</h3>
</center>


<p><a href=http://moat.nlanr.net/Coral>Coral</a> is a tool that allows
for the capture of packet header information off OC3 SONET links,
using the following format:

<p>The output format consists of typically several approximately 1MB
  concatenated blocks of data. Each data block consists of a 512 byte
  header, followed by 17408 packet entries of 60 bytes each. Hence the
  actual block size is 512+(17408*60)=1044992 bytes. The header
  includes infomation about which interface the data in "this" block is
  from, and how many of the 17408 entries are actually used. The 60 byte
  entries are depicted below. The DOS and Unix/Coral versions differ
  in that the DOS version has the first 64 bits of each 60 byte entry
  byte swapped. A flag for this is in the first 16 bits of each header,
  which is -1 (0xffff) for the non-byte-swapped (Unix) version.


<pre>
      0                   1                   2                   3
      0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  0  |                          clockstamp                           | Header
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  1  |          clockstamp           |          FIFO depth           |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  2  |                          ATM header                           |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  3  |                           LLC/SNAP                            |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  4  |                           LLC/SNAP                            |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  5  |Version|  IHL  |Type of Service|          Total Length         | IP
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  6  |         Identification        |Flags|      Fragment Offset    |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  7  |  Time to Live |    Protocol   |         Header Checksum       |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  8  |                       Source Address                          |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  9  |                    Destination Address                        |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  
   option or other header
  
     |          Source Port          |       Destination Port        | TCP
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
     |                        Sequence Number                        |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
     |                    Acknowledgment Number                      |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
     |  Data |           |U|A|P|R|S|F|                               |
     | Offset| Reserved  |R|C|S|S|Y|I|            Window             |
     |       |           |G|K|H|T|N|N|                               |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 
</pre>

<p>An example program to display some of the header contents in ASCII
is <a href=CRL/crl2asc.pl>crl2asc.pl</a>.

<p><a href=CRL/Dists/Mon2dump.tar.gz>mon2dump</a> is an example
program by MCI to convert the Coral format to tcpdump format.

<p>Another possibility is to convert to the NLANR <b>fr</b> or <b>fr+</b>
formats. These use fixed length records to store packet header
information:

<p><h4>fr format <a href=CRL/crl2fr.pl>(crl2fr.pl converter program)</a>:</h4>

<pre>

      0                   1                   2                   3
      0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  0  |                    timestamp (seconds)                        | Time
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  1  |                  timestamp (microseconds)                     |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  2  |                       Source Address                          | Header
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  3  |                    Destination Address                        |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  4  |          packet size          |  IP Protocol  |   TCP flags   |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  5  |          Source Port          |       Destination Port        | 
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+


</pre>

<p><h4>fr+ format <a href=CRL/crl2fr+.pl>(crl2fr+.pl converter program)</a>:</h4>

<pre>

      0                   1                   2                   3
      0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  0  |                    timestamp (seconds)                        | Time
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  1  |                  timestamp (microseconds)                     |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  2  |Version|  IHL  |Type of Service|          Total Length         | IP
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  3  |         Identification        |Flags|      Fragment Offset    |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  4  |  Time to Live |    Protocol   |         Header Checksum       |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  5  |                       Source Address                          |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  6  |                    Destination Address                        |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  7  |          Source Port          |       Destination Port        | TCP
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  8  |                        Sequence Number                        |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  9  |                    Acknowledgment Number                      |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
     |  Data |           |U|A|P|R|S|F|                               |
  10 | Offset| Reserved  |R|C|S|S|Y|I|            Window             |
     |       |           |G|K|H|T|N|N|                               |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

</pre>

<p>The <b>fr</b> and <b>fr+</b> formats can be parsed with varieties
of utilities, typically called <b>fs2...</b> to convert from <b>fr</b>
format, and <b>fs+2...</b> to convert from <b>fr+</b> format.

<p> Example programs include:

<ul>

 <li><b>fr</b> related:

 <ul>

  <li><a href=FR/fsenc.pl>fsenc.pl</a> -- encoder for src/dst addresses
  <li><a href=FR/fs2asc.pl>fs2asc.pl</a> -- converter to ASCII output

 </ul>

 <li><b>fr+</b> related:

 <ul>

  <li><a href=FR/fs+enc.pl>fs+enc.pl</a> -- encoder for src/dst addresses
  <li><a href=FR/fs+2asc.pl>fs+2asc.pl</a> -- converter to ASCII output

 </ul>

</ul>

<p>To desensitize the IP addressing information <a href=CRL/crlenc.pl>
crlenc.pl</a> can be used.

<p>Miscellaneous (not guaranteed, but then, what is?) analysis programs:

<p><ul>
  <li><a href=FR>for FR/FR+ format files</a>
  <li><a href=CRL>for OCXmon (Coral) format files</a>
</ul>

<p>The software is especially not guaranteed for multiple machine
architectures. We mostly use FreeBSD and Linux on x86 architectures, and
have used SGI and Digital Alphas in earlier years.