Set the svn:eol-style property on all text files to "native", so that
[obnox/wireshark/wip.git] / FAQ
1
2    The Ethereal FAQ
3
4    Note: This is just an ASCII snapshot of the faq and may not be up to
5          date. Please go to http://www.ethereal.com/faq.html for the up
6          to date version. The version of this snapshot can be found at
7          the end of this document.
8
9    INDEX
10
11
12 General Questions:
13
14    1.1 Where can I get help?
15
16    1.2 What protocols are currently supported?
17
18    1.3 Are there any plans to support {your favorite protocol}?
19
20    1.4 Can Ethereal read capture files from {your favorite network
21    analyzer}?
22
23    1.5 What devices can Ethereal use to capture packets?
24
25    1.6 How do you pronounce Ethereal? Where did the name come from?
26
27 Downloading Ethereal:
28
29    2.1 I downloaded the Win32 installer, but when I try to run it, I get
30    an error.
31
32    2.2 When I try to download the WinPcap driver and library, I can't get
33    to the WinPcap Web site.
34
35 Installing Ethereal:
36
37    3.1 I installed an Ethereal RPM, but Ethereal doesn't seem to be
38    installed; only Tethereal is installed.
39
40 Building Ethereal:
41
42    4.1 The configure script can't find pcap.h or bpf.h, but I have
43    libpcap installed.
44
45    4.2 Why do I get the error 
46
47      dftest_DEPENDENCIES was already defined in condition TRUE, which
48      implies condition HAVE_PLUGINS_TRUE
49
50    when I try to build Ethereal from CVS or a CVS snapshot?
51
52    4.3 The link fails with a number of "Output line too long." messages
53    followed by linker errors. 
54
55    4.4 The link fails on Solaris because plugin_list is undefined. 
56
57    4.5 The build fails on Windows because of conflicts between winsock.h
58    and winsock2.h. 
59
60    4.6 I'm trying to build Ethereal 0.10.0a on Windows; why is the the
61    build failing with an error saying it can't find "Makefile.nmake"?
62
63 Using Ethereal:
64
65    5.1 When I use Ethereal to capture packets, I see only packets to and
66    from my machine, or I'm not seeing all the traffic I'm expecting to
67    see from or to the machine I'm trying to monitor.
68
69    5.2 I can't see any TCP packets other than packets to and from my
70    machine, even though another analyzer on the network sees those
71    packets.
72
73    5.3 I'm only seeing ARP packets when I try to capture traffic.
74
75    5.4 I'm running Ethereal on Windows; why does some network interface
76    on my machine not show up in the list of interfaces in the
77    "Interface:" field in the dialog box popped up by "Capture->Start",
78    and/or why does Ethereal give me an error if I try to capture on that
79    interface? 
80
81    5.5 I'm running Ethereal on Windows; why do no network interfaces show
82    up in the list of interfaces in the "Interface:" field in the dialog
83    box popped up by "Capture->Start"? 
84
85    5.6 I'm running Ethereal on Windows; why doesn't my serial port/ADSL
86    modem/ISDN modem/show up in the list of interfaces in the "Interface:"
87    field in the dialog box popped up by "Capture->Start"? 
88
89    5.7 I'm running Ethereal on a UNIX-flavored OS; why does some network
90    interface on my machine not show up in the list of interfaces in the
91    "Interface:" field in the dialog box popped up by "Capture->Start",
92    and/or why does Ethereal give me an error if I try to capture on that
93    interface? 
94
95    5.8 I'm running Ethereal on a UNIX-flavored OS; why do no network
96    interfaces show up in the list of interfaces in the "Interface:" field
97    in the dialog box popped up by "Capture->Start"? 
98
99    5.9 Can Ethereal capture on (my T1/E1 line, SS7 links, etc.)? 
100
101    5.10 How do I put an interface into promiscuous mode?
102
103    5.11 I can set a display filter just fine, but capture filters don't
104    work.
105
106    5.12 I'm entering valid capture filters, but I still get "parse error"
107    errors.
108
109    5.13 I saved a filter and tried to use its name to filter the display,
110    but I got an "Unexpected end of filter string" error.
111
112    5.14 Why am I seeing lots of packets with incorrect TCP checksums?
113
114    5.15 I've just installed Ethereal, and the traffic on my local LAN is
115    boring.
116
117    5.16 When I run Ethereal on Solaris 8, it dies with a Bus Error when I
118    start it.
119
120    5.17 When I run Tethereal with the "-x" option, it crashes with an
121    error "** ERROR **: file print.c: line 691 (print_line): should not be
122    reached".
123
124    5.18 When I run Ethereal on Windows NT, it dies with a Dr. Watson
125    error, reporting an "Integer division by zero" exception, when I start
126    it.
127
128    5.19 When I try to run Ethereal, it complains about
129    sprint_realloc_objid being undefined.
130
131    5.20 I'm running Ethereal on Linux; why do my time stamps have only
132    100ms resolution, rather than 1us resolution?
133
134    5.21 I'm capturing packets on {Windows 95, Windows 98, Windows Me};
135    why are the time stamps on packets wrong? 
136
137    5.22 When I try to run Ethereal on Windows, it fails to run because it
138    can't find packet.dll.
139
140    5.23 I'm running Ethereal on Windows NT/2000/XP/Server; my machine has
141    a PPP (dial-up POTS, ISDN, etc.) interface, and it shows up in the
142    "Interface" item in the "Capture Options" dialog box. Why can no
143    packets be sent on or received from that network while I'm trying to
144    capture traffic on that interface?
145
146    5.24 I'm running Ethereal on Windows 95/98/Me, on a machine with more
147    than one network adapter of the same type; Ethereal shows all of those
148    adapters with the same name, but I can't use any of those adapters
149    other than the first one.
150
151    5.25 I'm running Ethereal on Windows, and I'm not seeing any traffic
152    being sent by the machine running Ethereal.
153
154    5.26 I'm trying to capture traffic but I'm not seeing any.
155
156    5.27 I have an XXX network card on my machine; if I try to capture on
157    it, my machine crashes or resets itself. 
158
159    5.28 My machine crashes or resets itself when I select "Start" from
160    the "Capture" menu or select "Preferences" from the "Edit" menu. 
161
162    5.29 Does Ethereal work on Windows Me? 
163
164    5.30 Does Ethereal work on Windows XP? 
165
166    5.31 Why doesn't Ethereal correctly identify RTP packets? It shows
167    them only as UDP.
168
169    5.32 Why doesn't Ethereal show Yahoo Messenger packets in captures
170    that contain Yahoo Messenger traffic?
171
172    5.33 Why do I get the error 
173
174      Gdk-ERROR **: Palettized display (256-colour) mode not supported on
175      Windows.
176      aborting....
177
178    when I try to run Ethereal on Windows?
179
180    5.34 When I capture on Windows in promiscuous mode, I can see packets
181    other than those sent to or from my machine; however, those packets
182    show up with a "Short Frame" indication, unlike packets to or from my
183    machine. What should I do to arrange that I see those packets in their
184    entirety? 
185
186    5.35 I'm capturing packets on a machine on a VLAN; why don't the
187    packets I'm capturing have VLAN tags? 
188
189    5.36 How can I capture raw 802.11 packets, including non-data
190    (management, beacon) packets? 
191
192    5.37 I'm trying to capture 802.11 traffic on Windows; why am I not
193    seeing any packets? 
194
195    5.38 I'm trying to capture 802.11 traffic on Windows; why am I seeing
196    packets received by the machine on which I'm capturing traffic, but
197    not packets sent by that machine? 
198
199    5.39 How can I capture packets with CRC errors? 
200
201    5.40 How can I capture entire frames, including the FCS? 
202
203    5.41 Ethereal hangs after I stop a capture. 
204
205    5.42 How can I search for, or filter, packets that have a particular
206    string anywhere in them? 
207
208 General Questions
209
210    Q 1.1: Where can I get help?
211
212    A: Support is available on the ethereal-users mailing list.
213    Subscription information and archives for all of Ethereal's mailing
214    lists can be found at http://www.ethereal.com/lists
215
216    Q 1.2: What protocols are currently supported?
217
218    A: There are currently 512 supported protocols and media, listed
219    below. Descriptions can be found in the ethereal(1) man page.
220
221             3GPP2 A11
222             802.1q Virtual LAN
223             802.1x Authentication
224             AAL type 2 signalling protocol - Capability set 1 (Q.2630.1)
225             AFS (4.0) Replication Server call declarations
226             AIM Administrative
227             AIM Advertisements
228             AIM Buddylist Service
229             AIM Chat Navigation
230             AIM Chat Service
231             AIM Directory Search
232             AIM Generic Service
233             AIM ICQ
234             AIM Invitation Service
235             AIM Location
236             AIM Messaging
237             AIM OFT
238             AIM Popup
239             AIM Privacy Management Service
240             AIM Server Side Info
241             AIM Signon
242             AIM Statistics
243             AIM Translate
244             AIM User Lookup
245             ANSI A-I/F BSMAP
246             ANSI A-I/F DTAP
247             ANSI IS-637-A (SMS) Teleservice Layer
248             ANSI IS-637-A (SMS) Transport Layer
249             ANSI IS-683-A (OTA (Mobile))
250             ANSI IS-801 (Location Services (PLD))
251             ANSI Mobile Application Part
252             AOL Instant Messenger
253             ARCNET
254             ATM
255             ATM AAL1
256             ATM AAL3/4
257             ATM LAN Emulation
258             ATM OAM AAL
259             AVS WLAN Capture header
260             Ad hoc On-demand Distance Vector Routing Protocol
261             Address Resolution Protocol
262             Aggregate Server Access Protocol
263             Alert Standard Forum
264             Alteon - Transparent Proxy Cache Protocol
265             Andrew File System (AFS)
266             Apache JServ Protocol v1.3
267             Apple IP-over-IEEE 1394
268             AppleTalk Filing Protocol
269             AppleTalk Session Protocol
270             AppleTalk Transaction Protocol packet
271             Appletalk Address Resolution Protocol
272             Application Configuration Access Protocol
273             Async data over ISDN (V.120)
274             Authentication Header
275             BACnet Virtual Link Control
276             BEA Tuxedo
277             BSS GPRS Protocol
278             BSSAP/BSAP
279             Banyan Vines ARP
280             Banyan Vines Echo
281             Banyan Vines Fragmentation Protocol
282             Banyan Vines ICP
283             Banyan Vines IP
284             Banyan Vines IPC
285             Banyan Vines LLC
286             Banyan Vines RTP
287             Banyan Vines SPP
288             Basic Encoding Rules (ASN.1 X.690)
289             Bearer Independent Call Control
290             Bi-directional Fault Detection Control Message
291             Blocks Extensible Exchange Protocol
292             Boardwalk
293             Boot Parameters
294             Bootstrap Protocol
295             Border Gateway Protocol
296             Building Automation and Control Network APDU
297             Building Automation and Control Network NPDU
298             CCSDS
299             CDS Clerk Server Calls
300             Cast Client Control Protocol
301             Check Point High Availability Protocol
302             Checkpoint FW-1
303             Cisco Auto-RP
304             Cisco Discovery Protocol
305             Cisco Group Management Protocol
306             Cisco HDLC
307             Cisco Hot Standby Router Protocol
308             Cisco ISL
309             Cisco Interior Gateway Routing Protocol
310             Cisco NetFlow
311             Cisco SLARP
312             Clearcase NFS
313             CoSine IPNOS L2 debug output
314             Common Open Policy Service
315             Common Unix Printing System (CUPS) Browsing Protocol
316             Compuserve GIF
317             Connectionless Lightweight Directory Access Protocol
318             Cross Point Frame Injector
319             DCE Distributed Time Service Local Server
320             DCE Distributed Time Service Provider
321             DCE Name Service
322             DCE RPC
323             DCE Security ID Mapper
324             DCE/RPC BOS Server
325             DCE/RPC BUDB
326             DCE/RPC BUTC
327             DCE/RPC CDS Solicitation
328             DCE/RPC Conversation Manager
329             DCE/RPC Directory Acl Interface
330             DCE/RPC Endpoint Mapper
331             DCE/RPC Endpoint Mapper4
332             DCE/RPC FLDB
333             DCE/RPC FLDB UBIK TRANSFER
334             DCE/RPC FLDB UBIKVOTE
335             DCE/RPC ICL RPC
336             DCE/RPC Kerberos V
337             DCE/RPC NCS 1.5.1 Local Location Broker
338             DCE/RPC Operations between registry server replicas
339             DCE/RPC Prop Attr
340             DCE/RPC RS_ACCT
341             DCE/RPC RS_BIND
342             DCE/RPC RS_MISC
343             DCE/RPC RS_PROP_ACCT
344             DCE/RPC RS_UNIX
345             DCE/RPC Registry Password Management
346             DCE/RPC Registry Server Attributes Schema
347             DCE/RPC Registry server propagation interface - ACLs.
348             DCE/RPC Registry server propagation interface - PGO items
349             DCE/RPC Registry server propagation interface - properties and poli
350 cies
351             DCE/RPC Remote Management
352             DCE/RPC Repserver Calls
353             DCE/RPC TokenServer Calls
354             DCE/RPC UpServer
355             DCOM OXID Resolver
356             DCOM Remote Activation
357             DEC Spanning Tree Protocol
358             DFS Calls
359             DHCPv6
360             DICOM
361             DNS Control Program Server
362             Data
363             Data Link SWitching
364             Data Stream Interface
365             Datagram Delivery Protocol
366             Diameter Protocol
367             Distance Vector Multicast Routing Protocol
368             Distcc Distributed Compiler
369             Distributed Checksum Clearinghouse Protocol
370             Domain Name Service
371             Dynamic DNS Tools Protocol
372             Echo
373             Encapsulating Security Payload
374             Enhanced Interior Gateway Routing Protocol
375             EtherNet/IP (Industrial Protocol)
376             Ethernet
377             Ethernet over IP
378             Extensible Authentication Protocol
379             FC Extended Link Svc
380             FC Fabric Configuration Server
381             FCIP
382             FTP Data
383             FTServer Operations
384             Fiber Distributed Data Interface
385             Fibre Channel
386             Fibre Channel Common Transport
387             Fibre Channel Fabric Zone Server
388             Fibre Channel Name Server
389             Fibre Channel Protocol for SCSI
390             Fibre Channel SW_ILS
391             Fibre Channel Security Protocol
392             Fibre Channel Single Byte Command
393             File Transfer Protocol (FTP)
394             Financial Information eXchange Protocol
395             Frame
396             Frame Relay
397             GARP Multicast Registration Protocol
398             GARP VLAN Registration Protocol
399             GPRS Network service
400             GPRS Tunneling Protocol
401             GSM A-I/F BSSMAP
402             GSM A-I/F DTAP
403             GSM A-I/F RP
404             GSM Mobile Application Part
405             GSM SMS TPDU (GSM 03.40)
406             GSM Short Message Service User Data
407             General Inter-ORB Protocol
408             Generic Routing Encapsulation
409             Generic Security Service Application Program Interface
410             Gnutella Protocol
411             H225
412             H245
413             H4501
414             HP Extended Local-Link Control
415             HP Remote Maintenance Protocol
416             Hummingbird NFS Daemon
417             HyperSCSI
418             Hypertext Transfer Protocol
419             IAX2
420             ICQ Protocol
421             IEEE 802.11 Radiotap Capture header
422             IEEE 802.11 wireless LAN
423             IEEE 802.11 wireless LAN management frame
424             ILMI
425             IP Device Control (SS7 over IP)
426             IP Over FC
427             IP Payload Compression
428             IP Virtual Services Sync Daemon
429             IPX Message
430             IPX Routing Information Protocol
431             IPX WAN
432             ISDN
433             ISDN Q.921-User Adaptation Layer
434             ISDN User Part
435             ISO 10589 ISIS InTRA Domain Routeing Information Exchange Protocol
436             ISO 8073 COTP Connection-Oriented Transport Protocol
437             ISO 8327-1 OSI Session Protocol
438             ISO 8473 CLNP ConnectionLess Network Protocol
439             ISO 8602 CLTP ConnectionLess Transport Protocol
440             ISO 8823 OSI Presentation Protocol
441             ISO 9542 ESIS Routeing Information Exchange Protocol
442             ITU-T E.164 number
443             ITU-T Recommendation H.261
444             ITU-T Recommendation H.263 RTP Payload header (RFC2190)
445             InMon sFlow
446             Intel ANS probe
447             Intelligent Platform Management Interface
448             Inter-Access-Point Protocol
449             InterSwitch Message Protocol
450             Interbase
451             Internet Cache Protocol
452             Internet Content Adaptation Protocol
453             Internet Control Message Protocol
454             Internet Control Message Protocol v6
455             Internet Group Management Protocol
456             Internet Group membership Authentication Protocol
457             Internet Message Access Protocol
458             Internet Printing Protocol
459             Internet Protocol
460             Internet Protocol Version 6
461             Internet Relay Chat
462             Internet Security Association and Key Management Protocol
463             Internetwork Packet eXchange
464             JPEG File Interchange Format
465             Jabber XML Messaging
466             Java RMI
467             Java Serialization
468             Kerberos
469             Kerberos Administration
470             Kernel Lock Manager
471             LWAP Control Message
472             LWAPP Encapsulated Packet
473             LWAPP Layer 3 Packet
474             Label Distribution Protocol
475             Laplink
476             Layer 2 Tunneling Protocol
477             Lightweight Directory Access Protocol
478             Line Printer Daemon Protocol
479             Line-based text data
480             Link Access Procedure Balanced (LAPB)
481             Link Access Procedure Balanced Ethernet (LAPBETHER)
482             Link Access Procedure, Channel D (LAPD)
483             Link Aggregation Control Protocol
484             Link Management Protocol (LMP)
485             Linux cooked-mode capture
486             Local Management Interface
487             LocalTalk Link Access Protocol
488             Logical Link Control GPRS
489             Logical-Link Control
490             Lucent/Ascend debug output
491             MDS Header
492             MIME Multipart Media Encapsulation
493             MMS Message Encapsulation
494             MS Kpasswd
495             MS Proxy Protocol
496             MSN Messenger Service
497             MSNIP: Multicast Source Notification of Interest Protocol
498             MTP 2 Transparent Proxy
499             MTP 2 User Adaptation Layer
500             MTP 3 User Adaptation Layer
501             MTP2 Peer Adaptation Layer
502             Media Type
503             Media Type: message/http
504             Message Transfer Part Level 2
505             Message Transfer Part Level 3
506             Message Transfer Part Level 3 Management
507             Microsoft Directory Replication Service
508             Microsoft Distributed File System
509             Microsoft Distributed Link Tracking Server Service
510             Microsoft Encrypted File System Service
511             Microsoft Exchange MAPI
512             Microsoft Local Security Architecture
513             Microsoft Local Security Architecture (Directory Services)
514             Microsoft Messenger Service
515             Microsoft Network Logon
516             Microsoft Registry
517             Microsoft Security Account Manager
518             Microsoft Server Service
519             Microsoft Service Control
520             Microsoft Spool Subsystem
521             Microsoft Task Scheduler Service
522             Microsoft Telephony API Service
523             Microsoft Windows Browser Protocol
524             Microsoft Windows Lanman Remote API Protocol
525             Microsoft Windows Logon Protocol
526             Microsoft Workstation Service
527             Mobile IP
528             Mobile IPv6
529             Modbus/TCP
530             Mount Service
531             MultiProtocol Label Switching Header
532             Multicast Router DISCovery protocol
533             Multicast Source Discovery Protocol
534             Multiprotocol Label Switching Echo
535             MySQL Protocol
536             NFSACL
537             NFSAUTH
538             NIS+
539             NIS+ Callback
540             NSPI
541             NTLM Secure Service Provider
542             Name Binding Protocol
543             Name Management Protocol over IPX
544             NetBIOS
545             NetBIOS Datagram Service
546             NetBIOS Name Service
547             NetBIOS Session Service
548             NetBIOS over IPX
549             NetWare Core Protocol
550             NetWare Link Services Protocol
551             NetWare Serialization Protocol
552             Network Data Management Protocol
553             Network File System
554             Network Lock Manager Protocol
555             Network News Transfer Protocol
556             Network Status Monitor CallBack Protocol
557             Network Status Monitor Protocol
558             Network Time Protocol
559             Nortel SONMP
560             Novell Distributed Print System
561             Novell Modular Authentication Service
562             Null/Loopback
563             OSI ISO 8571 FTAM Protocol
564             OSI ISO/IEC 10035-1 ACSE Protocol
565             Open Shortest Path First
566             OpenBSD Encapsulating device
567             OpenBSD Packet Filter log file
568             OpenBSD Packet Filter log file, pre 3.4
569             Optimized Link State Routing Protocol
570             PC NFS
571             POSTGRESQL
572             PPP Bandwidth Allocation Control Protocol
573             PPP Bandwidth Allocation Protocol
574             PPP CDP Control Protocol
575             PPP Callback Control Protocol
576             PPP Challenge Handshake Authentication Protocol
577             PPP Compressed Datagram
578             PPP Compression Control Protocol
579             PPP IP Control Protocol
580             PPP IPv6 Control Protocol
581             PPP Link Control Protocol
582             PPP MPLS Control Protocol
583             PPP Multilink Protocol
584             PPP Multiplexing
585             PPP OSI Control Protocol
586             PPP Password Authentication Protocol
587             PPP VJ Compression
588             PPP-over-Ethernet Discovery
589             PPP-over-Ethernet Session
590             PPPMux Control Protocol
591             Packed Encoding Rules (ASN.1 X.691)
592             Point-to-Point Protocol
593             Point-to-Point Tunnelling Protocol
594             Portmap
595             Post Office Protocol
596             Pragmatic General Multicast
597             Precision Time Protocol (IEEE1588)
598             Prism
599             Privilege Server operations
600             Protocol Independent Multicast
601             Q.2931
602             Q.931
603             Q.933
604             Quake II Network Protocol
605             Quake III Arena Network Protocol
606             Quake Network Protocol
607             QuakeWorld Network Protocol
608             Qualified Logical Link Control
609             RFC 2250 MPEG1
610             RFC 2833 RTP Event
611             RIPng
612             RPC Browser
613             RS Interface properties
614             RSTAT
615             RSYNC File Synchroniser
616             RX Protocol
617             Radio Access Network Application Part
618             Radius Protocol
619             Raw packet data
620             Real Time Streaming Protocol
621             Real-Time Publish-Subscribe Wire Protocol
622             Real-Time Transport Protocol
623             Real-time Transport Control Protocol
624             Registry Server Attributes Manipulation Interface
625             Registry server administration operations.
626             Remote Management Control Protocol
627             Remote Override interface
628             Remote Procedure Call
629             Remote Program Load
630             Remote Quota
631             Remote Shell
632             Remote Shutdown
633             Remote Wall protocol
634             Remote sec_login preauth interface.
635             Resource ReserVation Protocol (RSVP)
636             Rlogin Protocol
637             Routing Information Protocol
638             Routing Table Maintenance Protocol
639             SADMIND
640             SCSI
641             SEBEK - Kernel Data Capture
642             SGI Mount Service
643             SMB (Server Message Block Protocol)
644             SMB MailSlot Protocol
645             SMB Pipe Protocol
646             SNA-over-Ethernet
647             SNMP Multiplex Protocol
648             SPNEGO-KRB5
649             SPRAY
650             SS7 SCCP-User Adaptation Layer
651             SSCOP
652             SSH Protocol
653             Secure Socket Layer
654             Sequenced Packet eXchange
655             Service Advertisement Protocol
656             Service Location Protocol
657             Session Announcement Protocol
658             Session Description Protocol
659             Session Initiation Protocol
660             Session Initiation Protocol (SIP as raw text)
661             Short Message Peer to Peer
662             Signalling Connection Control Part
663             Signalling Connection Control Part Management
664             Simple Mail Transfer Protocol
665             Simple Network Management Protocol
666             Simple Traversal of UDP Through NAT
667             Sinec H1 Protocol
668             Sipfrag
669             Skinny Client Control Protocol
670             SliMP3 Communication Protocol
671             Socks Protocol
672             SoulSeek Protocol
673             Spanning Tree Protocol
674             Spnego
675             Stream Control Transmission Protocol
676             Subnetwork Dependent Convergence Protocol
677             Symantec Enterprise Firewall
678             Synchronous Data Link Control (SDLC)
679             Syslog message
680             Systems Network Architecture
681             Systems Network Architecture XID
682             T38
683             TACACS
684             TACACS+
685             TEI Management Procedure, Channel D (LAPD)
686             TEREDO Tunneling IPv6 over UDP through NATs
687             TPKT
688             Tabular Data Stream
689             Tazmen Sniffer Protocol
690             Telnet
691             Time Protocol
692             Time Synchronization Protocol
693             Token-Ring
694             Token-Ring Media Access Control
695             Transaction Capabilities Application Part
696             Transmission Control Protocol
697             Transparent Network Substrate Protocol
698             Trivial File Transfer Protocol
699             UDP Encapsulation of IPsec Packets
700             Universal Computer Protocol
701             User Datagram Protocol
702             Virtual Router Redundancy Protocol
703             Virtual Trunking Protocol
704             WAP Binary XML
705             WAP Session Initiation Request
706             Web Cache Coordination Protocol
707             WebSphere MQ
708             WebSphere MQ Programmable Command Formats
709             Wellfleet Breath of Life
710             Wellfleet Compression
711             Wellfleet HDLC
712             Who
713             Windows 2000 DNS
714             Wireless Session Protocol
715             Wireless Transaction Protocol
716             Wireless Transport Layer Security
717             X Display Manager Control Protocol
718             X.25
719             X.25 over TCP
720             X.29
721             X11
722             Xyplex
723             Yahoo Messenger Protocol
724             Yahoo YMSG Messenger Protocol
725             Yellow Pages Bind
726             Yellow Pages Passwd
727             Yellow Pages Service
728             Yellow Pages Transfer
729             Zebra Protocol
730             Zone Information Protocol
731             eDonkey Protocol
732             iSCSI
733             iSNS
734
735    Q 1.3: Are there any plans to support {your favorite protocol}?
736
737    A: Support for particular protocols is added to Ethereal as a result
738    of people contributing that support; no formal plans for adding
739    support for particular protocols in particular future releases exist.
740
741    Q 1.4: Can Ethereal read capture files from {your favorite network
742    analyzer}?
743
744    A: Support for particular protocols is added to Ethereal as a result
745    of people contributing that support; no formal plans for adding
746    support for particular protocols in particular future releases exist.
747
748    If a network analyzer writes out files in a format already supported
749    by Ethereal (e.g., in libpcap format), Ethereal may already be able to
750    read them, unless the analyzer has added its own proprietary
751    extensions to that format.
752
753    If a network analyzer writes out files in its own format, or has added
754    proprietary extensions to another format, in order to make Ethereal
755    read captures from that network analyzer, we would either have to have
756    a specification for the file format, or the extensions, sufficient to
757    give us enough information to read the parts of the file relevant to
758    Ethereal, or would need at least one capture file in that format AND a
759    detailed textual analysis of the packets in that capture file (showing
760    packet time stamps, packet lengths, and the top-level packet header)
761    in order to reverse-engineer the file format.
762
763    Note that there is no guarantee that we will be able to
764    reverse-engineer a capture file format.
765
766    Q 1.5: What devices can Ethereal use to capture packets?
767
768    A: Ethereal can read live data from Ethernet, Token-Ring, FDDI, serial
769    (PPP and SLIP) (if the OS on which it's running allows Ethereal to do
770    so), 802.11 wireless LAN (if the OS on which it's running allows
771    Ethereal to do so), ATM connections (if the OS on which it's running
772    allows Ethereal to do so), and the "any" device supported on Linux by
773    recent versions of libpcap. See the list of supported capture media on
774    various OSes for details (several items in there say "Unknown", which
775    doesn't mean "Ethereal can't capture on them", it means "we don't know
776    whether it can capture on them"; we expect that it will be able to
777    capture on many of them, but we haven't tried it ourselves - if you
778    try one of those types and it works, please send an update to
779    _EWEB_MAILTO).
780
781    It can also read a variety of capture file formats, including:
782      * libpcap/tcpdump
783      * Sun snoop/atmsnoop
784      * Shomiti/Finisar Surveyor
785      * LanAlyzer
786      * DOS-based Sniffer (compressed and uncompressed)
787      * MS Network Monitor
788      * AIX iptrace
789      * NetXray and Windows-based Sniffer
790      * EtherPeek/TokenPeek/AiroPeek
791      * RADCOM WAN/LAN analyzer
792      * Lucent/Ascend debug output
793      * Toshiba ISDN router "snoop" output
794      * HPUX nettl
795      * ISDN4BSD "i4btrace" utility.
796      * Cisco Secure IDS
797      * pppd log files (pppdump format)
798      * VMS TCPIPtrace
799      * DBS Etherwatch
800      * Visual Networks' Visual UpTime
801      * CoSine L2 debug
802
803    so that it can read traces from various network types, as captured by
804    other applications or equipment, even if it cannot itself capture on
805    those network types.
806
807    Q 1.6: How do you pronounce Ethereal? Where did the name come from?
808
809    A: The English pronunciation can be found in Merriam-Webster's online
810    dictionary at
811    http://www.m-w.com/cgi-bin/dictionary?book=Dictionary&va=ethereal.
812
813    According to the book "Computer Networks" by Andrew Tannenbaum,
814    Ethernet was named after the "luminiferous ether" which was once
815    thought to carry electromagnetic radiation. Taking that into
816    consideration, Ethereal seemed like an appropriate name for an
817    Ethernet analyzer.
818
819 Downloading Ethereal
820
821    Q 2.1: I downloaded the Win32 installer, but when I try to run it, I
822    get an error.
823
824    A: The program you used to download it may have downloaded it
825    incorrectly. Web browsers sometimes may do this.
826
827    Try downloading it with, for example:
828      * Wget, for which Windows binaries are available on the SunSITE FTP
829        server at sunsite.tk or Heiko Herold's windows wget spot - wGetGUI
830        offers a GUI interface that uses wget;
831      * WS_FTP from Ipswitch,
832      * the ftp command that comes with Windows.
833
834    If you use the ftp command, make sure you do the transfer in binary
835    mode rather than ASCII mode, by using the binary command before
836    transferring the file.
837
838    Q 2.2: When I try to download the WinPcap driver and library, I can't
839    get to the WinPcap Web site.
840
841    A: As is the case with all Web sites, that site won't necessarily
842    always be accessible; the server may be down due to a problem or down
843    for maintenance, or there may be a networking problem between you and
844    the server. You should try again later, or try the local mirror or the
845    Wiretapped.net mirror.
846
847 Installing Ethereal
848
849    Q 3.1: I installed an Ethereal RPM, but Ethereal doesn't seem to be
850    installed; only Tethereal is installed.
851
852    A: Older versions of the Red Hat RPMs for Ethereal put only the
853    non-GUI components into the ethereal RPM, the fact that Ethereal is a
854    GUI program nonwithstanding; newer versions make it a bit clearer by
855    giving that RPM a name starting with ethereal-base.
856
857    In those older versions, there's a separate ethereal-gnome RPM that
858    includes GUI components such as Ethereal itself, the fact that
859    Ethereal doesn't use GNOME nonwithstanding; newer versions make it a
860    bit clearer by giving that RPM a name starting with ethereal-gtk+.
861
862    Find the ethereal-gnome or ethereal-gtk+ RPM, and install that also.
863
864 Building Ethereal
865
866    Q 4.1: The configure script can't find pcap.h or bpf.h, but I have
867    libpcap installed.
868
869    A: Are you sure pcap.h and bpf.h are installed? The official
870    distribution of libpcap only installs the libpcap.a library file when
871    "make install" is run. To install pcap.h and bpf.h, you must run "make
872    install-incl". If you're running Debian or Redhat, make sure you have
873    the "libpcap-dev" or "libpcap-devel" packages installed.
874
875    It's also possible that pcap.h and bpf.h have been installed in a
876    strange location. If this is the case, you may have to tweak
877    aclocal.m4.
878
879    Q 4.2: Why do I get the error
880
881      dftest_DEPENDENCIES was already defined in condition TRUE, which
882      implies condition HAVE_PLUGINS_TRUE
883
884    when I try to build Ethereal from CVS or a CVS snapshot?
885
886    A: You probably have automake 1.5 installed on your machine (the
887    command automake --version will report the version of automake on your
888    machine). There is a bug in that version of automake that causes this
889    problem; upgrade to a later version of automake (1.6 or later).
890
891    Q 4.3: The link fails with a number of "Output line too long."
892    messages followed by linker errors.
893
894    A: The version of the sed command on your system is incapable of
895    handling very long lines. On Solaris, for example, /usr/bin/sed has a
896    line length limit too low to allow libtool to work; /usr/xpg4/bin/sed
897    can handle it, as can GNU sed if you have it installed.
898
899    On Solaris, changing your command search path to search /usr/xpg4/bin
900    before /usr/bin should make the problem go away; on any platform on
901    which you have this problem, installing GNU sed and changing your
902    command path to search the directory in which it is installed before
903    searching the directory with the version of sed that came with the OS
904    should make the problem go away.
905
906    Q 4.4: The link fails on Solaris because plugin_list is undefined.
907
908    A: This appears to be due to a problem with some versions of the GTK+
909    and GLib packages from www.sunfreeware.org; un-install those packages,
910    and try getting the 1.2.10 versions from that site, or the versions
911    from The Written Word, or the versions from Sun's GNOME distribution,
912    or the versions from the supplemental software CD that comes with the
913    Solaris media kit, or build them from source from the GTK Web site.
914    Then re-run the configuration script, and try rebuilding Ethereal. (If
915    you get the 1.2.10 versions from www.sunfreeware.org, and the problem
916    persists, un-install them and try installing one of the other versions
917    mentioned.)
918
919    Q 4.5: The build fails on Windows because of conflicts between
920    winsock.h and winsock2.h.
921
922    A: As of Ethereal 0.9.5, you must install WinPcap 2.3 or later, and
923    the corresponding version of the developer's pack, in order to be able
924    to compile Ethereal; it will not compile with older versions of the
925    developer's pack. The symptoms of this failure are conflicts between
926    definitions in winsock.h and in winsock2.h; Ethereal uses winsock2.h,
927    but pre-2.3 versions of the WinPcap developer's packet use winsock.h.
928    (2.3 uses winsock2.h, so if Ethereal were to use winsock.h, it would
929    not be able to build with current versions of the WinPcap developer's
930    pack.)
931
932    Note that the installed version of the developer's pack should be the
933    same version as the version of WinPcap you have installed.
934
935    Q 4.6: I'm trying to build Ethereal 0.10.0a on Windows; why is the the
936    build failing with an error saying it can't find "Makefile.nmake"?
937
938    A: There was a bug in the 0.10.0a distribution that caused
939    "tools\Makefile.nmake" not to be in the source code release. You can
940    download it with the URL
941    http://www.ethereal.com/cgi-bin/viewcvs.cgi/*checkout*/ethereal/tools/
942    Makefile.nmake?rev=1.5. Put it into "tools\Makefile.nmake" and try the
943    build again.
944
945 Using Ethereal
946
947    Q 5.1: When I use Ethereal to capture packets, I see only packets to
948    and from my machine, or I'm not seeing all the traffic I'm expecting
949    to see from or to the machine I'm trying to monitor.
950
951    A: This might be because the interface on which you're capturing is
952    plugged into a switch; on a switched network, unicast traffic between
953    two ports will not necessarily appear on other ports - only broadcast
954    and multicast traffic will be sent to all ports.
955
956    Note that even if your machine is plugged into a hub, the "hub" may be
957    a switched hub, in which case you're still on a switched network.
958
959    Note also that on the Linksys Web site, they say that their
960    auto-sensing hubs "broadcast the 10Mb packets to the port that operate
961    at 10Mb only and broadcast the 100Mb packets to the ports that operate
962    at 100Mb only", which would indicate that if you sniff on a 10Mb port,
963    you will not see traffic coming sent to a 100Mb port, and vice versa.
964    This problem has also been reported for Netgear dual-speed hubs, and
965    may exist for other "auto-sensing" or "dual-speed" hubs.
966
967    Some switches have the ability to replicate all traffic on all ports
968    to a single port so that you can plug your analyzer into that single
969    port to sniff all traffic. You would have to check the documentation
970    for the switch to see if this is possible and, if so, to see how to do
971    this. See, for example:
972      * this documentation from Cisco on the Switched Port Analyzer (SPAN)
973        feature on Catalyst switches;
974      * documentation from HP on how to set "monitoring"/"mirroring" on
975        ports on the console for HP Advancestack Switch 208 and 224;
976      * the "Network Monitoring Port Features" section of chapter 6 of
977        documentation from HP for HP ProCurve Switches 1600M, 2424M,
978        4000M, and 8000M;
979      * the "Switch Port-Mirroring" section of chapter 6 of documentation
980        from Extreme Networks for their Summit 200 switches;
981      * the documentation on "Configuring Port Mirroring and Monitoring"
982        in Foundry Networks' documentation for their FastIron Edge
983        Switches;
984      * the documentation on "Configuring Port Mirroring and Monitoring"
985        in Foundry Networks' documentation for their BigIron MG8 Layer 3
986        Switches;
987      * the "Port Monitor" subsection of the "Status Monitor and
988        Statistics" section of the documentation from Foundry Networks for
989        their EdgeIron 4802F and 10GC2F switches;
990      * the "Configuring Port Mirroring" section of chapter 3 of the
991        documentation from Foundry Networks for their EdgeIron 24G,
992        2402CF, and 4802CF switches;
993      * the documentation on "Configuring Port Mirroring and Monitoring"
994        in Foundry Networks' documentation for their other switches and
995        metro routers.
996
997    Note also that many firewall/NAT boxes have a switch built into them;
998    this includes many of the "cable/DSL router" boxes. If you have a box
999    of that sort, that has a switch with some number of Ethernet ports
1000    into which you plug machines on your network, and another Ethernet
1001    port used to connect to a cable or DSL modem, you can, at least, sniff
1002    traffic between the machines on your network and the Internet by
1003    plugging the Ethernet port on the router going to the modem, the
1004    Ethernet port on the modem, and the machine on which you're running
1005    Ethereal into a hub (make sure it's not a switching hub, and that, if
1006    it's a dual-speed hub, all three of those ports are running at the
1007    same speed.
1008
1009    If your machine is not plugged into a switched network or a dual-speed
1010    hub, or it is plugged into a switched network but the port is set up
1011    to have all traffic replicated to it, the problem might be that the
1012    network interface on which you're capturing doesn't support
1013    "promiscuous" mode, or because your OS can't put the interface into
1014    promiscuous mode. Normally, network interfaces supply to the host
1015    only:
1016      * packets sent to one of that host's link-layer addresses;
1017      * broadcast packets;
1018      * multicast packets sent to a multicast address that the host has
1019        configured the interface to accept.
1020
1021    Most network interfaces can also be put in "promiscuous" mode, in
1022    which they supply to the host all network packets they see. Ethereal
1023    will try to put the interface on which it's capturing into promiscuous
1024    mode unless the "Capture packets in promiscuous mode" option is turned
1025    off in the "Capture Options" dialog box, and Tethereal will try to put
1026    the interface on which it's capturing into promiscuous mode unless the
1027    -p option was specified. However, some network interfaces don't
1028    support promiscuous mode, and some OSes might not allow interfaces to
1029    be put into promiscuous mode.
1030
1031    If the interface is not running in promiscuous mode, it won't see any
1032    traffic that isn't intended to be seen by your machine. It will see
1033    broadcast packets, and multicast packets sent to a multicast MAC
1034    address the interface is set up to receive.
1035
1036    You should ask the vendor of your network interface whether it
1037    supports promiscuous mode. If it does, you should ask whoever supplied
1038    the driver for the interface (the vendor, or the supplier of the OS
1039    you're running on your machine) whether it supports promiscuous mode
1040    with that network interface.
1041
1042    In the case of token ring interfaces, the drivers for some of them, on
1043    Windows, may require you to enable promiscuous mode in order to
1044    capture in promiscuous mode. Ask the vendor of the card how to do
1045    this, or see, for example, this information on promiscuous mode on
1046    some Madge token ring adapters (note that those cards can have
1047    promiscuous mode disabled permanently, in which case you can't enable
1048    it).
1049
1050    In the case of wireless LAN interfaces, it appears that, when those
1051    interfaces are promiscuously sniffing, they're running in a
1052    significantly different mode from the mode that they run in when
1053    they're just acting as network interfaces (to the extent that it would
1054    be a significant effor for those drivers to support for promiscuously
1055    sniffing and acting as regular network interfaces at the same time),
1056    so it may be that Windows drivers for those interfaces don't support
1057    promiscuous mode.
1058
1059    Q 5.2: I can't see any TCP packets other than packets to and from my
1060    machine, even though another analyzer on the network sees those
1061    packets.
1062
1063    A: You're probably not seeing any packets other than unicast packets
1064    to or from your machine, and broadcast and multicast packets; a switch
1065    will normally send to a port only unicast traffic sent to the MAC
1066    address for the interface on that port, and broadcast and multicast
1067    traffic - it won't send to that port unicast traffic sent to a MAC
1068    address for some other interface - and a network interface not in
1069    promiscuous mode will receive only unicast traffic sent to the MAC
1070    address for that interface, broadcast traffic, and multicast traffic
1071    sent to a multicast MAC address the interface is set up to receive.
1072
1073    TCP doesn't use broadcast or multicast, so you will only see your own
1074    TCP traffic, but UDP services may use broadcast or multicast so you'll
1075    see some UDP traffic - however, this is not a problem with TCP
1076    traffic, it's a problem with unicast traffic, as you also won't see
1077    all UDP traffic between other machines.
1078
1079    I.e., this is probably the same question as this earlier one; see the
1080    response to that question.
1081
1082    Q 5.3: I'm only seeing ARP packets when I try to capture traffic.
1083
1084    A: You're probably on a switched network, and running Ethereal on a
1085    machine that's not sending traffic to the switch and not being sent
1086    any traffic from other machines on the switch. ARP packets are often
1087    broadcast packets, which are sent to all switch ports.
1088
1089    I.e., this is probably the same question as this earlier one; see the
1090    response to that question.
1091
1092    Q 5.4: I'm running Ethereal on Windows; why does some network
1093    interface on my machine not show up in the list of interfaces in the
1094    "Interface:" field in the dialog box popped up by "Capture->Start",
1095    and/or why does Ethereal give me an error if I try to capture on that
1096    interface?
1097
1098    A: If you are running Ethereal on Windows NT 4.0, Windows 2000,
1099    Windows XP, or Windows Server, and this is the first time you have run
1100    a WinPcap-based program (such as Ethereal, or Tethereal, or WinDump,
1101    or Analyzer, or...) since the machine was rebooted, you need to run
1102    that program from an account with administrator privileges; once you
1103    have run such a program, you will not need administrator privileges to
1104    run any such programs until you reboot.
1105
1106    If you are running on Windows 95/98/Me, or if you are running on
1107    Windows NT 4.0/2000/XP/Server and have administrator privileges or a
1108    WinPcap-based program has been run with those privileges since the
1109    machine rebooted, then note that Ethereal relies on the WinPcap
1110    library, on the WinPcap device driver, and on the facilities that come
1111    with the OS on which it's running in order to do captures.
1112
1113    Therefore, if the OS, the WinPcap library, or the WinPcap driver don't
1114    support capturing on a particular network interface device, Ethereal
1115    won't be able to capture on that device.
1116
1117    Note that:
1118     1. 2.02 and earlier versions of the WinPcap driver and library that
1119        Ethereal uses for packet capture didn't support Token Ring
1120        interfaces; versions 2.1 and later support Token Ring, and the
1121        current version of Ethereal works with (and, in fact, requires)
1122        WinPcap 2.1 or later.
1123        If you are having problems capturing on Token Ring interfaces, and
1124        you have WinPcap 2.02 or an earlier version of WinPcap installed,
1125        you should uninstall WinPcap, download and install the current
1126        version of WinPcap, and then install the latest version of
1127        Ethereal.
1128     2. On Windows 95, 98, or Me, sometimes more than one interface will
1129        be given the same name; if that is the case, you will only be able
1130        to capture on one of those interfaces - it's not clear to which
1131        one the name, when used in a WinPcap-based application, will
1132        refer. For example, if you have a PPP serial interface and a VPN
1133        interface, they might show up with the same name, for example
1134        "ppp-mac", and if you try to capture on "ppp-mac", it might not
1135        capture on the interface you're currently using. In that case, you
1136        might, for example, have to remove the VPN interface from the
1137        system in order to capture on the PPP serial interface.
1138     3. WinPcap 3.0 doesn't support PPP WAN interfaces, and WinPcap 2.3
1139        doesn't support PPP WAN interfaces on Windows NT/2000/XP/Server,
1140        so Ethereal cannot capture packets on those devices with WinPcap
1141        3.0, or with WInPcap 2.x when running on Windows
1142        NT/2000/XP/Server. Regular dial-up lines, ISDN lines, and various
1143        other lines such as T1/E1 lines are all PPP interfaces. This may
1144        cause the interface not to show up on the list of interfaces in
1145        the "Capture Options" dialog.
1146     4. WinPcap prior to 3.0 does not support multiprocessor machines
1147        (note that machines with a single multi-threaded processor, such
1148        as Intel's new multi-threaded x86 processors, are multiprocessor
1149        machines as far as the OS and WinPcap are concerned), and recent
1150        2.x versions of WinPcap refuse to operate if they detect that
1151        they're running on a multiprocessor machine, which means that they
1152        may not show any network interfaces. You will need to use WinPcap
1153        3.0 to capture on a multiprocessor machine.
1154
1155    If an interface doesn't show up in the list of interfaces in the
1156    "Interface:" field, and you know the name of the interface, try
1157    entering that name in the "Interface:" field and capturing on that
1158    device.
1159
1160    If the attempt to capture on it succeeds, the interface is somehow not
1161    being reported by the mechanism Ethereal uses to get a list of
1162    interfaces; please report this to ethereal-dev@ethereal.com giving
1163    full details of the problem, including
1164      * the operating system you're using, and the version of that
1165        operating system;
1166      * the type of network device you're using.
1167
1168    If you are having trouble capturing on a particular network interface,
1169    first try capturing on that device with WinDump; see the WinDump Web
1170    site or the local mirror of the WinDump Web site for information on
1171    using WinDump.
1172
1173    If you can capture on the interface with WinDump, send mail to
1174    ethereal-users@ethereal.com giving full details of the problem,
1175    including
1176      * the operating system you're using, and the version of that
1177        operating system;
1178      * the type of network device you're using;
1179      * the error message you get from Ethereal.
1180
1181    If you cannot capture on the interface with WinDump, this is almost
1182    certainly a problem with one or more of:
1183      * the operating system you're using;
1184      * the device driver for the interface you're using;
1185      * the WinPcap library and/or the WinPcap device driver;
1186
1187    so first check the WinPcap FAQ, the local mirror of that FAQ, or the
1188    Wiretapped.net mirror of that FAQ, to see if your problem is mentioned
1189    there. If not, then see the WinPcap support page (or the local mirror
1190    of that page) - check the "Submitting bugs" section.
1191
1192    You may also want to ask the ethereal-users@ethereal.com and the
1193    winpcap-users@winpcap.polito.it mailing lists to see if anybody
1194    happens to know about the problem and know a workaround or fix for the
1195    problem. (Note that you will have to subscribe to that list in order
1196    to be allowed to mail to it; see the WinPcap support page, or the
1197    local mirror of that page, for information on the mailing list.) In
1198    your mail, please give full details of the problem, as described
1199    above, and also indicate that the problem occurs with WinDump, not
1200    just with Ethereal.
1201
1202    Q 5.5: I'm running Ethereal on Windows; why do no network interfaces
1203    show up in the list of interfaces in the "Interface:" field in the
1204    dialog box popped up by "Capture->Start"?
1205
1206    A: This is really the same question as the previous one; see the
1207    response to that question.
1208
1209    Q 5.6: I'm running Ethereal on Windows; why doesn't my serial
1210    port/ADSL modem/ISDN modem/show up in the list of interfaces in the
1211    "Interface:" field in the dialog box popped up by "Capture->Start"?
1212
1213    A: All of those devices support Internet access using the
1214    Point-to-Point (PPP) protocol; WinPcap 3.0 doesn't support PPP
1215    interfaces, and WinPcap 2.x doesn't support PPP interfaces on Windows
1216    NT/2000/XP/Server, so Ethereal cannot capture packets on those devices
1217    with WinPcap 3.0, or with WinPcap 2.x when running on Windows
1218    NT/2000/XP/Server. This may cause the interface not to show up on the
1219    list of interfaces in the "Capture Options" dialog.
1220
1221    Q 5.7: I'm running Ethereal on a UNIX-flavored OS; why does some
1222    network interface on my machine not show up in the list of interfaces
1223    in the "Interface:" field in the dialog box popped up by
1224    "Capture->Start", and/or why does Ethereal give me an error if I try
1225    to capture on that interface?
1226
1227    A: You may need to run Ethereal from an account with sufficient
1228    privileges to capture packets, such as the super-user account. Only
1229    those interfaces that Ethereal can open for capturing show up in that
1230    list; if you don't have sufficient privileges to capture on any
1231    interfaces, no interfaces will show up in the list.
1232
1233    If you are running Ethereal from an account with sufficient
1234    privileges, then note that Ethereal relies on the libpcap library, and
1235    on the facilities that come with the OS on which it's running in order
1236    to do captures.
1237
1238    Therefore, if the OS or the libpcap library don't support capturing on
1239    a particular network interface device, Ethereal won't be able to
1240    capture on that device.
1241
1242    On Linux, note that you need to have "packet socket" support enabled
1243    in your kernel; see the "Packet socket" item in the Linux
1244    "Configure.help" file.
1245
1246    On BSD, note that you need to have BPF support enabled in your kernel;
1247    see the documentation for your system for information on how to enable
1248    BPF support (if it's not enabled by default on your system).
1249
1250    On DEC OSF/1, Digital UNIX, or Tru64 UNIX, note that you need to have
1251    packet filtering support in your kernel; the doconfig command will
1252    allow you to configure and build a new kernel with that option.
1253
1254    On Solaris, note that libpcap 0.6.2 and earlier didn't support Token
1255    Ring interfaces; the current version, 0.7.2, does support Token Ring,
1256    and the current version of Ethereal works with libcap 0.7.2 and later.
1257
1258    If an interface doesn't show up in the list of interfaces in the
1259    "Interface:" field, and you know the name of the interface, try
1260    entering that name in the "Interface:" field and capturing on that
1261    device.
1262
1263    If the attempt to capture on it succeeds, the interface is somehow not
1264    being reported by the mechanism Ethereal uses to get a list of
1265    interfaces; please report this to ethereal-dev@ethereal.com giving
1266    full details of the problem, including
1267      * the operating system you're using, and the version of that
1268        operating system (for Linux, give both the version number of the
1269        kernel and the name and version number of the distribution you're
1270        using);
1271      * the type of network device you're using.
1272
1273    If you are having trouble capturing on a particular network interface,
1274    and you've made sure that (on platforms that require it) you've
1275    arranged that packet capture support is present, as per the above,
1276    first try capturing on that device with tcpdump.
1277
1278    If you can capture on the interface with tcpdump, send mail to
1279    ethereal-users@ethereal.com giving full details of the problem,
1280    including
1281      * the operating system you're using, and the version of that
1282        operating system (for Linux, give both the version number of the
1283        kernel and the name and version number of the distribution you're
1284        using);
1285      * the type of network device you're using;
1286      * the error message you get from Ethereal.
1287
1288    If you cannot capture on the interface with tcpdump, this is almost
1289    certainly a problem with one or more of:
1290      * the operating system you're using;
1291      * the device driver for the interface you're using;
1292      * the libpcap library;
1293
1294    so you should report the problem to the company or organization that
1295    produces the OS (in the case of a Linux distribution, report the
1296    problem to whoever produces the distribution).
1297
1298    You may also want to ask the ethereal-users@ethereal.com and the
1299    tcpdump-workers@tcpdump.org mailing lists to see if anybody happens to
1300    know about the problem and know a workaround or fix for the problem.
1301    In your mail, please give full details of the problem, as described
1302    above, and also indicate that the problem occurs with tcpdump not just
1303    with Ethereal.
1304
1305    Q 5.8: I'm running Ethereal on a UNIX-flavored OS; why do no network
1306    interfaces show up in the list of interfaces in the "Interface:" field
1307    in the dialog box popped up by "Capture->Start"?
1308
1309    A: This is really the same question as the previous one; see the
1310    response to that question.
1311
1312    Q 5.9: Can Ethereal capture on (my T1/E1 line, SS7 links, etc.)?
1313
1314    A: Ethereal can only capture on devices supported by libpcap/WinPcap.
1315    On most OSes, only devices that can act as network interfaces of the
1316    type that support IP are supported as capture devices for
1317    libpcap/WinPcap, although the device doesn't necessarily have to be
1318    running as an IP interface in order to support traffic capture.
1319
1320    On Linux and FreeBSD, libpcap 0.8 and later support the API for Endace
1321    Measurement Systems' DAG cards, so that a system with one of those
1322    cards, and its driver and libraries, installed can capture traffic
1323    with those cards with libpcap-based applications. You would either
1324    have to have a version of Ethereal built with that version of libpcap,
1325    or a dynamically-linked version of Ethereal and a shared libpcap
1326    library with DAG support, in order to do so with Ethereal. You should
1327    ask Endace whether that could be used to capture traffic on, for
1328    example, your T1/E1 link.
1329    There is currently no hardware to support capturing on SS7 links with
1330    libpcap. (Note that the fact that Ethereal includes dissectors for
1331    many SS7 protocols doesn't imply that it can capture traffic from SS7
1332    links; those protocols can be run over Internet protocols.)
1333
1334    Q 5.10: How do I put an interface into promiscuous mode?
1335
1336    A: By not disabling promiscuous mode when running Ethereal or
1337    Tethereal.
1338
1339    Note, however, that:
1340      * the form of promiscuous mode that libpcap (the library that
1341        programs such as tcpdump, Ethereal, etc. use to do packet capture)
1342        turns on will not necessarily be shown if you run ifconfig on the
1343        interface on a UNIX system;
1344      * some network interfaces might not support promiscuous mode, and
1345        some drivers might not allow promiscuous mode to be turned on -
1346        see this earlier question for more information on that;
1347      * the fact that you're not seeing any traffic, or are only seeing
1348        broadcast traffic, or aren't seeing any non-broadcast traffic
1349        other than traffic to or from the machine running Ethereal, does
1350        not mean that promiscuous mode isn't on - see this earlier
1351        question for more information on that.
1352
1353    I.e., this is probably the same question as this earlier one; see the
1354    response to that question.
1355
1356    Q 5.11: I can set a display filter just fine, but capture filters
1357    don't work.
1358
1359    A: Capture filters currently use a different syntax than display
1360    filters. Here's the corresponding section from the ethereal(1) man
1361    page:
1362
1363    "Display filters in Ethereal are very powerful; more fields are
1364    filterable in Ethereal than in other protocol analyzers, and the
1365    syntax you can use to create your filters is richer. As Ethereal
1366    progresses, expect more and more protocol fields to be allowed in
1367    display filters.
1368
1369    Packet capturing is performed with the pcap library. The capture
1370    filter syntax follows the rules of the pcap library. This syntax is
1371    different from the display filter syntax."
1372
1373    The capture filter syntax used by libpcap can be found in the
1374    tcpdump(8) man page.
1375
1376    Q 5.12: I'm entering valid capture filters, but I still get "parse
1377    error" errors.
1378
1379    A: There is a bug in some versions of libpcap/WinPcap that cause it to
1380    report parse errors even for valid expressions if a previous filter
1381    expression was invalid and got a parse error.
1382
1383    Try exiting and restarting Ethereal; if you are using a version of
1384    libpcap/WinPcap with this bug, this will "erase" its memory of the
1385    previous parse error. If the capture filter that got the "parse error"
1386    now works, the earlier error with that filter was probably due to this
1387    bug.
1388
1389    The bug was fixed in libpcap 0.6; 0.4[.x] and 0.5[.x] versions of
1390    libpcap have this bug, but 0.6[.x] and later versions don't.
1391
1392    Versions of WinPcap prior to 2.3 are based on pre-0.6 versions of
1393    libpcap, and have this bug; WinPcap 2.3 is based on libpcap 0.6.2, and
1394    doesn't have this bug.
1395
1396    If you are running Ethereal on a UNIX-flavored platform, run "ethereal
1397    -v", or select "About Ethereal..." from the "Help" menu in Ethereal,
1398    to see what version of libpcap it's using. If it's not 0.6 or later,
1399    you will need either to upgrade your OS to get a later version of
1400    libpcap, or will need to build and install a later version of libpcap
1401    from the tcpdump.org Web site and then recompile Ethereal from source
1402    with that later version of libpcap.
1403
1404    If you are running Ethereal on Windows with a pre-2.3 version of
1405    WinPcap, you will need to un-install WinPcap and then download and
1406    install WinPcap 2.3.
1407
1408    Q 5.13: I saved a filter and tried to use its name to filter the
1409    display, but I got an "Unexpected end of filter string" error.
1410
1411    A: You cannot use the name of a saved display filter as a filter. To
1412    filter the display, you can enter a display filter expression - not
1413    the name of a saved display filter - in the "Filter:" box at the
1414    bottom of the display, and type the key or press the "Apply" button
1415    (that does not require you to have a saved filter), or, if you want to
1416    use a saved filter, you can press the "Filter:" button, select the
1417    filter in the dialog box that pops up, and press the "OK" button.
1418
1419    Q 5.14: Why am I seeing lots of packets with incorrect TCP checksums?
1420
1421    A: If the packets that have incorrect TCP checksums are all being sent
1422    by the machine on which Ethereal is running, this is probably because
1423    the network interface on which you're capturing does TCP checksum
1424    offloading. That means that the TCP checksum is added to the packet by
1425    the network interface, not by the OS's TCP/IP stack; when capturing on
1426    an interface, packets being sent by the host on which you're capturing
1427    are directly handed to the capture interface by the OS, which means
1428    that they are handed to the capture interface without a TCP checksum
1429    being added to them.
1430
1431    The only way to prevent this from happening would be to disable TCP
1432    checksum offloading, but
1433     1. that might not even be possible on some OSes;
1434     2. that could reduce networking performance significantly.
1435
1436    However, you can disable the check that Ethereal does of the TCP
1437    checksum, so that it won't report any packets as having TCP checksum
1438    errors, and so that it won't refuse to do TCP reassembly due to a
1439    packet having an incorrect TCP checksum. That can be set as an
1440    Ethereal preference by selecting "Preferences" from the "Edit" menu,
1441    opening up the "Protocols" list in the left-hand pane of the
1442    "Preferences" dialog box, selecting "TCP", from that list, turning off
1443    the "Check the validity of the TCP checksum when possible" option,
1444    clicking "Save" if you want to save that setting in your preference
1445    file, and clicking "OK".
1446
1447    It can also be set on the Ethereal or Tethereal command line with a -o
1448    tcp.check_checksum:false command-line flag, or manually set in your
1449    preferences file by adding a tcp.check_checksum:false line.
1450
1451    Q 5.15: I've just installed Ethereal, and the traffic on my local LAN
1452    is boring.
1453
1454    A: We have a collection of strange and exotic sample capture files at
1455    http://www.ethereal.com/sample/
1456
1457    Q 5.16: When I run Ethereal on Solaris 8, it dies with a Bus Error
1458    when I start it.
1459
1460    A: Some versions of the GTK+ library from www.sunfreeware.org appear
1461    to be buggy, causing Ethereal to drop core with a Bus Error.
1462    Un-install those packages, and try getting the 1.2.10 version from
1463    that site, or the version from The Written Word, or the version from
1464    Sun's GNOME distribution, or the version from the supplemental
1465    software CD that comes with the Solaris media kit, or build it from
1466    source from the GTK Web site. Update the GLib library to the 1.2.10
1467    version, from the same source, as well. (If you get the 1.2.10
1468    versions from www.sunfreeware.org, and the problem persists,
1469    un-install them and try installing one of the other versions
1470    mentioned.)
1471
1472    Similar problems may exist with older versions of GTK+ for earlier
1473    versions of Solaris.
1474
1475    Q 5.17: When I run Tethereal with the "-x" option, it crashes with an
1476    error "** ERROR **: file print.c: line 691 (print_line): should not be
1477    reached".
1478
1479    A: This is a bug in Ethereal 0.10.0a, which is fixed in the Ethereal
1480    CVS tree and will thus be fixed in the next release. To work around
1481    the bug, don't use "-x" unless you're also using "-V"; note that "-V"
1482    produces a full dissection of each packet, so you might not want to
1483    use it.
1484
1485    To get a fixed version, either build the current CVS version from
1486    anonymous CVS or a nightly CVS snapshot, or apply to tethereal.c in
1487    the 0.10.0a source tarball the changes between the broken and the
1488    fixed versions, which you can download with the URL
1489    http://www.ethereal.com/cgi-bin/viewcvs.cgi/ethereal/tethereal.c.diff?
1490    r2=1.211&r1=1.210&diff_format=u and (re-)build from source. It might
1491    be easier to get the CVS version than to get the patch and apply it to
1492    the 0.10.0a source tarball, but it's probably easier to build from the
1493    source tarball than from the CVS version, as you'll need to have more
1494    tools and make more steps to generate from the CVS version some files
1495    that are bundled with the source tarball.
1496
1497    Note that to build from the 0.10.0a source tarball on Windows with
1498    Microsoft Visual C++, you will need to get a file that was missing
1499    from the 0.10.0a source tarball; see the FAQ for that problem.
1500
1501    Q 5.18: When I run Ethereal on Windows NT, it dies with a Dr. Watson
1502    error, reporting an "Integer division by zero" exception, when I start
1503    it.
1504
1505    A: In at least some case, this appears to be due to using the default
1506    VGA driver; if that's not the correct driver for your video card, try
1507    running the correct driver for your video card.
1508
1509    Q 5.19: When I try to run Ethereal, it complains about
1510    sprint_realloc_objid being undefined.
1511
1512    A: Ethereal can only be linked with version 4.2.2 or later of UCD
1513    SNMP. Your version of Ethereal was dynamically linked with such a
1514    version of UCD SNMP; however, you have an older version of UCD SNMP
1515    installed, which means that when Ethereal is run, it tries to link to
1516    the older version, and fails. You will have to replace that version of
1517    UCD SNMP with version 4.2.2 or a later version.
1518
1519    Q 5.20: I'm running Ethereal on Linux; why do my time stamps have only
1520    100ms resolution, rather than 1us resolution?
1521
1522    A: Ethereal gets time stamps from libpcap/WinPcap, and libpcap/WinPcap
1523    get them from the OS kernel, so Ethereal - and any other program using
1524    libpcap, such as tcpdump - is at the mercy of the time stamping code
1525    in the OS for time stamps.
1526
1527    At least on x86-based machines, Linux can get high-resolution time
1528    stamps on newer processors with the Time Stamp Counter (TSC) register;
1529    for example, Intel x86 processors, starting with the Pentium Pro, and
1530    including all x86 processors since then, have had a TSC, and other
1531    vendors probably added the TSC at some point to their families of x86
1532    processors.
1533
1534    The Linux kernel must be configured with the CONFIG_X86_TSC option
1535    enabled in order to use the TSC. Make sure this option is enabled in
1536    your kernel.
1537
1538    In addition, some Linux distributions may have bugs in their versions
1539    of the kernel that cause packets not to be given high-resolution time
1540    stamps even if the TSC is enabled. See, for example, bug 61111 for Red
1541    Hat Linux 7.2. If your distribution has a bug such as this, you may
1542    have to run a standard kernel from kernel.org in order to get
1543    high-resolution time stamps.
1544
1545    Q 5.21: I'm capturing packets on {Windows 95, Windows 98, Windows Me};
1546    why are the time stamps on packets wrong?
1547
1548    A: This is due to a bug in WinPcap. The bug should be fixed in WinPcap
1549    3.0.
1550
1551    Q 5.22: When I try to run Ethereal on Windows, it fails to run because
1552    it can't find packet.dll.
1553
1554    A: In older versions of Ethereal, there were two binary distributions
1555    available for Windows, one that supported capturing packets, and one
1556    that didn't. The version that supported capturing packets required
1557    that you install the WinPcap driver; if you didn't install it, it
1558    would fail to run because it couldn't find packet.dll.
1559
1560    The current version of Ethereal has only one binary distribution for
1561    Windows; that version will check whether WinPcap is installed and, if
1562    it's not, will disable support for packet capture.
1563
1564    The WinPcap driver and libraries can be downloaded from the WinPcap
1565    Web site, the local mirror of the WinPcap Web site, or the
1566    Wiretapped.net mirror of the WinPcap site.
1567
1568    Q 5.23: I'm running Ethereal on Windows NT/2000/XP/Server; my machine
1569    has a PPP (dial-up POTS, ISDN, etc.) interface, and it shows up in the
1570    "Interface" item in the "Capture Options" dialog box. Why can no
1571    packets be sent on or received from that network while I'm trying to
1572    capture traffic on that interface?
1573
1574    A: WinPcap doesn't support PPP WAN interfaces on Windows
1575    NT/2000/XP/Server; one symptom that may be seen is that attempts to
1576    capture in promiscuous mode on the interface cause the interface to be
1577    incapable of sending or receiving packets. You can disable promiscuous
1578    mode using the -p command-line flag or the item in the "Capture
1579    Preferences" dialog box, but this may mean that outgoing packets, or
1580    incoming packets, won't be seen in the capture.
1581
1582    Q 5.24: I'm running Ethereal on Windows 95/98/Me, on a machine with
1583    more than one network adapter of the same type; Ethereal shows all of
1584    those adapters with the same name, but I can't use any of those
1585    adapters other than the first one.
1586
1587    A: Unfortunately, Windows 95/98/Me gives the same name to multiple
1588    instances of the type of same network adapter. Therefore, WinPcap
1589    cannot distinguish between them, so a WinPcap-based application can
1590    capture only on the first such interface; Ethereal is a
1591    libpcap/WinPcap-based application.
1592
1593    Q 5.25: I'm running Ethereal on Windows, and I'm not seeing any
1594    traffic being sent by the machine running Ethereal.
1595
1596    A: If you are running some form of VPN client software, it might be
1597    causing this problem; people have seen this problem when they have
1598    Check Point's VPN software installed on their machine. If that's the
1599    cause of the problem, you will have to remove the VPN software in
1600    order to have Ethereal (or any other application using WinPcap) see
1601    outgoing packets; unfortunately, neither we nor the WinPcap developers
1602    know any way to make WinPcap and the VPN software work well together.
1603
1604    Also, some drivers for Windows (especially some wireless network
1605    interface drivers) apparently do not, when running in promiscuous
1606    mode, arrange that outgoing packets are delivered to the software that
1607    requested that the interface run promiscuously; try turning
1608    promiscuous mode off.
1609
1610    Q 5.26: I'm trying to capture traffic but I'm not seeing any.
1611
1612    A: Is the machine running Ethereal sending out any traffic on the
1613    network interface on which you're capturing, or receiving any traffic
1614    on that network, or is there any broadcast traffic on the network or
1615    multicast traffic to a multicast group to which the machine running
1616    Ethereal belongs?
1617
1618    If not, this may just be a problem with promiscuous sniffing, either
1619    due to running on a switched network or a dual-speed hub, or due to
1620    problems with the interface not supporting promiscuous mode; see the
1621    response to this earlier question.
1622
1623    Otherwise, on Windows, see the response to this question and, on a
1624    UNIX-flavored OS, see the response to this question.
1625
1626    Q 5.27: I have an XXX network card on my machine; if I try to capture
1627    on it, my machine crashes or resets itself.
1628
1629    A: This is almost certainly a problem with one or more of:
1630      * the operating system you're using;
1631      * the device driver for the interface you're using;
1632      * the libpcap/WinPcap library and, if this is Windows, the WinPcap
1633        device driver;
1634
1635    so:
1636      * if you are using Windows, see the WinPcap support page (or the
1637        local mirror of that page) - check the "Submitting bugs" section;
1638      * if you are using some Linux distribution, some version of BSD, or
1639        some other UNIX-flavored OS, you should report the problem to the
1640        company or organization that produces the OS (in the case of a
1641        Linux distribution, report the problem to whoever produces the
1642        distribution).
1643
1644    Q 5.28: My machine crashes or resets itself when I select "Start" from
1645    the "Capture" menu or select "Preferences" from the "Edit" menu.
1646
1647    A: Both of those operations cause Ethereal to try to build a list of
1648    the interfaces that it can open; it does so by getting a list of
1649    interfaces and trying to open them. There is probably an OS, driver,
1650    or, for Windows, WinPcap bug that causes the system to crash when this
1651    happens; see the previous question.
1652
1653    Q 5.29: Does Ethereal work on Windows Me?
1654
1655    A: Yes, but if you want to capture packets, you will need to install
1656    the latest version of WinPcap, as 2.02 and earlier versions of WinPcap
1657    didn't support Windows Me. You should also install the latest version
1658    of Ethereal as well.
1659
1660    Q 5.30: Does Ethereal work on Windows XP?
1661
1662    A: Yes, but if you want to capture packets, you will need to install
1663    the latest version of WinPcap, as 2.2 and earlier versions of WinPcap
1664    didn't support Windows XP.
1665
1666    Q 5.31: Why doesn't Ethereal correctly identify RTP packets? It shows
1667    them only as UDP.
1668
1669    A: Ethereal can identify a UDP datagram as containing a packet of a
1670    particular protocol running atop UDP only if
1671     1. The protocol in question has a particular standard port number,
1672        and the UDP source or destination port number is that port
1673     2. Packets of that protocol can be identified by looking for a
1674        "signature" of some type in the packet - i.e., some data that, if
1675        Ethereal finds it in some particular part of a packet, means that
1676        the packet is almost certainly a packet of that type.
1677     3. Some other traffic earlier in the capture indicated that, for
1678        example, UDP traffic between two particular addresses and ports
1679        will be RTP traffic.
1680
1681    RTP doesn't have a standard port number, so 1) doesn't work; it
1682    doesn't, as far as I know, have any "signature", so 2) doesn't work.
1683
1684    That leaves 3). If there's RTSP traffic that sets up an RTP session,
1685    then, at least in some cases, the RTSP dissector will set things up so
1686    that subsequent RTP traffic will be identified. Currently, that's the
1687    only place we do that; there may be other places.
1688
1689    However, there will always be places where Ethereal is simply
1690    incapable of deducing that a given UDP flow is RTP; a mechanism would
1691    be needed to allow the user to specify that a given conversation
1692    should be treated as RTP. As of Ethereal 0.8.16, such a mechanism
1693    exists; if you select a UDP or TCP packet, the right mouse button menu
1694    will have a "Decode As..." menu item, which will pop up a dialog box
1695    letting you specify that the source port, the destination port, or
1696    both the source and destination ports of the packet should be
1697    dissected as some particular protocol.
1698
1699    Q 5.32: Why doesn't Ethereal show Yahoo Messenger packets in captures
1700    that contain Yahoo Messenger traffic?
1701
1702    A: Ethereal only recognizes as Yahoo Messenger traffic packets to or
1703    from TCP port 3050 that begin with "YPNS", "YHOO", or "YMSG". TCP
1704    segments that start with the middle of a Yahoo Messenger packet that
1705    takes more than one TCP segment will not be recognized as Yahoo
1706    Messenger packets (even if the TCP segment also contains the beginning
1707    of another Yahoo Messenger packet).
1708
1709    Q 5.33: Why do I get the error
1710
1711      Gdk-ERROR **: Palettized display (256-colour) mode not supported on
1712      Windows.
1713      aborting....
1714
1715    when I try to run Ethereal on Windows?
1716
1717    A: Ethereal is built using the GTK+ toolkit, which supports most
1718    UNIX-flavored OSes, and also supports Windows.
1719
1720    Windows versions of Ethereal before 0.9.14 were built with an older
1721    version of that toolkit, which didn't support 256-color mode on
1722    Windows - it required HiColor (16-bit colors) or more.
1723
1724    Windows versions of Ethereal 0.9.14 and later are built with a version
1725    of that toolkit that supports 256-color mode; upgrade to the current
1726    version of Ethereal if you want to run on a display in 256-color mode.
1727
1728    Q 5.34: When I capture on Windows in promiscuous mode, I can see
1729    packets other than those sent to or from my machine; however, those
1730    packets show up with a "Short Frame" indication, unlike packets to or
1731    from my machine. What should I do to arrange that I see those packets
1732    in their entirety?
1733
1734    A: In at least some cases, this appears to be the result of PGPnet
1735    running on the network interface on which you're capturing; turn it
1736    off on that interface.
1737
1738    Q 5.35: I'm capturing packets on a machine on a VLAN; why don't the
1739    packets I'm capturing have VLAN tags?
1740
1741    A: You might be capturing on what might be called a "VLAN interface" -
1742    the way a particular OS makes VLANs plug into the networking stack
1743    might, for example, be to have a network device object for the
1744    physical interface, which takes VLAN packets, strips off the VLAN
1745    header and constructs an Ethernet header, and passes that packet to an
1746    internal network device object for the VLAN, which then passes the
1747    packets onto various higher-level protocol implementations.
1748
1749    In order to see the raw Ethernet packets, rather than "de-VLANized"
1750    packets, you would have to capture not on the virtual interface for
1751    the VLAN, but on the interface corresponding to the physical network
1752    device, if possible.
1753
1754    Q 5.36: How can I capture raw 802.11 packets, including non-data
1755    (management, beacon) packets?
1756
1757    A: That would require that your 802.11 interface run in the mode
1758    called "monitor mode" or "RFMON mode". Not all operating systems
1759    support that and, even on operating systems that do support it, not
1760    all drivers, and thus not all cards, support it.
1761
1762    NOTE: an interface running in monitor mode will, on most if not all
1763    platforms, not be able to act as a regular network interface; putting
1764    it into monitor mode will, in effect, take your machine off of
1765    whatever network it's on as long as the interface is in monitor mode,
1766    allowing it only to passively capture packets.
1767
1768    This means that you should disable name resolution when capturing in
1769    monitor mode; otherwise, when Ethereal (or Tethereal, or tcpdump)
1770    tries to display IP addresses as host names, it will probably block
1771    for a long time trying to resolve the name because it will not be able
1772    to communicate with any DNS or NIS servers.
1773
1774    Cisco Aironet cards:
1775
1776    The only platforms that allow Ethereal to capture raw 802.11 packets
1777    on Cisco Aironet cards are:
1778      * Linux, with a 2.4.6 or later kernel;
1779      * FreeBSD 4.6 or later, as the driver in FreeBSD 4.5 has bugs that
1780        cause packets not to be captured correctly, and the driver in
1781        releases prior to 4.5 didn't support capturing raw packets.
1782
1783    On FreeBSD, the ancontrol utility must be used. The command
1784
1785 ancontrol -i anN -M flag
1786
1787    is used to enable or disable monitor mode. If flag is 0, monitor mode
1788    will be turned off; otherwise, flag should be the sum of:
1789      * 1, to turn monitor mode on;
1790      * 2, if you want to capture traffic from any BSS rather than just
1791        the BSS with which the card is associated;
1792      * 4, if you want to see beacon packets (capturing beacon packets
1793        increases the CPU requirements of capturing).
1794
1795    Don't add 8 in; Ethereal currently doesn't support the full Aironet
1796    header.
1797
1798    On Linux with the driver in the 2.4.6 through 2.4.19 kernel, you will
1799    need to do
1800
1801 echo "Mode: rfmon">/proc/driver/aironet/ethN/Config
1802
1803    if your Aironet card is ethN. To capture traffic from any BSS rather
1804    than just the BSS with which the card is associated, do
1805
1806 echo "Mode: y">/proc/driver/aironet/ethN/Config
1807
1808    and to return to the normal mode, do
1809
1810 echo "Mode: ess">/proc/driver/aironet/ethN/Config
1811
1812    On Linux with the driver in the 2.4.20 or later kernel, or with the
1813    CVS drivers from the airo-linux SourceForge site, you will have to
1814    capture on the wifiN interface if your Aironet card is ethN, after
1815    running the commands listed above.
1816
1817    In all of those cases, Ethereal would have to be linked with libpcap
1818    0.7.1 or later; this means that most Ethereal binary packages won't
1819    work unless they're statically linked with libpcap 0.7.1 or later, or
1820    they're dynamically linked with libpcap and your system has a libpcap
1821    0.7.1 or later shared library installed (note that libpcap source
1822    package from tcpdump.org does not build shared libraries). Some binary
1823    packaging mechanisms might make it difficult to install Ethereal
1824    binary packages built to depend on older libpcap binary packages if
1825    you have a newer libpcap binary package installed; the installer
1826    programs for those packaging mechanisms might support disabling
1827    dependency checking so that they will install Ethereal even though a
1828    newer version of libpcap is installed.
1829
1830    Cards using the Prism II chip set (see this page of Linux 802.11
1831    information for details on wireless cards, including information on
1832    the chips they use):
1833
1834    You can capture raw 802.11 packets with Prism II cards on Linux
1835    systems with the 0.1.14-pre6 or later version of the linux-wlan-ng
1836    drivers (see the linux-wlan page, and the linux-wlan-ng tarball
1837    directory).
1838
1839    Those require either Solomon Peachy's patch to libpcap 0.7.1 (see his
1840    libpcap-0.7.1-prism.diff file, or his RPMs of that version of
1841    libpcap), or the current CVS version of libpcap, which includes his
1842    patch (download it from the "Current Tar files" section of the
1843    tcpdump.org Web site). If you apply his patches to libpcap 0.7.1 and
1844    rebuild and install libpcap, or if you build and install the current
1845    CVS version of libpcap, you would have to rebuild Ethereal from
1846    source, linking it with that new version of libpcap; an Ethereal
1847    binary package would not work. Ethereal binary packages might work if
1848    you install the libpcap-0.7.1-1prism.i386.rpm RPM, as it might install
1849    a libpcap shared library in place of the one on your system.
1850
1851    You may have to run a command to put the interface into monitor mode,
1852    or to change other interface settings, and you might have to capture
1853    on a wlanN interface rather than a ethN interface, in order to capture
1854    raw 802.11 packets. The interface settings are available in your
1855    wlan-ng.conf file. See the wlan-ng FAQ for additional information.
1856
1857    On other platforms, capturing raw 802.11 packets on Prism II cards is
1858    not currently supported.
1859
1860    Orinoco Silver and Gold cards:
1861
1862    On Linux systems, there are patches on the Orinoco Monitor Mode Patch
1863    Page that should allow you to do capture raw 802.11 packets. You will
1864    have to determine which version of the driver you have, and select the
1865    appropriate patch.
1866
1867    Note that the page indicates that not all versions of the Orinoco
1868    firmware support this patch. It says, for some versions of the patch,
1869    "This patch should allow monitor mode with v8.10 firmware (untested w/
1870    8.42);" if you have version 8.10 or later firmware on your Orinoco
1871    cards, you might have to use those patches, with the corresponding
1872    versions of the Orinoco driver, in order to run in monitor mode.
1873
1874    That patch is written for the drivers included with the pcmcia-cs
1875    drivers, but works equally well for the Orinoco drivers provided with
1876    Linux kernels up to 2.4.20. To apply a patch to your kernel drivers,
1877    simply copy the orinoco-09b-patch.diff file to the
1878    /usr/src/linux/drivers/net directory and patch according to the
1879    directions on the Orinoco Monitor Mode Patch Page. You can double-
1880    check the version of the Orinoco drivers that shipped with your kernel
1881    by examining the first few lines of the orinoco.c file.
1882
1883    The Orinoco patches require either Solomon Peachy's patch to libpcap
1884    0.7.1 (see his libpcap-0.7.1-prism.diff file, or his RPMs of that
1885    version of libpcap), or the current CVS version of libpcap, which
1886    includes his patch (download it from the "Current Tar files" section
1887    of the tcpdump.org Web site). If you apply his patches to libpcap
1888    0.7.1 and rebuild and install libpcap, or if you build and install the
1889    current CVS version of libpcap, you would have to rebuild Ethereal
1890    from source, linking it with that new version of libpcap; an Ethereal
1891    binary package would not work. Ethereal binary packages might work if
1892    you install the libpcap-0.7.1-1prism.i386.rpm RPM, as it might install
1893    a libpcap shared library in place of the one on your system.
1894
1895    On other platforms, capturing raw 802.11 packets on Orinoco cards is
1896    not currently supported.
1897
1898    Cards with the Atheros Communications AR5000 or AR5001 chipsets:
1899
1900    You can capture raw 802.11 packets with AR5K cards on Linux systems
1901    with the v5_ar5k drivers. You will need the Linux wireless-tools
1902    version 25 or higher to put the card into monitor mode.
1903
1904    Cards with the Texas Instruments ACX100 chipset:
1905
1906    You can capture raw 802.11 packets with ACX100 cards on Linux systems
1907    with the ACX100 OSS drivers available from the ACX100 wireless network
1908    driver project SourceForge site.
1909
1910    Other 802.11 interfaces:
1911
1912    With other 802.11 interfaces, no platform allows Ethereal to capture
1913    raw 802.11 packets, as far as we know. If you know of other 802.11
1914    interfaces that are supported (note that there are many "Prism II
1915    cards", so your card might be a Prism II card), please let us know,
1916    and include URLs for sites containing any necessary patches to add
1917    this support.
1918
1919    On platforms that don't allow Ethereal to capture raw 802.11 packets,
1920    the 802.11 network will appear like an Ethernet to Ethereal.
1921
1922    Q 5.37: I'm trying to capture 802.11 traffic on Windows; why am I not
1923    seeing any packets?
1924
1925    A: At least some 802.11 card drivers on Windows appear not to see any
1926    packets if they're running in promiscuous mode. Try turning
1927    promiscuous mode off; you'll only be able to see packets sent by and
1928    received by your machine, not third-party traffic, and it'll look like
1929    Ethernet traffic and won't include any management or control frames,
1930    but that's a limitation of the card drivers.
1931
1932    Q 5.38: I'm trying to capture 802.11 traffic on Windows; why am I
1933    seeing packets received by the machine on which I'm capturing traffic,
1934    but not packets sent by that machine?
1935
1936    A: This appears to be another problem with promiscuous mode; try
1937    turning it off.
1938
1939    Q 5.39: How can I capture packets with CRC errors?
1940
1941    A: Ethereal can capture only the packets that the packet capture
1942    library - libpcap on UNIX-flavored OSes, and the WinPcap port to
1943    Windows of libpcap on Windows - can capture, and libpcap/WinPcap can
1944    capture only the packets that the OS's raw packet capture mechanism
1945    (or the WinPcap driver, and the underlying OS networking code and
1946    network interface drivers, on Windows) will allow it to capture.
1947
1948    Unless the OS always supplies packets with errors such as invalid CRCs
1949    to the raw packet capture mechanism, or can be configured to do so,
1950    invalid CRCs to the raw packet capture mechanism, Ethereal - and other
1951    programs that capture raw packets, such as tcpdump - cannot capture
1952    those packets. You will have to determine whether your OS needs to be
1953    so configured and, if so, can be so configured, configure it if
1954    necessary and possible, and make whatever changes to libpcap and the
1955    packet capture program you're using are necessary, if any, to support
1956    capturing those packets.
1957
1958    Most OSes probably do not support capturing packets with invalid CRCs
1959    on Ethernet, and probably do not support it on most other link-layer
1960    types. Some drivers on some OSes do support it, such as some Ethernet
1961    drivers on FreeBSD; in those OSes, you might always get those packets,
1962    or you might only get them if you capture in promiscuous mode (you'd
1963    have to determine which is the case).
1964
1965    Note that libpcap does not currently supply to programs that use it an
1966    indication of whether the packet's CRC was invalid (because the
1967    drivers themselves do not supply that information to the raw packet
1968    capture mechanism); therefore, Ethereal will not indicate which
1969    packets had CRC errors unless the FCS was captured (see the next
1970    question) and you're using Ethereal 0.9.15 and later, in which case
1971    Ethereal will check the CRC and indicate whether it's correct or not.
1972
1973    Q 5.40: How can I capture entire frames, including the FCS?
1974
1975    A: Ethereal can only capture data that the packet capture library -
1976    libpcap on UNIX-flavored OSes, and the WinPcap port to Windows of
1977    libpcap on Windows - can capture, and libpcap/WinPcap can capture only
1978    the data that the OS's raw packet capture mechanism (or the WinPcap
1979    driver, and the underlying OS networking code and network interface
1980    drivers, on Windows) will allow it to capture.
1981
1982    For any particular link-layer network type, unless the OS supplies the
1983    FCS of a frame as part of the frame, or can be configured to do so,
1984    Ethereal - and other programs that capture raw packets, such as
1985    tcpdump - cannot capture the FCS of a frame. You will have to
1986    determine whether your OS needs to be so configured and, if so, can be
1987    so configured, configure it if necessary and possible, and make
1988    whatever changes to libpcap and the packet capture program you're
1989    using are necessary, if any, to support capturing the FCS of a frame.
1990
1991    Most OSes do not support capturing the FCS of a frame on Ethernet, and
1992    probably do not support it on most other link-layer types. Some
1993    drivres on some OSes do support it, such as some (all?) Ethernet
1994    drivers on NetBSD and possibly the driver for Apple's gigabit Ethernet
1995    interface in Mac OS X; in those OSes, you might always get the FCS, or
1996    you might only get the FCS if you capture in promiscuous mode (you'd
1997    have to determine which is the case).
1998
1999    Versions of Ethereal prior to 0.9.15 will not treat an Ethernet FCS in
2000    a captured packet as an FCS. 0.9.15 and later will attempt to
2001    determine whether there's an FCS at the end of the frame and, if it
2002    thinks there is, will display it as such, and will check whether it's
2003    the correct CRC-32 value or not.
2004
2005    Q 5.41: Ethereal hangs after I stop a capture.
2006
2007    A: The most likely reason for this is that Ethereal is trying to look
2008    up an IP address in the capture to convert it to a name (so that, for
2009    example, it can display the name in the source address or destination
2010    address columns), and that lookup process is taking a very long time.
2011
2012    Ethereal calls a routine in the OS of the machine on which it's
2013    running to convert of IP addresses to the corresponding names. That
2014    routine probably does one or more of:
2015      * a search of a system file listing IP addresses and names;
2016      * a lookup using DNS;
2017      * on UNIX systems, a lookup using NIS;
2018      * on Windows systems, a NetBIOS-over-TCP query.
2019
2020    If a DNS server that's used in an address lookup is not responding,
2021    the lookup will fail, but will only fail after a timeout while the
2022    system routine waits for a reply.
2023
2024    In addition, on Windows systems, if the DNS lookup of the address
2025    fails, either because the server isn't responding or because there are
2026    no records in the DNS that could be used to map the address to a name,
2027    a NetBIOS-over-TCP query will be made. That query involves sending a
2028    message to the NetBIOS-over-TCP name service on that machine, asking
2029    for the name and other information about the machine. If the machine
2030    isn't running software that responds to those queries - for example,
2031    many non-Windows machines wouldn't be running that software - the
2032    lookup will only fail after a timeout. Those timeouts can cause the
2033    lookup to take a long time.
2034
2035    If you disable network address-to-name translation - for example, by
2036    turning off the "Enable network name resolution" option in the "Name
2037    resolution" options in the dialog box you get by selecting
2038    "Preferences" from the "Edit" menu - the lookups of the address won't
2039    be done, which may speed up the process of reading the capture file
2040    after the capture is stopped. You can make that setting the default by
2041    using the "Save" button in that dialog box; note that this will save
2042    all your current preference settings.
2043
2044    If Ethereal hangs when reading a capture even with network name
2045    resolution turned off, there might, for example, be a bug in one of
2046    Ethereal's dissectors for a protocol causing it to loop infinitely.
2047    The bug should be reported to the Ethereal developers' mailing list at
2048    ethereal-dev@ethereal.com.
2049
2050    On UNIX-flavored OSes, please try to force Ethereal to dump core, by
2051    sending it a SIGABRT signal (usually signal 6) with the kill command,
2052    and then get a stack trace if you have a debugger installed. A stack
2053    trace can be obtained by using your debugger (gdb in this example),
2054    the Ethereal binary, and the resulting core file. Here's an example of
2055    how to use the gdb command backtrace to do so.
2056         $ gdb ethereal core
2057         (gdb) backtrace
2058         ..... prints the stack trace
2059         (gdb) quit
2060         $
2061
2062    The core dump file may be named "ethereal.core" rather than "core" on
2063    some platforms (e.g., BSD systems)
2064
2065    Also, if at all possible, please send a copy of the capture file that
2066    caused the problem; when capturing packets, Ethereal normally writes
2067    captured packets to a temporary file, which will probably be in /tmp
2068    or /var/tmp on UNIX-flavored OSes and \TEMP on Windows, so the capture
2069    file will probably be there. It will have a name beginning with ether,
2070    with some mixture of letters and numbers after that. Please don't send
2071    a trace file greater than 1 MB when compressed. If the trace file
2072    contains sensitive information (e.g., passwords), then please do not
2073    send it.
2074
2075    Q 5.42: How can I search for, or filter, packets that have a
2076    particular string anywhere in them?
2077
2078    A: If you want to do this when capturing, you can't. That's a feature
2079    that would be hard to implement in capture filters without changes to
2080    the capture filter code, which, on many platforms, is in the OS kernel
2081    and, on other platforms, is in the libpcap library.
2082
2083    In releases prior to 0.9.14, you also can't search for, or filter,
2084    packets containing a particular string even after you've captured
2085    them.
2086
2087    In 0.9.14, you can search for, but not filter, packets that have a
2088    particular string; this has been added to the "Find Frame" dialog
2089    ("Find Frame" under the "Edit" menu, or control-F).
2090
2091    In 0.9.15 and later, you can search for those packets using either the
2092    mechanism introduced in 0.9.14 or using the new "contains" operator in
2093    filter expressions, which lets you search the entire packet or text
2094    string or byte string fields in the packet; the "contains" operator
2095    can also be used in expressions used to filter the display.
2096
2097    Please send support questions about Ethereal to the
2098    ethereal-users[AT]ethereal.com mailing list.
2099    For corrections/additions/suggestions for this web page (and not
2100    Ethereal support questions), please send email to
2101    ethereal-web[AT]ethereal.com .
2102    Last modified: Thu, May 13 2004.