Updates to reflect revision 4 of ethereal-win32-libs.
[obnox/wireshark/wip.git] / FAQ
1
2    The Ethereal FAQ
3
4    Note: This is just an ASCII snapshot of the faq and may not be up to
5          date. Please go to http://www.ethereal.com/faq.html for the up
6          to date version. The version of this snapshot can be found at
7          the end of this document.
8
9    INDEX
10
11
12 General Questions:
13
14    1.1 Where can I get help?
15
16    1.2 How much does Ethereal cost?
17
18    1.3 Can I use Ethereal commercially?
19
20    1.4 Can I use Ethereal as part of my commercial product?
21
22    1.5 What protocols are currently supported?
23
24    1.6 Are there any plans to support {your favorite protocol}?
25
26    1.7 Can Ethereal read capture files from {your favorite network
27    analyzer}?
28
29    1.8 What devices can Ethereal use to capture packets?
30
31    1.9 How do you pronounce Ethereal? Where did the name come from?
32
33 Downloading Ethereal:
34
35    2.1 I downloaded the Win32 installer, but when I try to run it, I get
36    an error.
37
38    2.2 When I try to download the WinPcap driver and library, I can't get
39    to the WinPcap Web site.
40
41 Installing Ethereal:
42
43    3.1 I installed an Ethereal RPM, but Ethereal doesn't seem to be
44    installed; only Tethereal is installed.
45
46 Building Ethereal:
47
48    4.1 The configure script can't find pcap.h or bpf.h, but I have
49    libpcap installed.
50
51    4.2 Why do I get the error 
52
53      dftest_DEPENDENCIES was already defined in condition TRUE, which
54      implies condition HAVE_PLUGINS_TRUE
55
56    when I try to build Ethereal from SVN or a SVN snapshot?
57
58    4.3 The link fails with a number of "Output line too long." messages
59    followed by linker errors. 
60
61    4.4 The link fails on Solaris because plugin_list is undefined. 
62
63    4.5 The build fails on Windows because of conflicts between winsock.h
64    and winsock2.h. 
65
66 Using Ethereal:
67
68    5.1 When I use Ethereal to capture packets, I see only packets to and
69    from my machine, or I'm not seeing all the traffic I'm expecting to
70    see from or to the machine I'm trying to monitor.
71
72    5.2 I can't see any TCP packets other than packets to and from my
73    machine, even though another analyzer on the network sees those
74    packets.
75
76    5.3 I'm only seeing ARP packets when I try to capture traffic.
77
78    5.4 I'm running Ethereal on Windows; why does some network interface
79    on my machine not show up in the list of interfaces in the
80    "Interface:" field in the dialog box popped up by "Capture->Start",
81    and/or why does Ethereal give me an error if I try to capture on that
82    interface? 
83
84    5.5 I'm running Ethereal on Windows; why do no network interfaces show
85    up in the list of interfaces in the "Interface:" field in the dialog
86    box popped up by "Capture->Start"? 
87
88    5.6 I'm running Ethereal on Windows; why doesn't my serial port/ADSL
89    modem/ISDN modem/show up in the list of interfaces in the "Interface:"
90    field in the dialog box popped up by "Capture->Start"? 
91
92    5.7 I'm running Ethereal on a UNIX-flavored OS; why does some network
93    interface on my machine not show up in the list of interfaces in the
94    "Interface:" field in the dialog box popped up by "Capture->Start",
95    and/or why does Ethereal give me an error if I try to capture on that
96    interface? 
97
98    5.8 I'm running Ethereal on a UNIX-flavored OS; why do no network
99    interfaces show up in the list of interfaces in the "Interface:" field
100    in the dialog box popped up by "Capture->Start"? 
101
102    5.9 Can Ethereal capture on (my T1/E1 line, SS7 links, etc.)? 
103
104    5.10 How do I put an interface into promiscuous mode?
105
106    5.11 I can set a display filter just fine, but capture filters don't
107    work.
108
109    5.12 I'm entering valid capture filters, but I still get "parse error"
110    errors.
111
112    5.13 I saved a filter and tried to use its name to filter the display,
113    but I got an "Unexpected end of filter string" error.
114
115    5.14 Why am I seeing lots of packets with incorrect TCP checksums?
116
117    5.15 I've just installed Ethereal, and the traffic on my local LAN is
118    boring.
119
120    5.16 When I run Ethereal on Solaris 8, it dies with a Bus Error when I
121    start it.
122
123    5.17 When I run Ethereal, I get an error 
124
125      Gtk-CRITICAL **: file gtkwindow.c: line 3107 (gtk_window_resize):
126      assertion `height > 0' failed.
127
128    5.18 When I run Tethereal with the "-x" option, it crashes with an
129    error 
130
131      "** ERROR **: file print.c: line 691 (print_line): should not be
132      reached.
133
134    5.19 When I run Ethereal on Windows NT, it dies with a Dr. Watson
135    error, reporting an "Integer division by zero" exception, when I start
136    it.
137
138    5.20 When I try to run Ethereal, it complains about
139    sprint_realloc_objid being undefined.
140
141    5.21 I'm running Ethereal on Linux; why do my time stamps have only
142    100ms resolution, rather than 1us resolution?
143
144    5.22 I'm capturing packets on {Windows 95, Windows 98, Windows Me};
145    why are the time stamps on packets wrong? 
146
147    5.23 When I try to run Ethereal on Windows, it fails to run because it
148    can't find packet.dll.
149
150    5.24 I'm running Ethereal on Windows NT/2000/XP/Server; my machine has
151    a PPP (dial-up POTS, ISDN, etc.) interface, and it shows up in the
152    "Interface" item in the "Capture Options" dialog box. Why can no
153    packets be sent on or received from that network while I'm trying to
154    capture traffic on that interface?
155
156    5.25 I'm running Ethereal on Windows 95/98/Me, on a machine with more
157    than one network adapter of the same type; Ethereal shows all of those
158    adapters with the same name, but I can't use any of those adapters
159    other than the first one.
160
161    5.26 I'm running Ethereal on Windows, and I'm not seeing any traffic
162    being sent by the machine running Ethereal.
163
164    5.27 I'm trying to capture traffic but I'm not seeing any.
165
166    5.28 I have an XXX network card on my machine; if I try to capture on
167    it, my machine crashes or resets itself. 
168
169    5.29 My machine crashes or resets itself when I select "Start" from
170    the "Capture" menu or select "Preferences" from the "Edit" menu. 
171
172    5.30 Does Ethereal work on Windows Me? 
173
174    5.31 Does Ethereal work on Windows XP? 
175
176    5.32 Why doesn't Ethereal correctly identify RTP packets? It shows
177    them only as UDP.
178
179    5.33 Why doesn't Ethereal show Yahoo Messenger packets in captures
180    that contain Yahoo Messenger traffic?
181
182    5.34 Why do I get the error 
183
184      Gdk-ERROR **: Palettized display (256-colour) mode not supported on
185      Windows.
186      aborting....
187
188    when I try to run Ethereal on Windows?
189
190    5.35 When I capture on Windows in promiscuous mode, I can see packets
191    other than those sent to or from my machine; however, those packets
192    show up with a "Short Frame" indication, unlike packets to or from my
193    machine. What should I do to arrange that I see those packets in their
194    entirety? 
195
196    5.36 I'm capturing packets on a machine on a VLAN; why don't the
197    packets I'm capturing have VLAN tags? 
198
199    5.37 How can I capture raw 802.11 packets, including non-data
200    (management, beacon) packets? 
201
202    5.38 How do I capture on an 802.11 device in monitor mode on Linux?
203
204    5.39 How do I capture on an 802.11 device in monitor mode on FreeBSD?
205
206    5.40 How do I capture on an 802.11 device in monitor mode on NetBSD?
207
208    5.41 I'm trying to capture 802.11 traffic on Windows; why am I not
209    seeing any packets? 
210
211    5.42 I'm trying to capture 802.11 traffic on Windows; why am I seeing
212    packets received by the machine on which I'm capturing traffic, but
213    not packets sent by that machine? 
214
215    5.43 How can I capture packets with CRC errors? 
216
217    5.44 How can I capture entire frames, including the FCS? 
218
219    5.45 Ethereal hangs after I stop a capture. 
220
221    5.46 How can I search for, or filter, packets that have a particular
222    string anywhere in them? 
223
224 General Questions
225
226    Q 1.1: Where can I get help?
227
228    A: Support is available on the ethereal-users mailing list.
229    Subscription information and archives for all of Ethereal's mailing
230    lists can be found at http://www.ethereal.com/lists
231
232    Q 1.2: How much does Ethereal cost?
233
234    A: Ethereal is "free software"; you can download it without paying any
235    license fee. The version of Ethereal you download isn't a "demo"
236    version, with limitations not present in a "full" version; it is the
237    full version.
238
239    The license under which Ethereal is issued is the GNU General Public
240    License. See the GNU GPL FAQ for some more information.
241
242    Q 1.3: Can I use Ethereal commercially?
243
244    A: Yes, if, for example, you mean "I work for a commercial
245    organization; can I use Ethereal to capture and analyze network
246    traffic in our company's networks or in our customer's networks?"
247
248    If you mean "Can I use Ethereal as part of my commercial product?",
249    see the next entry in the FAQ.
250
251    Q 1.4: Can I use Ethereal as part of my commercial product?
252
253    A: As noted, Ethereal is licended under the GNU General Public
254    License. The GPL imposes conditions on your use of GPL'ed code in your
255    own products; you cannot, for example, make a "derived work" from
256    Ethereal, by making modifications to it, and then sell the resulting
257    derived work and not allow recipients to give away the resulting work.
258    You must also make the changes you've made to the Ethereal source
259    available to all recipients of your modified version; those changes
260    must also be licensed under the terms of the GPL. See the GPL FAQ for
261    more details; in particular, note the answer to the question about
262    modifying a GPLed program and selling it commercially, and the
263    question about linking GPLed code with other code to make a
264    proprietary program.
265
266    You can combine a GPLed program such as Ethereal and a commercial
267    program as long as they communicate "at arm's length", as per this
268    item in the GPL FAQ.
269
270    Q 1.5: What protocols are currently supported?
271
272    A: There are currently 530 supported protocols and media, listed
273    below. Descriptions can be found in the ethereal(1) man page.
274
275             3GPP2 A11
276             802.1q Virtual LAN
277             802.1x Authentication
278             AAL type 2 signalling protocol - Capability set 1 (Q.2630.1)
279             AFS (4.0) Replication Server call declarations
280             AIM Administrative
281             AIM Advertisements
282             AIM Buddylist Service
283             AIM Chat Navigation
284             AIM Chat Service
285             AIM Directory Search
286             AIM Generic Service
287             AIM ICQ
288             AIM Invitation Service
289             AIM Location
290             AIM Messaging
291             AIM OFT
292             AIM Popup
293             AIM Privacy Management Service
294             AIM Server Side Info
295             AIM Signon
296             AIM Statistics
297             AIM Translate
298             AIM User Lookup
299             ANSI A-I/F BSMAP
300             ANSI A-I/F DTAP
301             ANSI IS-637-A (SMS) Teleservice Layer
302             ANSI IS-637-A (SMS) Transport Layer
303             ANSI IS-683-A (OTA (Mobile))
304             ANSI IS-801 (Location Services (PLD))
305             ANSI Mobile Application Part
306             AOL Instant Messenger
307             ARCNET
308             ATM
309             ATM AAL1
310             ATM AAL3/4
311             ATM LAN Emulation
312             ATM OAM AAL
313             AVS WLAN Capture header
314             AX/4000 Test Block
315             Ad hoc On-demand Distance Vector Routing Protocol
316             Address Resolution Protocol
317             Aggregate Server Access Protocol
318             Alert Standard Forum
319             Alteon - Transparent Proxy Cache Protocol
320             Andrew File System (AFS)
321             Apache JServ Protocol v1.3
322             Apple IP-over-IEEE 1394
323             AppleTalk Filing Protocol
324             AppleTalk Session Protocol
325             AppleTalk Transaction Protocol packet
326             Appletalk Address Resolution Protocol
327             Application Configuration Access Protocol
328             Async data over ISDN (V.120)
329             Authentication Header
330             BACnet Virtual Link Control
331             BEA Tuxedo
332             BSS GPRS Protocol
333             BSSAP/BSAP
334             Banyan Vines ARP
335             Banyan Vines Echo
336             Banyan Vines Fragmentation Protocol
337             Banyan Vines ICP
338             Banyan Vines IP
339             Banyan Vines IPC
340             Banyan Vines LLC
341             Banyan Vines RTP
342             Banyan Vines SPP
343             Basic Encoding Rules (ASN.1 X.690)
344             Bearer Independent Call Control
345             Bi-directional Fault Detection Control Message
346             Blocks Extensible Exchange Protocol
347             Blubster/Piolet MANOLITO Protocol
348             Boardwalk
349             Boot Parameters
350             Bootstrap Protocol
351             Border Gateway Protocol
352             Building Automation and Control Network APDU
353             Building Automation and Control Network NPDU
354             CCSDS
355             CDS Clerk Server Calls
356             Cast Client Control Protocol
357             Check Point High Availability Protocol
358             Checkpoint FW-1
359             Cisco Auto-RP
360             Cisco Discovery Protocol
361             Cisco Group Management Protocol
362             Cisco HDLC
363             Cisco Hot Standby Router Protocol
364             Cisco ISL
365             Cisco Interior Gateway Routing Protocol
366             Cisco NetFlow
367             Cisco SLARP
368             Clearcase NFS
369             CoSine IPNOS L2 debug output
370             Common Open Policy Service
371             Common Unix Printing System (CUPS) Browsing Protocol
372             Compuserve GIF
373             Connectionless Lightweight Directory Access Protocol
374             Cross Point Frame Injector
375             Cryptographic Message Syntax
376             DCE Distributed Time Service Local Server
377             DCE Distributed Time Service Provider
378             DCE Name Service
379             DCE RPC
380             DCE Security ID Mapper
381             DCE/RPC BOS Server
382             DCE/RPC BUDB
383             DCE/RPC BUTC
384             DCE/RPC CDS Solicitation
385             DCE/RPC Conversation Manager
386             DCE/RPC Directory Acl Interface
387             DCE/RPC Endpoint Mapper
388             DCE/RPC Endpoint Mapper4
389             DCE/RPC FLDB
390             DCE/RPC FLDB UBIK TRANSFER
391             DCE/RPC FLDB UBIKVOTE
392             DCE/RPC ICL RPC
393             DCE/RPC Kerberos V
394             DCE/RPC NCS 1.5.1 Local Location Broker
395             DCE/RPC Operations between registry server replicas
396             DCE/RPC Prop Attr
397             DCE/RPC RS_ACCT
398             DCE/RPC RS_BIND
399             DCE/RPC RS_MISC
400             DCE/RPC RS_PROP_ACCT
401             DCE/RPC RS_UNIX
402             DCE/RPC Registry Password Management
403             DCE/RPC Registry Server Attributes Schema
404             DCE/RPC Registry server propagation interface - ACLs.
405             DCE/RPC Registry server propagation interface - PGO items
406             DCE/RPC Registry server propagation interface - properties and poli
407 cies
408             DCE/RPC Remote Management
409             DCE/RPC Repserver Calls
410             DCE/RPC TokenServer Calls
411             DCE/RPC UpServer
412             DCOM OXID Resolver
413             DCOM Remote Activation
414             DEC Spanning Tree Protocol
415             DFS Calls
416             DHCP Failover
417             DHCPv6
418             DICOM
419             DNS Control Program Server
420             Data
421             Data Link SWitching
422             Data Stream Interface
423             Datagram Delivery Protocol
424             Diameter Protocol
425             Distance Vector Multicast Routing Protocol
426             Distcc Distributed Compiler
427             Distributed Checksum Clearinghouse Protocol
428             Distributed Network Protocol 3.0
429             Domain Name Service
430             Dynamic DNS Tools Protocol
431             Echo
432             Encapsulating Security Payload
433             Endpoint Name Resolution Protocol
434             Enhanced Interior Gateway Routing Protocol
435             EtherNet/IP (Industrial Protocol)
436             Ethernet
437             Ethernet over IP
438             Extensible Authentication Protocol
439             FC Extended Link Svc
440             FC Fabric Configuration Server
441             FCIP
442             FTP Data
443             FTServer Operations
444             Fiber Distributed Data Interface
445             Fibre Channel
446             Fibre Channel Common Transport
447             Fibre Channel Fabric Zone Server
448             Fibre Channel Name Server
449             Fibre Channel Protocol for SCSI
450             Fibre Channel SW_ILS
451             Fibre Channel Security Protocol
452             Fibre Channel Single Byte Command
453             File Transfer Protocol (FTP)
454             Financial Information eXchange Protocol
455             Frame
456             Frame Relay
457             GARP Multicast Registration Protocol
458             GARP VLAN Registration Protocol
459             GPRS Network service
460             GPRS Tunneling Protocol
461             GSM A-I/F BSSMAP
462             GSM A-I/F DTAP
463             GSM A-I/F RP
464             GSM Mobile Application Part
465             GSM SMS TPDU (GSM 03.40)
466             GSM Short Message Service User Data
467             General Inter-ORB Protocol
468             Generic Routing Encapsulation
469             Generic Security Service Application Program Interface
470             Gnutella Protocol
471             H225
472             H235-SECURITY-MESSAGES
473             H245
474             H4501
475             HP Extended Local-Link Control
476             HP Remote Maintenance Protocol
477             Hummingbird NFS Daemon
478             HyperSCSI
479             Hypertext Transfer Protocol
480             ICQ Protocol
481             IEEE 802.11 Radiotap Capture header
482             IEEE 802.11 wireless LAN
483             IEEE 802.11 wireless LAN management frame
484             ILMI
485             IP Device Control (SS7 over IP)
486             IP Over FC
487             IP Payload Compression
488             IP Virtual Services Sync Daemon
489             IPX Message
490             IPX Routing Information Protocol
491             IPX WAN
492             ISDN
493             ISDN Q.921-User Adaptation Layer
494             ISDN User Part
495             ISO 10589 ISIS InTRA Domain Routeing Information Exchange Protocol
496             ISO 8073 COTP Connection-Oriented Transport Protocol
497             ISO 8327-1 OSI Session Protocol
498             ISO 8473 CLNP ConnectionLess Network Protocol
499             ISO 8602 CLTP ConnectionLess Transport Protocol
500             ISO 8823 OSI Presentation Protocol
501             ISO 9542 ESIS Routeing Information Exchange Protocol
502             ITU-T E.164 number
503             ITU-T Recommendation H.261
504             ITU-T Recommendation H.263 RTP Payload header (RFC2190)
505             InMon sFlow
506             Intel ANS probe
507             Intelligent Platform Management Interface
508             Inter-Access-Point Protocol
509             Inter-Asterisk eXchange v2
510             InterSwitch Message Protocol
511             Interbase
512             Internet Cache Protocol
513             Internet Content Adaptation Protocol
514             Internet Control Message Protocol
515             Internet Control Message Protocol v6
516             Internet Group Management Protocol
517             Internet Group membership Authentication Protocol
518             Internet Message Access Protocol
519             Internet Printing Protocol
520             Internet Protocol
521             Internet Protocol Version 6
522             Internet Relay Chat
523             Internet Security Association and Key Management Protocol
524             Internetwork Packet eXchange
525             JPEG File Interchange Format
526             Jabber XML Messaging
527             Java RMI
528             Java Serialization
529             Kerberos
530             Kerberos Administration
531             Kernel Lock Manager
532             LWAP Control Message
533             LWAPP Encapsulated Packet
534             LWAPP Layer 3 Packet
535             Label Distribution Protocol
536             Laplink
537             Layer 2 Tunneling Protocol
538             Lightweight Directory Access Protocol
539             Line Printer Daemon Protocol
540             Line-based text data
541             Link Access Procedure Balanced (LAPB)
542             Link Access Procedure Balanced Ethernet (LAPBETHER)
543             Link Access Procedure, Channel D (LAPD)
544             Link Aggregation Control Protocol
545             Link Management Protocol (LMP)
546             Linux cooked-mode capture
547             Local Management Interface
548             LocalTalk Link Access Protocol
549             Logical Link Control GPRS
550             Logical-Link Control
551             Lucent/Ascend debug output
552             MDS Header
553             MIME Multipart Media Encapsulation
554             MMS Message Encapsulation
555             MS Kpasswd
556             MS Proxy Protocol
557             MSN Messenger Service
558             MSNIP: Multicast Source Notification of Interest Protocol
559             MTP 2 Transparent Proxy
560             MTP 2 User Adaptation Layer
561             MTP 3 User Adaptation Layer
562             MTP2 Peer Adaptation Layer
563             Media Type
564             Media Type: message/http
565             Message Transfer Part Level 2
566             Message Transfer Part Level 3
567             Message Transfer Part Level 3 Management
568             Microsoft Directory Replication Service
569             Microsoft Distributed File System
570             Microsoft Distributed Link Tracking Server Service
571             Microsoft Encrypted File System Service
572             Microsoft Eventlog Service
573             Microsoft Exchange MAPI
574             Microsoft File Replication Service
575             Microsoft File Replication Service API
576             Microsoft Local Security Architecture
577             Microsoft Local Security Architecture (Directory Services)
578             Microsoft Messenger Service
579             Microsoft Network Logon
580             Microsoft Registry
581             Microsoft Security Account Manager
582             Microsoft Server Service
583             Microsoft Service Control
584             Microsoft Spool Subsystem
585             Microsoft Task Scheduler Service
586             Microsoft Telephony API Service
587             Microsoft Windows Browser Protocol
588             Microsoft Windows Lanman Remote API Protocol
589             Microsoft Windows Logon Protocol
590             Microsoft Workstation Service
591             Mobile IP
592             Mobile IPv6
593             Modbus/TCP
594             Mount Service
595             MultiProtocol Label Switching Header
596             Multicast Router DISCovery protocol
597             Multicast Source Discovery Protocol
598             Multiprotocol Label Switching Echo
599             MySQL Protocol
600             NFSACL
601             NFSAUTH
602             NIS+
603             NIS+ Callback
604             NSPI
605             NTLM Secure Service Provider
606             Name Binding Protocol
607             Name Management Protocol over IPX
608             NetBIOS
609             NetBIOS Datagram Service
610             NetBIOS Name Service
611             NetBIOS Session Service
612             NetBIOS over IPX
613             NetWare Core Protocol
614             NetWare Link Services Protocol
615             NetWare Serialization Protocol
616             Network Data Management Protocol
617             Network File System
618             Network Lock Manager Protocol
619             Network News Transfer Protocol
620             Network Status Monitor CallBack Protocol
621             Network Status Monitor Protocol
622             Network Time Protocol
623             Nortel SONMP
624             Novell Distributed Print System
625             Novell Modular Authentication Service
626             Null/Loopback
627             OSI ISO 8571 FTAM Protocol
628             OSI ISO/IEC 10035-1 ACSE Protocol
629             Open Shortest Path First
630             OpenBSD Encapsulating device
631             OpenBSD Packet Filter log file
632             OpenBSD Packet Filter log file, pre 3.4
633             Optimized Link State Routing Protocol
634             PC NFS
635             PKCS#1
636             POSTGRESQL
637             PPP Bandwidth Allocation Control Protocol
638             PPP Bandwidth Allocation Protocol
639             PPP CDP Control Protocol
640             PPP Callback Control Protocol
641             PPP Challenge Handshake Authentication Protocol
642             PPP Compressed Datagram
643             PPP Compression Control Protocol
644             PPP IP Control Protocol
645             PPP IPv6 Control Protocol
646             PPP Link Control Protocol
647             PPP MPLS Control Protocol
648             PPP Multilink Protocol
649             PPP Multiplexing
650             PPP OSI Control Protocol
651             PPP Password Authentication Protocol
652             PPP VJ Compression
653             PPP-over-Ethernet Discovery
654             PPP-over-Ethernet Session
655             PPPMux Control Protocol
656             Packed Encoding Rules (ASN.1 X.691)
657             PacketCable
658             Point-to-Point Protocol
659             Point-to-Point Tunnelling Protocol
660             Portmap
661             Post Office Protocol
662             Pragmatic General Multicast
663             Precision Time Protocol (IEEE1588)
664             Prism
665             Privilege Server operations
666             Protocol Independent Multicast
667             Q.2931
668             Q.931
669             Q.933
670             Quake II Network Protocol
671             Quake III Arena Network Protocol
672             Quake Network Protocol
673             QuakeWorld Network Protocol
674             Qualified Logical Link Control
675             RFC 2250 MPEG1
676             RFC 2833 RTP Event
677             RIPng
678             RPC Browser
679             RS Interface properties
680             RSTAT
681             RSYNC File Synchroniser
682             RX Protocol
683             Radio Access Network Application Part
684             Radius Protocol
685             Raw packet data
686             Real Time Streaming Protocol
687             Real-Time Publish-Subscribe Wire Protocol
688             Real-Time Transport Protocol
689             Real-time Transport Control Protocol
690             Registry Server Attributes Manipulation Interface
691             Registry server administration operations.
692             Remote Management Control Protocol
693             Remote Override interface
694             Remote Procedure Call
695             Remote Program Load
696             Remote Quota
697             Remote Shell
698             Remote Shutdown
699             Remote Wall protocol
700             Remote sec_login preauth interface.
701             Resource ReserVation Protocol (RSVP)
702             Rlogin Protocol
703             Routing Information Protocol
704             Routing Table Maintenance Protocol
705             SADMIND
706             SCSI
707             SEBEK - Kernel Data Capture
708             SGI Mount Service
709             SMB (Server Message Block Protocol)
710             SMB MailSlot Protocol
711             SMB Pipe Protocol
712             SNA-over-Ethernet
713             SNMP Multiplex Protocol
714             SPNEGO-KRB5
715             SPRAY
716             SS7 SCCP-User Adaptation Layer
717             SSCOP
718             SSH Protocol
719             Secure Socket Layer
720             Sequenced Packet eXchange
721             Service Advertisement Protocol
722             Service Location Protocol
723             Session Announcement Protocol
724             Session Description Protocol
725             Session Initiation Protocol
726             Session Initiation Protocol (SIP as raw text)
727             Short Message Peer to Peer
728             Signaling Compression
729             Signalling Connection Control Part
730             Signalling Connection Control Part Management
731             Simple Mail Transfer Protocol
732             Simple Network Management Protocol
733             Simple Traversal of UDP Through NAT
734             Sinec H1 Protocol
735             Sipfrag
736             Skinny Client Control Protocol
737             SliMP3 Communication Protocol
738             Socks Protocol
739             SoulSeek Protocol
740             Spanning Tree Protocol
741             Spnego
742             Stream Control Transmission Protocol
743             Subnetwork Dependent Convergence Protocol
744             Symantec Enterprise Firewall
745             Synchronous Data Link Control (SDLC)
746             Syslog message
747             Systems Network Architecture
748             Systems Network Architecture XID
749             T38
750             TACACS
751             TACACS+
752             TEI Management Procedure, Channel D (LAPD)
753             TEREDO Tunneling IPv6 over UDP through NATs
754             TPKT
755             Tabular Data Stream
756             Tazmen Sniffer Protocol
757             Telnet
758             Time Protocol
759             Time Synchronization Protocol
760             Token-Ring
761             Token-Ring Media Access Control
762             Transaction Capabilities Application Part
763             Transmission Control Protocol
764             Transparent Network Substrate Protocol
765             Trivial File Transfer Protocol
766             UDP Encapsulation of IPsec Packets
767             Universal Computer Protocol
768             User Datagram Protocol
769             Virtual Router Redundancy Protocol
770             Virtual Trunking Protocol
771             WAP Binary XML
772             WAP Session Initiation Request
773             Web Cache Coordination Protocol
774             WebSphere MQ
775             WebSphere MQ Programmable Command Formats
776             Wellfleet Breath of Life
777             Wellfleet Compression
778             Wellfleet HDLC
779             Who
780             Windows 2000 DNS
781             Wireless Session Protocol
782             Wireless Transaction Protocol
783             Wireless Transport Layer Security
784             X Display Manager Control Protocol
785             X.25
786             X.25 over TCP
787             X.29
788             X.509 Authentication Framework
789             X.509 Certificate Extensions
790             X.509 Information Framework
791             X.509 Selected Attribute Types
792             X11
793             Xyplex
794             Yahoo Messenger Protocol
795             Yahoo YMSG Messenger Protocol
796             Yellow Pages Bind
797             Yellow Pages Passwd
798             Yellow Pages Service
799             Yellow Pages Transfer
800             Zebra Protocol
801             Zone Information Protocol
802             eDonkey Protocol
803             giFT Internet File Transfer
804             iSCSI
805             iSNS
806
807    Q 1.6: Are there any plans to support {your favorite protocol}?
808
809    A: Support for particular protocols is added to Ethereal as a result
810    of people contributing that support; no formal plans for adding
811    support for particular protocols in particular future releases exist.
812
813    Q 1.7: Can Ethereal read capture files from {your favorite network
814    analyzer}?
815
816    A: Support for particular protocols is added to Ethereal as a result
817    of people contributing that support; no formal plans for adding
818    support for particular protocols in particular future releases exist.
819
820    If a network analyzer writes out files in a format already supported
821    by Ethereal (e.g., in libpcap format), Ethereal may already be able to
822    read them, unless the analyzer has added its own proprietary
823    extensions to that format.
824
825    If a network analyzer writes out files in its own format, or has added
826    proprietary extensions to another format, in order to make Ethereal
827    read captures from that network analyzer, we would either have to have
828    a specification for the file format, or the extensions, sufficient to
829    give us enough information to read the parts of the file relevant to
830    Ethereal, or would need at least one capture file in that format AND a
831    detailed textual analysis of the packets in that capture file (showing
832    packet time stamps, packet lengths, and the top-level packet header)
833    in order to reverse-engineer the file format.
834
835    Note that there is no guarantee that we will be able to
836    reverse-engineer a capture file format.
837
838    Q 1.8: What devices can Ethereal use to capture packets?
839
840    A: Ethereal can read live data from Ethernet, Token-Ring, FDDI, serial
841    (PPP and SLIP) (if the OS on which it's running allows Ethereal to do
842    so), 802.11 wireless LAN (if the OS on which it's running allows
843    Ethereal to do so), ATM connections (if the OS on which it's running
844    allows Ethereal to do so), and the "any" device supported on Linux by
845    recent versions of libpcap. See the list of supported capture media on
846    various OSes for details (several items in there say "Unknown", which
847    doesn't mean "Ethereal can't capture on them", it means "we don't know
848    whether it can capture on them"; we expect that it will be able to
849    capture on many of them, but we haven't tried it ourselves - if you
850    try one of those types and it works, please send an update to
851    _EWEB_MAILTO).
852
853    It can also read a variety of capture file formats, including:
854      * libpcap/tcpdump
855      * Sun snoop/atmsnoop
856      * Shomiti/Finisar Surveyor
857      * LanAlyzer
858      * DOS-based Sniffer (compressed and uncompressed)
859      * MS Network Monitor
860      * AIX iptrace
861      * NetXray and Windows-based Sniffer
862      * EtherPeek/TokenPeek/AiroPeek
863      * RADCOM WAN/LAN analyzer
864      * Lucent/Ascend debug output
865      * Toshiba ISDN router "snoop" output
866      * HPUX nettl
867      * ISDN4BSD "i4btrace" utility.
868      * Cisco Secure IDS
869      * pppd log files (pppdump format)
870      * VMS TCPIPtrace
871      * DBS Etherwatch
872      * Visual Networks' Visual UpTime
873      * CoSine L2 debug
874
875    so that it can read traces from various network types, as captured by
876    other applications or equipment, even if it cannot itself capture on
877    those network types.
878
879    Q 1.9: How do you pronounce Ethereal? Where did the name come from?
880
881    A: The English pronunciation can be found in Merriam-Webster's online
882    dictionary at
883    http://www.m-w.com/cgi-bin/dictionary?book=Dictionary&va=ethereal.
884
885    According to the book "Computer Networks" by Andrew Tannenbaum,
886    Ethernet was named after the "luminiferous ether" which was once
887    thought to carry electromagnetic radiation. Taking that into
888    consideration, Ethereal seemed like an appropriate name for something
889    that started out as an Ethernet analyzer.
890
891 Downloading Ethereal
892
893    Q 2.1: I downloaded the Win32 installer, but when I try to run it, I
894    get an error.
895
896    A: The program you used to download it may have downloaded it
897    incorrectly. Web browsers sometimes may do this.
898
899    Try downloading it with, for example:
900      * Wget, for which Windows binaries are available on the SunSITE FTP
901        server at sunsite.tk or Heiko Herold's windows wget spot - wGetGUI
902        offers a GUI interface that uses wget;
903      * WS_FTP from Ipswitch,
904      * the ftp command that comes with Windows.
905
906    If you use the ftp command, make sure you do the transfer in binary
907    mode rather than ASCII mode, by using the binary command before
908    transferring the file.
909
910    Q 2.2: When I try to download the WinPcap driver and library, I can't
911    get to the WinPcap Web site.
912
913    A: As is the case with all Web sites, that site won't necessarily
914    always be accessible; the server may be down due to a problem or down
915    for maintenance, or there may be a networking problem between you and
916    the server. You should try again later, or try the local mirror or the
917    Wiretapped.net mirror.
918
919 Installing Ethereal
920
921    Q 3.1: I installed an Ethereal RPM, but Ethereal doesn't seem to be
922    installed; only Tethereal is installed.
923
924    A: Older versions of the Red Hat RPMs for Ethereal put only the
925    non-GUI components into the ethereal RPM, the fact that Ethereal is a
926    GUI program nonwithstanding; newer versions make it a bit clearer by
927    giving that RPM a name starting with ethereal-base.
928
929    In those older versions, there's a separate ethereal-gnome RPM that
930    includes GUI components such as Ethereal itself, the fact that
931    Ethereal doesn't use GNOME nonwithstanding; newer versions make it a
932    bit clearer by giving that RPM a name starting with ethereal-gtk+.
933
934    Find the ethereal-gnome or ethereal-gtk+ RPM, and install that also.
935
936 Building Ethereal
937
938    Q 4.1: The configure script can't find pcap.h or bpf.h, but I have
939    libpcap installed.
940
941    A: Are you sure pcap.h and bpf.h are installed? The official
942    distribution of libpcap only installs the libpcap.a library file when
943    "make install" is run. To install pcap.h and bpf.h, you must run "make
944    install-incl". If you're running Debian or Redhat, make sure you have
945    the "libpcap-dev" or "libpcap-devel" packages installed.
946
947    It's also possible that pcap.h and bpf.h have been installed in a
948    strange location. If this is the case, you may have to tweak
949    aclocal.m4.
950
951    Q 4.2: Why do I get the error
952
953      dftest_DEPENDENCIES was already defined in condition TRUE, which
954      implies condition HAVE_PLUGINS_TRUE
955
956    when I try to build Ethereal from SVN or a SVN snapshot?
957
958    A: You probably have automake 1.5 installed on your machine (the
959    command automake --version will report the version of automake on your
960    machine). There is a bug in that version of automake that causes this
961    problem; upgrade to a later version of automake (1.6 or later).
962
963    Q 4.3: The link fails with a number of "Output line too long."
964    messages followed by linker errors.
965
966    A: The version of the sed command on your system is incapable of
967    handling very long lines. On Solaris, for example, /usr/bin/sed has a
968    line length limit too low to allow libtool to work; /usr/xpg4/bin/sed
969    can handle it, as can GNU sed if you have it installed.
970
971    On Solaris, changing your command search path to search /usr/xpg4/bin
972    before /usr/bin should make the problem go away; on any platform on
973    which you have this problem, installing GNU sed and changing your
974    command path to search the directory in which it is installed before
975    searching the directory with the version of sed that came with the OS
976    should make the problem go away.
977
978    Q 4.4: The link fails on Solaris because plugin_list is undefined.
979
980    A: This appears to be due to a problem with some versions of the GTK+
981    and GLib packages from www.sunfreeware.org; un-install those packages,
982    and try getting the 1.2.10 versions from that site, or the versions
983    from The Written Word, or the versions from Sun's GNOME distribution,
984    or the versions from the supplemental software CD that comes with the
985    Solaris media kit, or build them from source from the GTK Web site.
986    Then re-run the configuration script, and try rebuilding Ethereal. (If
987    you get the 1.2.10 versions from www.sunfreeware.org, and the problem
988    persists, un-install them and try installing one of the other versions
989    mentioned.)
990
991    Q 4.5: The build fails on Windows because of conflicts between
992    winsock.h and winsock2.h.
993
994    A: As of Ethereal 0.9.5, you must install WinPcap 2.3 or later, and
995    the corresponding version of the developer's pack, in order to be able
996    to compile Ethereal; it will not compile with older versions of the
997    developer's pack. The symptoms of this failure are conflicts between
998    definitions in winsock.h and in winsock2.h; Ethereal uses winsock2.h,
999    but pre-2.3 versions of the WinPcap developer's packet use winsock.h.
1000    (2.3 uses winsock2.h, so if Ethereal were to use winsock.h, it would
1001    not be able to build with current versions of the WinPcap developer's
1002    pack.)
1003
1004    Note that the installed version of the developer's pack should be the
1005    same version as the version of WinPcap you have installed.
1006
1007 Using Ethereal
1008
1009    Q 5.1: When I use Ethereal to capture packets, I see only packets to
1010    and from my machine, or I'm not seeing all the traffic I'm expecting
1011    to see from or to the machine I'm trying to monitor.
1012
1013    A: This might be because the interface on which you're capturing is
1014    plugged into a switch; on a switched network, unicast traffic between
1015    two ports will not necessarily appear on other ports - only broadcast
1016    and multicast traffic will be sent to all ports.
1017
1018    Note that even if your machine is plugged into a hub, the "hub" may be
1019    a switched hub, in which case you're still on a switched network.
1020
1021    Note also that on the Linksys Web site, they say that their
1022    auto-sensing hubs "broadcast the 10Mb packets to the port that operate
1023    at 10Mb only and broadcast the 100Mb packets to the ports that operate
1024    at 100Mb only", which would indicate that if you sniff on a 10Mb port,
1025    you will not see traffic coming sent to a 100Mb port, and vice versa.
1026    This problem has also been reported for Netgear dual-speed hubs, and
1027    may exist for other "auto-sensing" or "dual-speed" hubs.
1028
1029    Some switches have the ability to replicate all traffic on all ports
1030    to a single port so that you can plug your analyzer into that single
1031    port to sniff all traffic. You would have to check the documentation
1032    for the switch to see if this is possible and, if so, to see how to do
1033    this. See the switch reference page on the Ethereal Wiki for
1034    information on some switches. (Note that it's a Wiki, so you can
1035    update or fix that information, or add additional information on those
1036    switches or information on new switches, yourself.)
1037
1038    Note also that many firewall/NAT boxes have a switch built into them;
1039    this includes many of the "cable/DSL router" boxes. If you have a box
1040    of that sort, that has a switch with some number of Ethernet ports
1041    into which you plug machines on your network, and another Ethernet
1042    port used to connect to a cable or DSL modem, you can, at least, sniff
1043    traffic between the machines on your network and the Internet by
1044    plugging the Ethernet port on the router going to the modem, the
1045    Ethernet port on the modem, and the machine on which you're running
1046    Ethereal into a hub (make sure it's not a switching hub, and that, if
1047    it's a dual-speed hub, all three of those ports are running at the
1048    same speed.
1049
1050    If your machine is not plugged into a switched network or a dual-speed
1051    hub, or it is plugged into a switched network but the port is set up
1052    to have all traffic replicated to it, the problem might be that the
1053    network interface on which you're capturing doesn't support
1054    "promiscuous" mode, or because your OS can't put the interface into
1055    promiscuous mode. Normally, network interfaces supply to the host
1056    only:
1057      * packets sent to one of that host's link-layer addresses;
1058      * broadcast packets;
1059      * multicast packets sent to a multicast address that the host has
1060        configured the interface to accept.
1061
1062    Most network interfaces can also be put in "promiscuous" mode, in
1063    which they supply to the host all network packets they see. Ethereal
1064    will try to put the interface on which it's capturing into promiscuous
1065    mode unless the "Capture packets in promiscuous mode" option is turned
1066    off in the "Capture Options" dialog box, and Tethereal will try to put
1067    the interface on which it's capturing into promiscuous mode unless the
1068    -p option was specified. However, some network interfaces don't
1069    support promiscuous mode, and some OSes might not allow interfaces to
1070    be put into promiscuous mode.
1071
1072    If the interface is not running in promiscuous mode, it won't see any
1073    traffic that isn't intended to be seen by your machine. It will see
1074    broadcast packets, and multicast packets sent to a multicast MAC
1075    address the interface is set up to receive.
1076
1077    You should ask the vendor of your network interface whether it
1078    supports promiscuous mode. If it does, you should ask whoever supplied
1079    the driver for the interface (the vendor, or the supplier of the OS
1080    you're running on your machine) whether it supports promiscuous mode
1081    with that network interface.
1082
1083    In the case of token ring interfaces, the drivers for some of them, on
1084    Windows, may require you to enable promiscuous mode in order to
1085    capture in promiscuous mode. Ask the vendor of the card how to do
1086    this, or see, for example, this information on promiscuous mode on
1087    some Madge token ring adapters (note that those cards can have
1088    promiscuous mode disabled permanently, in which case you can't enable
1089    it).
1090
1091    In the case of wireless LAN interfaces, it appears that, when those
1092    interfaces are promiscuously sniffing, they're running in a
1093    significantly different mode from the mode that they run in when
1094    they're just acting as network interfaces (to the extent that it would
1095    be a significant effor for those drivers to support for promiscuously
1096    sniffing and acting as regular network interfaces at the same time),
1097    so it may be that Windows drivers for those interfaces don't support
1098    promiscuous mode.
1099
1100    Q 5.2: I can't see any TCP packets other than packets to and from my
1101    machine, even though another analyzer on the network sees those
1102    packets.
1103
1104    A: You're probably not seeing any packets other than unicast packets
1105    to or from your machine, and broadcast and multicast packets; a switch
1106    will normally send to a port only unicast traffic sent to the MAC
1107    address for the interface on that port, and broadcast and multicast
1108    traffic - it won't send to that port unicast traffic sent to a MAC
1109    address for some other interface - and a network interface not in
1110    promiscuous mode will receive only unicast traffic sent to the MAC
1111    address for that interface, broadcast traffic, and multicast traffic
1112    sent to a multicast MAC address the interface is set up to receive.
1113
1114    TCP doesn't use broadcast or multicast, so you will only see your own
1115    TCP traffic, but UDP services may use broadcast or multicast so you'll
1116    see some UDP traffic - however, this is not a problem with TCP
1117    traffic, it's a problem with unicast traffic, as you also won't see
1118    all UDP traffic between other machines.
1119
1120    I.e., this is probably the same question as this earlier one; see the
1121    response to that question.
1122
1123    Q 5.3: I'm only seeing ARP packets when I try to capture traffic.
1124
1125    A: You're probably on a switched network, and running Ethereal on a
1126    machine that's not sending traffic to the switch and not being sent
1127    any traffic from other machines on the switch. ARP packets are often
1128    broadcast packets, which are sent to all switch ports.
1129
1130    I.e., this is probably the same question as this earlier one; see the
1131    response to that question.
1132
1133    Q 5.4: I'm running Ethereal on Windows; why does some network
1134    interface on my machine not show up in the list of interfaces in the
1135    "Interface:" field in the dialog box popped up by "Capture->Start",
1136    and/or why does Ethereal give me an error if I try to capture on that
1137    interface?
1138
1139    A: If you are running Ethereal on Windows NT 4.0, Windows 2000,
1140    Windows XP, or Windows Server, and this is the first time you have run
1141    a WinPcap-based program (such as Ethereal, or Tethereal, or WinDump,
1142    or Analyzer, or...) since the machine was rebooted, you need to run
1143    that program from an account with administrator privileges; once you
1144    have run such a program, you will not need administrator privileges to
1145    run any such programs until you reboot.
1146
1147    If you are running on Windows 95/98/Me, or if you are running on
1148    Windows NT 4.0/2000/XP/Server and have administrator privileges or a
1149    WinPcap-based program has been run with those privileges since the
1150    machine rebooted, then note that Ethereal relies on the WinPcap
1151    library, on the WinPcap device driver, and on the facilities that come
1152    with the OS on which it's running in order to do captures.
1153
1154    Therefore, if the OS, the WinPcap library, or the WinPcap driver don't
1155    support capturing on a particular network interface device, Ethereal
1156    won't be able to capture on that device.
1157
1158    Note that:
1159     1. 2.02 and earlier versions of the WinPcap driver and library that
1160        Ethereal uses for packet capture didn't support Token Ring
1161        interfaces; versions 2.1 and later support Token Ring, and the
1162        current version of Ethereal works with (and, in fact, requires)
1163        WinPcap 2.1 or later.
1164        If you are having problems capturing on Token Ring interfaces, and
1165        you have WinPcap 2.02 or an earlier version of WinPcap installed,
1166        you should uninstall WinPcap, download and install the current
1167        version of WinPcap, and then install the latest version of
1168        Ethereal.
1169     2. On Windows 95, 98, or Me, sometimes more than one interface will
1170        be given the same name; if that is the case, you will only be able
1171        to capture on one of those interfaces - it's not clear to which
1172        one the name, when used in a WinPcap-based application, will
1173        refer. For example, if you have a PPP serial interface and a VPN
1174        interface, they might show up with the same name, for example
1175        "ppp-mac", and if you try to capture on "ppp-mac", it might not
1176        capture on the interface you're currently using. In that case, you
1177        might, for example, have to remove the VPN interface from the
1178        system in order to capture on the PPP serial interface.
1179     3. WinPcap 3.0 doesn't support PPP WAN interfaces, and WinPcap 2.3
1180        doesn't support PPP WAN interfaces on Windows NT/2000/XP/Server,
1181        so Ethereal cannot capture packets on those devices with WinPcap
1182        3.0, or with WInPcap 2.x when running on Windows
1183        NT/2000/XP/Server. Regular dial-up lines, ISDN lines, and various
1184        other lines such as T1/E1 lines are all PPP interfaces. This may
1185        cause the interface not to show up on the list of interfaces in
1186        the "Capture Options" dialog.
1187     4. WinPcap prior to 3.0 does not support multiprocessor machines
1188        (note that machines with a single multi-threaded processor, such
1189        as Intel's new multi-threaded x86 processors, are multiprocessor
1190        machines as far as the OS and WinPcap are concerned), and recent
1191        2.x versions of WinPcap refuse to operate if they detect that
1192        they're running on a multiprocessor machine, which means that they
1193        may not show any network interfaces. You will need to use WinPcap
1194        3.0 to capture on a multiprocessor machine.
1195
1196    If an interface doesn't show up in the list of interfaces in the
1197    "Interface:" field, and you know the name of the interface, try
1198    entering that name in the "Interface:" field and capturing on that
1199    device.
1200
1201    If the attempt to capture on it succeeds, the interface is somehow not
1202    being reported by the mechanism Ethereal uses to get a list of
1203    interfaces. Try listing the interfaces with WinDump; see the WinDump
1204    Web site or the local mirror of the WinDump Web site for information
1205    on using WinDump.
1206
1207    You would run WinDump with the -D flag; if it lists the interface,
1208    please report this to ethereal-dev@ethereal.com giving full details of
1209    the problem, including
1210      * the operating system you're using, and the version of that
1211        operating system;
1212      * the type of network device you're using;
1213      * the output of WinDump.
1214
1215    If WinDump does not list the interface, this is almost certainly a
1216    problem with one or more of:
1217      * the operating system you're using;
1218      * the device driver for the interface you're using;
1219      * the WinPcap library and/or the WinPcap device driver;
1220
1221    so first check the WinPcap FAQ, the local mirror of that FAQ, or the
1222    Wiretapped.net mirror of that FAQ, to see if your problem is mentioned
1223    there. If not, then see the WinPcap support page (or the local mirror
1224    of that page) - check the "Submitting bugs" section.
1225
1226    If you are having trouble capturing on a particular network interface,
1227    first try capturing on that device with WinDump; see the WinDump Web
1228    site or the local mirror of the WinDump Web site for information on
1229    using WinDump.
1230
1231    If you can capture on the interface with WinDump, send mail to
1232    ethereal-users@ethereal.com giving full details of the problem,
1233    including
1234      * the operating system you're using, and the version of that
1235        operating system;
1236      * the type of network device you're using;
1237      * the error message you get from Ethereal.
1238
1239    If you cannot capture on the interface with WinDump, this is almost
1240    certainly a problem with one or more of:
1241      * the operating system you're using;
1242      * the device driver for the interface you're using;
1243      * the WinPcap library and/or the WinPcap device driver;
1244
1245    so first check the WinPcap FAQ, the local mirror of that FAQ, or the
1246    Wiretapped.net mirror of that FAQ, to see if your problem is mentioned
1247    there. If not, then see the WinPcap support page (or the local mirror
1248    of that page) - check the "Submitting bugs" section.
1249
1250    You may also want to ask the ethereal-users@ethereal.com and the
1251    winpcap-users@winpcap.polito.it mailing lists to see if anybody
1252    happens to know about the problem and know a workaround or fix for the
1253    problem. (Note that you will have to subscribe to that list in order
1254    to be allowed to mail to it; see the WinPcap support page, or the
1255    local mirror of that page, for information on the mailing list.) In
1256    your mail, please give full details of the problem, as described
1257    above, and also indicate that the problem occurs with WinDump, not
1258    just with Ethereal.
1259
1260    Q 5.5: I'm running Ethereal on Windows; why do no network interfaces
1261    show up in the list of interfaces in the "Interface:" field in the
1262    dialog box popped up by "Capture->Start"?
1263
1264    A: This is really the same question as the previous one; see the
1265    response to that question.
1266
1267    Q 5.6: I'm running Ethereal on Windows; why doesn't my serial
1268    port/ADSL modem/ISDN modem/show up in the list of interfaces in the
1269    "Interface:" field in the dialog box popped up by "Capture->Start"?
1270
1271    A: All of those devices support Internet access using the
1272    Point-to-Point (PPP) protocol; WinPcap 3.0 doesn't support PPP
1273    interfaces, and WinPcap 2.x doesn't support PPP interfaces on Windows
1274    NT/2000/XP/Server, so Ethereal cannot capture packets on those devices
1275    with WinPcap 3.0, or with WinPcap 2.x when running on Windows
1276    NT/2000/XP/Server. This may cause the interface not to show up on the
1277    list of interfaces in the "Capture Options" dialog.
1278
1279    Q 5.7: I'm running Ethereal on a UNIX-flavored OS; why does some
1280    network interface on my machine not show up in the list of interfaces
1281    in the "Interface:" field in the dialog box popped up by
1282    "Capture->Start", and/or why does Ethereal give me an error if I try
1283    to capture on that interface?
1284
1285    A: You may need to run Ethereal from an account with sufficient
1286    privileges to capture packets, such as the super-user account. Only
1287    those interfaces that Ethereal can open for capturing show up in that
1288    list; if you don't have sufficient privileges to capture on any
1289    interfaces, no interfaces will show up in the list.
1290
1291    If you are running Ethereal from an account with sufficient
1292    privileges, then note that Ethereal relies on the libpcap library, and
1293    on the facilities that come with the OS on which it's running in order
1294    to do captures.
1295
1296    Therefore, if the OS or the libpcap library don't support capturing on
1297    a particular network interface device, Ethereal won't be able to
1298    capture on that device.
1299
1300    On Linux, note that you need to have "packet socket" support enabled
1301    in your kernel; see the "Packet socket" item in the Linux
1302    "Configure.help" file.
1303
1304    On BSD, note that you need to have BPF support enabled in your kernel;
1305    see the documentation for your system for information on how to enable
1306    BPF support (if it's not enabled by default on your system).
1307
1308    On DEC OSF/1, Digital UNIX, or Tru64 UNIX, note that you need to have
1309    packet filtering support in your kernel; the doconfig command will
1310    allow you to configure and build a new kernel with that option.
1311
1312    On Solaris, note that libpcap 0.6.2 and earlier didn't support Token
1313    Ring interfaces; the current version, 0.7.2, does support Token Ring,
1314    and the current version of Ethereal works with libcap 0.7.2 and later.
1315
1316    If an interface doesn't show up in the list of interfaces in the
1317    "Interface:" field, and you know the name of the interface, try
1318    entering that name in the "Interface:" field and capturing on that
1319    device.
1320
1321    If the attempt to capture on it succeeds, the interface is somehow not
1322    being reported by the mechanism Ethereal uses to get a list of
1323    interfaces; please report this to ethereal-dev@ethereal.com giving
1324    full details of the problem, including
1325      * the operating system you're using, and the version of that
1326        operating system (for Linux, give both the version number of the
1327        kernel and the name and version number of the distribution you're
1328        using);
1329      * the type of network device you're using.
1330
1331    If you are having trouble capturing on a particular network interface,
1332    and you've made sure that (on platforms that require it) you've
1333    arranged that packet capture support is present, as per the above,
1334    first try capturing on that device with tcpdump.
1335
1336    If you can capture on the interface with tcpdump, send mail to
1337    ethereal-users@ethereal.com giving full details of the problem,
1338    including
1339      * the operating system you're using, and the version of that
1340        operating system (for Linux, give both the version number of the
1341        kernel and the name and version number of the distribution you're
1342        using);
1343      * the type of network device you're using;
1344      * the error message you get from Ethereal.
1345
1346    If you cannot capture on the interface with tcpdump, this is almost
1347    certainly a problem with one or more of:
1348      * the operating system you're using;
1349      * the device driver for the interface you're using;
1350      * the libpcap library;
1351
1352    so you should report the problem to the company or organization that
1353    produces the OS (in the case of a Linux distribution, report the
1354    problem to whoever produces the distribution).
1355
1356    You may also want to ask the ethereal-users@ethereal.com and the
1357    tcpdump-workers@tcpdump.org mailing lists to see if anybody happens to
1358    know about the problem and know a workaround or fix for the problem.
1359    In your mail, please give full details of the problem, as described
1360    above, and also indicate that the problem occurs with tcpdump not just
1361    with Ethereal.
1362
1363    Q 5.8: I'm running Ethereal on a UNIX-flavored OS; why do no network
1364    interfaces show up in the list of interfaces in the "Interface:" field
1365    in the dialog box popped up by "Capture->Start"?
1366
1367    A: This is really the same question as the previous one; see the
1368    response to that question.
1369
1370    Q 5.9: Can Ethereal capture on (my T1/E1 line, SS7 links, etc.)?
1371
1372    A: Ethereal can only capture on devices supported by libpcap/WinPcap.
1373    On most OSes, only devices that can act as network interfaces of the
1374    type that support IP are supported as capture devices for
1375    libpcap/WinPcap, although the device doesn't necessarily have to be
1376    running as an IP interface in order to support traffic capture.
1377
1378    On Linux and FreeBSD, libpcap 0.8 and later support the API for Endace
1379    Measurement Systems' DAG cards, so that a system with one of those
1380    cards, and its driver and libraries, installed can capture traffic
1381    with those cards with libpcap-based applications. You would either
1382    have to have a version of Ethereal built with that version of libpcap,
1383    or a dynamically-linked version of Ethereal and a shared libpcap
1384    library with DAG support, in order to do so with Ethereal. You should
1385    ask Endace whether that could be used to capture traffic on, for
1386    example, your T1/E1 link.
1387    There is currently no hardware to support capturing on SS7 links with
1388    libpcap. (Note that the fact that Ethereal includes dissectors for
1389    many SS7 protocols doesn't imply that it can capture traffic from SS7
1390    links; those protocols can be run over Internet protocols.)
1391
1392    Q 5.10: How do I put an interface into promiscuous mode?
1393
1394    A: By not disabling promiscuous mode when running Ethereal or
1395    Tethereal.
1396
1397    Note, however, that:
1398      * the form of promiscuous mode that libpcap (the library that
1399        programs such as tcpdump, Ethereal, etc. use to do packet capture)
1400        turns on will not necessarily be shown if you run ifconfig on the
1401        interface on a UNIX system;
1402      * some network interfaces might not support promiscuous mode, and
1403        some drivers might not allow promiscuous mode to be turned on -
1404        see this earlier question for more information on that;
1405      * the fact that you're not seeing any traffic, or are only seeing
1406        broadcast traffic, or aren't seeing any non-broadcast traffic
1407        other than traffic to or from the machine running Ethereal, does
1408        not mean that promiscuous mode isn't on - see this earlier
1409        question for more information on that.
1410
1411    I.e., this is probably the same question as this earlier one; see the
1412    response to that question.
1413
1414    Q 5.11: I can set a display filter just fine, but capture filters
1415    don't work.
1416
1417    A: Capture filters currently use a different syntax than display
1418    filters. Here's the corresponding section from the ethereal(1) man
1419    page:
1420
1421    "Display filters in Ethereal are very powerful; more fields are
1422    filterable in Ethereal than in other protocol analyzers, and the
1423    syntax you can use to create your filters is richer. As Ethereal
1424    progresses, expect more and more protocol fields to be allowed in
1425    display filters.
1426
1427    Packet capturing is performed with the pcap library. The capture
1428    filter syntax follows the rules of the pcap library. This syntax is
1429    different from the display filter syntax."
1430
1431    The capture filter syntax used by libpcap can be found in the
1432    tcpdump(8) man page.
1433
1434    Q 5.12: I'm entering valid capture filters, but I still get "parse
1435    error" errors.
1436
1437    A: There is a bug in some versions of libpcap/WinPcap that cause it to
1438    report parse errors even for valid expressions if a previous filter
1439    expression was invalid and got a parse error.
1440
1441    Try exiting and restarting Ethereal; if you are using a version of
1442    libpcap/WinPcap with this bug, this will "erase" its memory of the
1443    previous parse error. If the capture filter that got the "parse error"
1444    now works, the earlier error with that filter was probably due to this
1445    bug.
1446
1447    The bug was fixed in libpcap 0.6; 0.4[.x] and 0.5[.x] versions of
1448    libpcap have this bug, but 0.6[.x] and later versions don't.
1449
1450    Versions of WinPcap prior to 2.3 are based on pre-0.6 versions of
1451    libpcap, and have this bug; WinPcap 2.3 is based on libpcap 0.6.2, and
1452    doesn't have this bug.
1453
1454    If you are running Ethereal on a UNIX-flavored platform, run "ethereal
1455    -v", or select "About Ethereal..." from the "Help" menu in Ethereal,
1456    to see what version of libpcap it's using. If it's not 0.6 or later,
1457    you will need either to upgrade your OS to get a later version of
1458    libpcap, or will need to build and install a later version of libpcap
1459    from the tcpdump.org Web site and then recompile Ethereal from source
1460    with that later version of libpcap.
1461
1462    If you are running Ethereal on Windows with a pre-2.3 version of
1463    WinPcap, you will need to un-install WinPcap and then download and
1464    install WinPcap 2.3.
1465
1466    Q 5.13: I saved a filter and tried to use its name to filter the
1467    display, but I got an "Unexpected end of filter string" error.
1468
1469    A: You cannot use the name of a saved display filter as a filter. To
1470    filter the display, you can enter a display filter expression - not
1471    the name of a saved display filter - in the "Filter:" box at the
1472    bottom of the display, and type the key or press the "Apply" button
1473    (that does not require you to have a saved filter), or, if you want to
1474    use a saved filter, you can press the "Filter:" button, select the
1475    filter in the dialog box that pops up, and press the "OK" button.
1476
1477    Q 5.14: Why am I seeing lots of packets with incorrect TCP checksums?
1478
1479    A: If the packets that have incorrect TCP checksums are all being sent
1480    by the machine on which Ethereal is running, this is probably because
1481    the network interface on which you're capturing does TCP checksum
1482    offloading. That means that the TCP checksum is added to the packet by
1483    the network interface, not by the OS's TCP/IP stack; when capturing on
1484    an interface, packets being sent by the host on which you're capturing
1485    are directly handed to the capture interface by the OS, which means
1486    that they are handed to the capture interface without a TCP checksum
1487    being added to them.
1488
1489    The only way to prevent this from happening would be to disable TCP
1490    checksum offloading, but
1491     1. that might not even be possible on some OSes;
1492     2. that could reduce networking performance significantly.
1493
1494    However, you can disable the check that Ethereal does of the TCP
1495    checksum, so that it won't report any packets as having TCP checksum
1496    errors, and so that it won't refuse to do TCP reassembly due to a
1497    packet having an incorrect TCP checksum. That can be set as an
1498    Ethereal preference by selecting "Preferences" from the "Edit" menu,
1499    opening up the "Protocols" list in the left-hand pane of the
1500    "Preferences" dialog box, selecting "TCP", from that list, turning off
1501    the "Check the validity of the TCP checksum when possible" option,
1502    clicking "Save" if you want to save that setting in your preference
1503    file, and clicking "OK".
1504
1505    It can also be set on the Ethereal or Tethereal command line with a -o
1506    tcp.check_checksum:false command-line flag, or manually set in your
1507    preferences file by adding a tcp.check_checksum:false line.
1508
1509    Q 5.15: I've just installed Ethereal, and the traffic on my local LAN
1510    is boring.
1511
1512    A: We have a collection of strange and exotic sample capture files at
1513    http://www.ethereal.com/sample/
1514
1515    Q 5.16: When I run Ethereal on Solaris 8, it dies with a Bus Error
1516    when I start it.
1517
1518    A: Some versions of the GTK+ library from www.sunfreeware.org appear
1519    to be buggy, causing Ethereal to drop core with a Bus Error.
1520    Un-install those packages, and try getting the 1.2.10 version from
1521    that site, or the version from The Written Word, or the version from
1522    Sun's GNOME distribution, or the version from the supplemental
1523    software CD that comes with the Solaris media kit, or build it from
1524    source from the GTK Web site. Update the GLib library to the 1.2.10
1525    version, from the same source, as well. (If you get the 1.2.10
1526    versions from www.sunfreeware.org, and the problem persists,
1527    un-install them and try installing one of the other versions
1528    mentioned.)
1529
1530    Similar problems may exist with older versions of GTK+ for earlier
1531    versions of Solaris.
1532
1533    Q 5.17: When I run Ethereal, I get an error
1534
1535      Gtk-CRITICAL **: file gtkwindow.c: line 3107 (gtk_window_resize):
1536      assertion `height > 0' failed.
1537
1538    A: This is a bug in Ethereal 0.10.5 and 0.10.5a, which is fixed in
1539    Ethereal 0.10.6 and later releases.
1540
1541    Q 5.18: When I run Tethereal with the "-x" option, it crashes with an
1542    error
1543
1544      "** ERROR **: file print.c: line 691 (print_line): should not be
1545      reached.
1546
1547    A: This is a bug in Ethereal 0.10.0a, which is fixed in 0.10.1 and
1548    later releases. To work around the bug, don't use "-x" unless you're
1549    also using "-V"; note that "-V" produces a full dissection of each
1550    packet, so you might not want to use it.
1551
1552    To get a fixed version, either build the current SVN version from
1553    anonymous SVN or a nightly SVN snapshot, or apply to tethereal.c in
1554    the 0.10.0a source tarball the changes between the broken and the
1555    fixed versions, which you can download with the URL
1556    http://www.ethereal.com/cgi-bin/viewcvs.cgi/ethereal/tethereal.c.diff?
1557    r2=1.211&r1=1.210&diff_format=u and (re-)build from source. It might
1558    be easier to get the SVN version than to get the patch and apply it to
1559    the 0.10.0a source tarball, but it's probably easier to build from the
1560    source tarball than from the SVN version, as you'll need to have more
1561    tools and make more steps to generate from the SVN version some files
1562    that are bundled with the source tarball.
1563
1564    Note that to build from the 0.10.0a source tarball on Windows with
1565    Microsoft Visual C++, you will need to get a file that was missing
1566    from the 0.10.0a source tarball; see the FAQ for that problem.
1567
1568    Q 5.19: When I run Ethereal on Windows NT, it dies with a Dr. Watson
1569    error, reporting an "Integer division by zero" exception, when I start
1570    it.
1571
1572    A: In at least some case, this appears to be due to using the default
1573    VGA driver; if that's not the correct driver for your video card, try
1574    running the correct driver for your video card.
1575
1576    Q 5.20: When I try to run Ethereal, it complains about
1577    sprint_realloc_objid being undefined.
1578
1579    A: Ethereal can only be linked with version 4.2.2 or later of UCD
1580    SNMP. Your version of Ethereal was dynamically linked with such a
1581    version of UCD SNMP; however, you have an older version of UCD SNMP
1582    installed, which means that when Ethereal is run, it tries to link to
1583    the older version, and fails. You will have to replace that version of
1584    UCD SNMP with version 4.2.2 or a later version.
1585
1586    Q 5.21: I'm running Ethereal on Linux; why do my time stamps have only
1587    100ms resolution, rather than 1us resolution?
1588
1589    A: Ethereal gets time stamps from libpcap/WinPcap, and libpcap/WinPcap
1590    get them from the OS kernel, so Ethereal - and any other program using
1591    libpcap, such as tcpdump - is at the mercy of the time stamping code
1592    in the OS for time stamps.
1593
1594    At least on x86-based machines, Linux can get high-resolution time
1595    stamps on newer processors with the Time Stamp Counter (TSC) register;
1596    for example, Intel x86 processors, starting with the Pentium Pro, and
1597    including all x86 processors since then, have had a TSC, and other
1598    vendors probably added the TSC at some point to their families of x86
1599    processors.
1600
1601    The Linux kernel must be configured with the CONFIG_X86_TSC option
1602    enabled in order to use the TSC. Make sure this option is enabled in
1603    your kernel.
1604
1605    In addition, some Linux distributions may have bugs in their versions
1606    of the kernel that cause packets not to be given high-resolution time
1607    stamps even if the TSC is enabled. See, for example, bug 61111 for Red
1608    Hat Linux 7.2. If your distribution has a bug such as this, you may
1609    have to run a standard kernel from kernel.org in order to get
1610    high-resolution time stamps.
1611
1612    Q 5.22: I'm capturing packets on {Windows 95, Windows 98, Windows Me};
1613    why are the time stamps on packets wrong?
1614
1615    A: This is due to a bug in WinPcap. The bug should be fixed in WinPcap
1616    3.0.
1617
1618    Q 5.23: When I try to run Ethereal on Windows, it fails to run because
1619    it can't find packet.dll.
1620
1621    A: In older versions of Ethereal, there were two binary distributions
1622    available for Windows, one that supported capturing packets, and one
1623    that didn't. The version that supported capturing packets required
1624    that you install the WinPcap driver; if you didn't install it, it
1625    would fail to run because it couldn't find packet.dll.
1626
1627    The current version of Ethereal has only one binary distribution for
1628    Windows; that version will check whether WinPcap is installed and, if
1629    it's not, will disable support for packet capture.
1630
1631    The WinPcap driver and libraries can be downloaded from the WinPcap
1632    Web site, the local mirror of the WinPcap Web site, or the
1633    Wiretapped.net mirror of the WinPcap site.
1634
1635    Q 5.24: I'm running Ethereal on Windows NT/2000/XP/Server; my machine
1636    has a PPP (dial-up POTS, ISDN, etc.) interface, and it shows up in the
1637    "Interface" item in the "Capture Options" dialog box. Why can no
1638    packets be sent on or received from that network while I'm trying to
1639    capture traffic on that interface?
1640
1641    A: WinPcap doesn't support PPP WAN interfaces on Windows
1642    NT/2000/XP/Server; one symptom that may be seen is that attempts to
1643    capture in promiscuous mode on the interface cause the interface to be
1644    incapable of sending or receiving packets. You can disable promiscuous
1645    mode using the -p command-line flag or the item in the "Capture
1646    Preferences" dialog box, but this may mean that outgoing packets, or
1647    incoming packets, won't be seen in the capture.
1648
1649    Q 5.25: I'm running Ethereal on Windows 95/98/Me, on a machine with
1650    more than one network adapter of the same type; Ethereal shows all of
1651    those adapters with the same name, but I can't use any of those
1652    adapters other than the first one.
1653
1654    A: Unfortunately, Windows 95/98/Me gives the same name to multiple
1655    instances of the type of same network adapter. Therefore, WinPcap
1656    cannot distinguish between them, so a WinPcap-based application can
1657    capture only on the first such interface; Ethereal is a
1658    libpcap/WinPcap-based application.
1659
1660    Q 5.26: I'm running Ethereal on Windows, and I'm not seeing any
1661    traffic being sent by the machine running Ethereal.
1662
1663    A: If you are running some form of VPN client software, it might be
1664    causing this problem; people have seen this problem when they have
1665    Check Point's VPN software installed on their machine. If that's the
1666    cause of the problem, you will have to remove the VPN software in
1667    order to have Ethereal (or any other application using WinPcap) see
1668    outgoing packets; unfortunately, neither we nor the WinPcap developers
1669    know any way to make WinPcap and the VPN software work well together.
1670
1671    Also, some drivers for Windows (especially some wireless network
1672    interface drivers) apparently do not, when running in promiscuous
1673    mode, arrange that outgoing packets are delivered to the software that
1674    requested that the interface run promiscuously; try turning
1675    promiscuous mode off.
1676
1677    Q 5.27: I'm trying to capture traffic but I'm not seeing any.
1678
1679    A: Is the machine running Ethereal sending out any traffic on the
1680    network interface on which you're capturing, or receiving any traffic
1681    on that network, or is there any broadcast traffic on the network or
1682    multicast traffic to a multicast group to which the machine running
1683    Ethereal belongs?
1684
1685    If not, this may just be a problem with promiscuous sniffing, either
1686    due to running on a switched network or a dual-speed hub, or due to
1687    problems with the interface not supporting promiscuous mode; see the
1688    response to this earlier question.
1689
1690    Otherwise, on Windows, see the response to this question and, on a
1691    UNIX-flavored OS, see the response to this question.
1692
1693    Q 5.28: I have an XXX network card on my machine; if I try to capture
1694    on it, my machine crashes or resets itself.
1695
1696    A: This is almost certainly a problem with one or more of:
1697      * the operating system you're using;
1698      * the device driver for the interface you're using;
1699      * the libpcap/WinPcap library and, if this is Windows, the WinPcap
1700        device driver;
1701
1702    so:
1703      * if you are using Windows, see the WinPcap support page (or the
1704        local mirror of that page) - check the "Submitting bugs" section;
1705      * if you are using some Linux distribution, some version of BSD, or
1706        some other UNIX-flavored OS, you should report the problem to the
1707        company or organization that produces the OS (in the case of a
1708        Linux distribution, report the problem to whoever produces the
1709        distribution).
1710
1711    Q 5.29: My machine crashes or resets itself when I select "Start" from
1712    the "Capture" menu or select "Preferences" from the "Edit" menu.
1713
1714    A: Both of those operations cause Ethereal to try to build a list of
1715    the interfaces that it can open; it does so by getting a list of
1716    interfaces and trying to open them. There is probably an OS, driver,
1717    or, for Windows, WinPcap bug that causes the system to crash when this
1718    happens; see the previous question.
1719
1720    Q 5.30: Does Ethereal work on Windows Me?
1721
1722    A: Yes, but if you want to capture packets, you will need to install
1723    the latest version of WinPcap, as 2.02 and earlier versions of WinPcap
1724    didn't support Windows Me. You should also install the latest version
1725    of Ethereal as well.
1726
1727    Q 5.31: Does Ethereal work on Windows XP?
1728
1729    A: Yes, but if you want to capture packets, you will need to install
1730    the latest version of WinPcap, as 2.2 and earlier versions of WinPcap
1731    didn't support Windows XP.
1732
1733    Q 5.32: Why doesn't Ethereal correctly identify RTP packets? It shows
1734    them only as UDP.
1735
1736    A: Ethereal can identify a UDP datagram as containing a packet of a
1737    particular protocol running atop UDP only if
1738     1. The protocol in question has a particular standard port number,
1739        and the UDP source or destination port number is that port
1740     2. Packets of that protocol can be identified by looking for a
1741        "signature" of some type in the packet - i.e., some data that, if
1742        Ethereal finds it in some particular part of a packet, means that
1743        the packet is almost certainly a packet of that type.
1744     3. Some other traffic earlier in the capture indicated that, for
1745        example, UDP traffic between two particular addresses and ports
1746        will be RTP traffic.
1747
1748    RTP doesn't have a standard port number, so 1) doesn't work; it
1749    doesn't, as far as I know, have any "signature", so 2) doesn't work.
1750
1751    That leaves 3). If there's RTSP traffic that sets up an RTP session,
1752    then, at least in some cases, the RTSP dissector will set things up so
1753    that subsequent RTP traffic will be identified. Currently, that's the
1754    only place we do that; there may be other places.
1755
1756    However, there will always be places where Ethereal is simply
1757    incapable of deducing that a given UDP flow is RTP; a mechanism would
1758    be needed to allow the user to specify that a given conversation
1759    should be treated as RTP. As of Ethereal 0.8.16, such a mechanism
1760    exists; if you select a UDP or TCP packet, the right mouse button menu
1761    will have a "Decode As..." menu item, which will pop up a dialog box
1762    letting you specify that the source port, the destination port, or
1763    both the source and destination ports of the packet should be
1764    dissected as some particular protocol.
1765
1766    Q 5.33: Why doesn't Ethereal show Yahoo Messenger packets in captures
1767    that contain Yahoo Messenger traffic?
1768
1769    A: Ethereal only recognizes as Yahoo Messenger traffic packets to or
1770    from TCP port 3050 that begin with "YPNS", "YHOO", or "YMSG". TCP
1771    segments that start with the middle of a Yahoo Messenger packet that
1772    takes more than one TCP segment will not be recognized as Yahoo
1773    Messenger packets (even if the TCP segment also contains the beginning
1774    of another Yahoo Messenger packet).
1775
1776    Q 5.34: Why do I get the error
1777
1778      Gdk-ERROR **: Palettized display (256-colour) mode not supported on
1779      Windows.
1780      aborting....
1781
1782    when I try to run Ethereal on Windows?
1783
1784    A: Ethereal is built using the GTK+ toolkit, which supports most
1785    UNIX-flavored OSes, and also supports Windows.
1786
1787    Windows versions of Ethereal before 0.9.14 were built with an older
1788    version of that toolkit, which didn't support 256-color mode on
1789    Windows - it required HiColor (16-bit colors) or more.
1790
1791    Windows versions of Ethereal 0.9.14 and later are built with a version
1792    of that toolkit that supports 256-color mode; upgrade to the current
1793    version of Ethereal if you want to run on a display in 256-color mode.
1794
1795    Q 5.35: When I capture on Windows in promiscuous mode, I can see
1796    packets other than those sent to or from my machine; however, those
1797    packets show up with a "Short Frame" indication, unlike packets to or
1798    from my machine. What should I do to arrange that I see those packets
1799    in their entirety?
1800
1801    A: In at least some cases, this appears to be the result of PGPnet
1802    running on the network interface on which you're capturing; turn it
1803    off on that interface.
1804
1805    Q 5.36: I'm capturing packets on a machine on a VLAN; why don't the
1806    packets I'm capturing have VLAN tags?
1807
1808    A: You might be capturing on what might be called a "VLAN interface" -
1809    the way a particular OS makes VLANs plug into the networking stack
1810    might, for example, be to have a network device object for the
1811    physical interface, which takes VLAN packets, strips off the VLAN
1812    header and constructs an Ethernet header, and passes that packet to an
1813    internal network device object for the VLAN, which then passes the
1814    packets onto various higher-level protocol implementations.
1815
1816    In order to see the raw Ethernet packets, rather than "de-VLANized"
1817    packets, you would have to capture not on the virtual interface for
1818    the VLAN, but on the interface corresponding to the physical network
1819    device, if possible.
1820
1821    Q 5.37: How can I capture raw 802.11 packets, including non-data
1822    (management, beacon) packets?
1823
1824    A: That depends on the operating system on which you're running, and
1825    on the 802.11 interface on which you're capturing.
1826
1827    This would probably require that you capture in promiscuous mode or in
1828    the mode called "monitor mode" or "RFMON mode". On some platforms, or
1829    with some cards, this might require that you capture in monitor mode -
1830    promiscuous mode might not be sufficient. If you want to capture
1831    traffic on networks other than the one with which you're associated,
1832    you will have to capture in monitor mode.
1833
1834    Not all operating systems support capturing non-data packets and, even
1835    on operating systems that do support it, not all drivers, and thus not
1836    all interfaces, support it. Even on those that do, monitor mode might
1837    not be supported by the operating system or by the drivers for all
1838    interfaces.
1839
1840    NOTE: an interface running in monitor mode will, on most if not all
1841    platforms, not be able to act as a regular network interface; putting
1842    it into monitor mode will, in effect, take your machine off of
1843    whatever network it's on as long as the interface is in monitor mode,
1844    allowing it only to passively capture packets.
1845
1846    This means that you should disable name resolution when capturing in
1847    monitor mode; otherwise, when Ethereal (or Tethereal, or tcpdump)
1848    tries to display IP addresses as host names, it will probably block
1849    for a long time trying to resolve the name because it will not be able
1850    to communicate with any DNS or NIS servers.
1851
1852    There are FAQ items below with information on capturing in monitor
1853    mode on Linux, FreeBSD, and NetBSD.
1854
1855    On Windows, you will not be able to capture in monitor mode on any
1856    interfaces, and you might not be able to capture in promiscuous mode,
1857    either. You might have some success in promiscuous mode with Centrino
1858    interfaces, although you will need Ethereal 0.10.6 or later in order
1859    to have the non-data packets recognized and properly dissected.
1860
1861    You will not be able to capture in monitor mode on any other platforms
1862    (including Mac OS X). You might be able to capture in promiscuous
1863    mode, but this won't capture non-data packets.
1864
1865    Q 5.38: How do I capture on an 802.11 device in monitor mode on Linux?
1866
1867    A: Whether you will be able to capture in monitor mode depends on the
1868    card and driver you're using. See this page of Linux 802.11b
1869    information for details on 802.11b wireless cards, including
1870    information on the chips they use, and see this page of Linux
1871    802.11b+/a/g information for details on 802.11b+, 802.11a, and 802.11g
1872    wireless cards, including information on the chips they use.
1873
1874    Cisco Aironet cards:
1875
1876    On Linux with the driver in the 2.4.6 through 2.4.19 kernel:
1877     1. Put the card into monitor mode with the command echo "Mode: rfmon"
1878        >/proc/driver/aironet/interface/Config. If you want to capture
1879        traffic for any BSS rather than just the BSS with which the card
1880        is associated, use "Mode: y" rather than "Mode: rfmon".
1881     2. When the capture completes, turn off monitor mode with the command
1882        echo "Mode: ess" >/proc/driver/aironet/interface/Config.
1883
1884    On Linux with the driver in the 2.4.20 or later kernel, or with the
1885    CVS drivers from the airo-linux SourceForge site, you will have to
1886    capture on the wifiN interface if your Aironet card is ethN, after
1887    running the commands listed above.
1888
1889    In all of those cases, Ethereal would have to be linked with libpcap
1890    0.7.1 or later; this means that most Ethereal binary packages won't
1891    work unless they're statically linked with libpcap 0.7.1 or later, or
1892    they're dynamically linked with libpcap and your system has a libpcap
1893    0.7.1 or later shared library installed (note that libpcap source
1894    package from tcpdump.org does not build shared libraries). Some binary
1895    packaging mechanisms might make it difficult to install Ethereal
1896    binary packages built to depend on older libpcap binary packages if
1897    you have a newer libpcap binary package installed; the installer
1898    programs for those packaging mechanisms might support disabling
1899    dependency checking so that they will install Ethereal even though a
1900    newer version of libpcap is installed.
1901
1902    Cards using the Prism II chip set:
1903
1904    You can capture raw 802.11 packets with Prism II cards on Linux
1905    systems with the 0.1.14-pre6 or later version of the linux-wlan-ng
1906    drivers (see the linux-wlan page, and the linux-wlan-ng tarball
1907    directory), or with the hostap driver for Prism II/2.5/3.
1908
1909    Those require either Solomon Peachy's patch to libpcap 0.7.1 (see his
1910    libpcap-0.7.1-prism.diff file, or his RPMs of that version of
1911    libpcap), or the current CVS version of libpcap, which includes his
1912    patch (download it from the "Current Tar files" section of the
1913    tcpdump.org Web site). If you apply his patches to libpcap 0.7.1 and
1914    rebuild and install libpcap, or if you build and install the current
1915    CVS version of libpcap, you would have to rebuild Ethereal from
1916    source, linking it with that new version of libpcap; an Ethereal
1917    binary package would not work. Ethereal binary packages might work if
1918    you install the libpcap-0.7.1-1prism.i386.rpm RPM, as it might install
1919    a libpcap shared library in place of the one on your system.
1920
1921    With the linux-wlan-ng driver, you should:
1922     1. Put the card into monitor mode with the command wlanctl-ng
1923        interface lnxreq_wlansniffer enable=true. You should request
1924        802.11 headers by adding to that command the option
1925        prismheader=true or, if supported, wlanheader=true; the latter
1926        might require libpcap 0.8.1 or later. You can also set the channel
1927        to monitor by adding the argument channel=channel_number to that
1928        command.
1929     2. When the capture completes, turn off monitor mode with the command
1930        wlanctl-ng interface enable=false. You might also have to turn
1931        802.11 headers off with prismheader=false or wlanheader=false.
1932
1933    See the wlan-ng FAQ for additional information, although note that it
1934    does not appear to be up-to-date.
1935
1936    With the hostap driver, you should:
1937     1. Put the card into monitor mode with the command iwpriv interface
1938        monitor mode, where mode is 2 or 3 (mode 3 would require libpcap
1939        0.8.1 or later).
1940     2. When the capture completes, turn off monitor mode with the command
1941        iwpriv interface monitor 0.
1942
1943    Orinoco Silver and Gold cards:
1944
1945    On Linux systems, the current version of the SourceForge orinoco_cs
1946    driver should support monitor mode. There also exist patches to
1947    earlier versions of the Orinoco driver, on the Orinoco Monitor Mode
1948    Patch Page, to add support for monitor mode. You will have to
1949    determine which version of the driver you have, and select the
1950    appropriate patch, if one is necessary.
1951
1952    Note that the page indicates that not all versions of the Orinoco
1953    firmware support this patch. It says, for some versions of the patch,
1954    "This patch should allow monitor mode with v8.10 firmware (untested w/
1955    8.42);" if you have version 8.10 or later firmware on your Orinoco
1956    cards, you might have to use those patches, with the corresponding
1957    versions of the Orinoco driver, in order to run in monitor mode.
1958
1959    That patch is written for the drivers included with the pcmcia-cs
1960    drivers, but works equally well for the Orinoco drivers provided with
1961    Linux kernels up to 2.4.20. To apply a patch to your kernel drivers,
1962    simply copy the orinoco-09b-patch.diff file to the
1963    /usr/src/linux/drivers/net directory and patch according to the
1964    directions on the Orinoco Monitor Mode Patch Page. You can double-
1965    check the version of the Orinoco drivers that shipped with your kernel
1966    by examining the first few lines of the orinoco.c file.
1967
1968    The Orinoco patches and SourceForge driver require either Solomon
1969    Peachy's patch to libpcap 0.7.1 (see his libpcap-0.7.1-prism.diff
1970    file, or his RPMs of that version of libpcap), or the current CVS
1971    version of libpcap, which includes his patch (download it from the
1972    "Current Tar files" section of the tcpdump.org Web site). If you apply
1973    his patches to libpcap 0.7.1 and rebuild and install libpcap, or if
1974    you build and install the current CVS version of libpcap, you would
1975    have to rebuild Ethereal from source, linking it with that new version
1976    of libpcap; an Ethereal binary package would not work. Ethereal binary
1977    packages might work if you install the libpcap-0.7.1-1prism.i386.rpm
1978    RPM, as it might install a libpcap shared library in place of the one
1979    on your system.
1980
1981    With a driver that supports monitor mode, you should:
1982     1. Put the card into monitor mode with the command iwpriv interface
1983        monitor mode channel_number, where mode is 1 or 2, and
1984        channel_number is the number of the channel to monitor.
1985     2. When the capture completes, turn off monitor mode with the command
1986        iwpriv interface monitor 0.
1987
1988    Cards with the Texas Instruments ACX100 chipset:
1989
1990    You can capture raw 802.11 packets with ACX100 cards on Linux systems
1991    with the ACX100 OSS drivers available from the ACX100 wireless network
1992    driver project SourceForge site.
1993
1994    With that driver:
1995
1996     1. Put the card into monitor mode with the command iwpriv interface
1997        monitor 2 channel_number, where channel_number is the number of
1998        the channel to monitor.
1999     2. When the capture completes, turn off monitor mode with the command
2000        iwpriv interface monitor 0.
2001
2002    Cards with Atheros Communications chipsets:
2003
2004    You can capture raw 802.11 packets with AR5K cards on Linux systems
2005    with the v5_ar5k or madwifi drivers. For the v5ar5k driver you will
2006    need the Linux wireless-tools version 25 or higher to put the card
2007    into monitor mode. If you're using the madwifi driver, you can put the
2008    card into monitor mode using iwconfig interface mode monitor, followed
2009    by iwconfig interface channel channel to select a channel (if needed).
2010
2011    Other cards:
2012
2013    It might be possible to capture in monitor mode on other cards. If so,
2014    please supply us with information on how to do so, so that we can
2015    incorporate that information into this FAQ in the future.
2016
2017    Q 5.39: How do I capture on an 802.11 device in monitor mode on
2018    FreeBSD?
2019
2020    A: On FreeBSD 5.2 and later, you should be able to capture in monitor
2021    mode on 802.11 interfaces supported by the wi and acx drivers, if
2022    Ethereal is linked with libpcap 0.8.1 or later, and on 802.11
2023    interfaces supported by the an driver, if Ethereal is linked with
2024    libpcap 0.7.1 or later.
2025
2026    For cards supported by the wi and acx drivers, you should:
2027     1. Put the card into monitor mode with the command ifconfig interface
2028        monitor. You can also set the channel to monitor by adding the
2029        argument channel channel_number to that command.
2030     2. When you start the capture, in Ethereal select "802.11" as the
2031        "Link-layer header type", and in Tethereal add the command-line
2032        argument -y 802.11.
2033     3. When the capture completes, turn off monitor mode with the command
2034        ifconfig interface -monitor.
2035
2036    For cards supported by the an driver, you should:
2037     1. Put the card into monitor mode with the command ancontrol -i
2038        interface -M flag, where flag should be the sum of:
2039           + 1, to turn monitor mode on;
2040           + 2, if you want to capture traffic from any BSS rather than
2041             just the BSS with which the card is associated;
2042           + 4, if you want to see beacon packets (capturing beacon
2043             packets increases the CPU requirements of capturing).
2044     2. When the capture completes, turn off monitor mode with the command
2045        ancontrol -i interface -M 0.
2046
2047    Don't add 8 in to flag; Ethereal currently doesn't support the full
2048    Aironet header.
2049
2050    On FreeBSD 4.6 through 5.1, you should be able to capture in monitor
2051    mode on 802.11 interfaces supported by the an driver, but not on any
2052    other interfaces; see the instructions for FreeBSD 5.2 or later for
2053    those cards.
2054
2055    In FreeBSD 4.5 and earlier, you will not be able to capture in monitor
2056    mode on 802.11 interfaces (no drivers supported it prior to 4.5, and
2057    in 4.5 the an driver had bugs that caused packets not to be captured
2058    correctly).
2059
2060    Q 5.40: How do I capture on an 802.11 device in monitor mode on
2061    NetBSD?
2062
2063    A: On NetBSD 2.0-beta and later, you should be able to capture in
2064    monitor mode on 802.11 interfaces supported by the wi and acx drivers,
2065    if Ethereal is linked with libpcap 0.8.1 or later. The instructions
2066    are the same as for FreeBSD 5.2 and later.
2067
2068    Q 5.41: I'm trying to capture 802.11 traffic on Windows; why am I not
2069    seeing any packets?
2070
2071    A: At least some 802.11 card drivers on Windows appear not to see any
2072    packets if they're running in promiscuous mode. Try turning
2073    promiscuous mode off; you'll only be able to see packets sent by and
2074    received by your machine, not third-party traffic, and it'll look like
2075    Ethernet traffic and won't include any management or control frames,
2076    but that's a limitation of the card drivers.
2077
2078    Q 5.42: I'm trying to capture 802.11 traffic on Windows; why am I
2079    seeing packets received by the machine on which I'm capturing traffic,
2080    but not packets sent by that machine?
2081
2082    A: This appears to be another problem with promiscuous mode; try
2083    turning it off.
2084
2085    Q 5.43: How can I capture packets with CRC errors?
2086
2087    A: Ethereal can capture only the packets that the packet capture
2088    library - libpcap on UNIX-flavored OSes, and the WinPcap port to
2089    Windows of libpcap on Windows - can capture, and libpcap/WinPcap can
2090    capture only the packets that the OS's raw packet capture mechanism
2091    (or the WinPcap driver, and the underlying OS networking code and
2092    network interface drivers, on Windows) will allow it to capture.
2093
2094    Unless the OS always supplies packets with errors such as invalid CRCs
2095    to the raw packet capture mechanism, or can be configured to do so,
2096    invalid CRCs to the raw packet capture mechanism, Ethereal - and other
2097    programs that capture raw packets, such as tcpdump - cannot capture
2098    those packets. You will have to determine whether your OS needs to be
2099    so configured and, if so, can be so configured, configure it if
2100    necessary and possible, and make whatever changes to libpcap and the
2101    packet capture program you're using are necessary, if any, to support
2102    capturing those packets.
2103
2104    Most OSes probably do not support capturing packets with invalid CRCs
2105    on Ethernet, and probably do not support it on most other link-layer
2106    types. Some drivers on some OSes do support it, such as some Ethernet
2107    drivers on FreeBSD; in those OSes, you might always get those packets,
2108    or you might only get them if you capture in promiscuous mode (you'd
2109    have to determine which is the case).
2110
2111    Note that libpcap does not currently supply to programs that use it an
2112    indication of whether the packet's CRC was invalid (because the
2113    drivers themselves do not supply that information to the raw packet
2114    capture mechanism); therefore, Ethereal will not indicate which
2115    packets had CRC errors unless the FCS was captured (see the next
2116    question) and you're using Ethereal 0.9.15 and later, in which case
2117    Ethereal will check the CRC and indicate whether it's correct or not.
2118
2119    Q 5.44: How can I capture entire frames, including the FCS?
2120
2121    A: Ethereal can only capture data that the packet capture library -
2122    libpcap on UNIX-flavored OSes, and the WinPcap port to Windows of
2123    libpcap on Windows - can capture, and libpcap/WinPcap can capture only
2124    the data that the OS's raw packet capture mechanism (or the WinPcap
2125    driver, and the underlying OS networking code and network interface
2126    drivers, on Windows) will allow it to capture.
2127
2128    For any particular link-layer network type, unless the OS supplies the
2129    FCS of a frame as part of the frame, or can be configured to do so,
2130    Ethereal - and other programs that capture raw packets, such as
2131    tcpdump - cannot capture the FCS of a frame. You will have to
2132    determine whether your OS needs to be so configured and, if so, can be
2133    so configured, configure it if necessary and possible, and make
2134    whatever changes to libpcap and the packet capture program you're
2135    using are necessary, if any, to support capturing the FCS of a frame.
2136
2137    Most OSes do not support capturing the FCS of a frame on Ethernet, and
2138    probably do not support it on most other link-layer types. Some
2139    drivres on some OSes do support it, such as some (all?) Ethernet
2140    drivers on NetBSD and possibly the driver for Apple's gigabit Ethernet
2141    interface in Mac OS X; in those OSes, you might always get the FCS, or
2142    you might only get the FCS if you capture in promiscuous mode (you'd
2143    have to determine which is the case).
2144
2145    Versions of Ethereal prior to 0.9.15 will not treat an Ethernet FCS in
2146    a captured packet as an FCS. 0.9.15 and later will attempt to
2147    determine whether there's an FCS at the end of the frame and, if it
2148    thinks there is, will display it as such, and will check whether it's
2149    the correct CRC-32 value or not.
2150
2151    Q 5.45: Ethereal hangs after I stop a capture.
2152
2153    A: The most likely reason for this is that Ethereal is trying to look
2154    up an IP address in the capture to convert it to a name (so that, for
2155    example, it can display the name in the source address or destination
2156    address columns), and that lookup process is taking a very long time.
2157
2158    Ethereal calls a routine in the OS of the machine on which it's
2159    running to convert of IP addresses to the corresponding names. That
2160    routine probably does one or more of:
2161      * a search of a system file listing IP addresses and names;
2162      * a lookup using DNS;
2163      * on UNIX systems, a lookup using NIS;
2164      * on Windows systems, a NetBIOS-over-TCP query.
2165
2166    If a DNS server that's used in an address lookup is not responding,
2167    the lookup will fail, but will only fail after a timeout while the
2168    system routine waits for a reply.
2169
2170    In addition, on Windows systems, if the DNS lookup of the address
2171    fails, either because the server isn't responding or because there are
2172    no records in the DNS that could be used to map the address to a name,
2173    a NetBIOS-over-TCP query will be made. That query involves sending a
2174    message to the NetBIOS-over-TCP name service on that machine, asking
2175    for the name and other information about the machine. If the machine
2176    isn't running software that responds to those queries - for example,
2177    many non-Windows machines wouldn't be running that software - the
2178    lookup will only fail after a timeout. Those timeouts can cause the
2179    lookup to take a long time.
2180
2181    If you disable network address-to-name translation - for example, by
2182    turning off the "Enable network name resolution" option in the "Name
2183    resolution" options in the dialog box you get by selecting
2184    "Preferences" from the "Edit" menu - the lookups of the address won't
2185    be done, which may speed up the process of reading the capture file
2186    after the capture is stopped. You can make that setting the default by
2187    using the "Save" button in that dialog box; note that this will save
2188    all your current preference settings.
2189
2190    If Ethereal hangs when reading a capture even with network name
2191    resolution turned off, there might, for example, be a bug in one of
2192    Ethereal's dissectors for a protocol causing it to loop infinitely.
2193    The bug should be reported to the Ethereal developers' mailing list at
2194    ethereal-dev@ethereal.com.
2195
2196    On UNIX-flavored OSes, please try to force Ethereal to dump core, by
2197    sending it a SIGABRT signal (usually signal 6) with the kill command,
2198    and then get a stack trace if you have a debugger installed. A stack
2199    trace can be obtained by using your debugger (gdb in this example),
2200    the Ethereal binary, and the resulting core file. Here's an example of
2201    how to use the gdb command backtrace to do so.
2202         $ gdb ethereal core
2203         (gdb) backtrace
2204         ..... prints the stack trace
2205         (gdb) quit
2206         $
2207
2208    The core dump file may be named "ethereal.core" rather than "core" on
2209    some platforms (e.g., BSD systems)
2210
2211    Also, if at all possible, please send a copy of the capture file that
2212    caused the problem; when capturing packets, Ethereal normally writes
2213    captured packets to a temporary file, which will probably be in /tmp
2214    or /var/tmp on UNIX-flavored OSes and \TEMP on Windows, so the capture
2215    file will probably be there. It will have a name beginning with ether,
2216    with some mixture of letters and numbers after that. Please don't send
2217    a trace file greater than 1 MB when compressed. If the trace file
2218    contains sensitive information (e.g., passwords), then please do not
2219    send it.
2220
2221    Q 5.46: How can I search for, or filter, packets that have a
2222    particular string anywhere in them?
2223
2224    A: If you want to do this when capturing, you can't. That's a feature
2225    that would be hard to implement in capture filters without changes to
2226    the capture filter code, which, on many platforms, is in the OS kernel
2227    and, on other platforms, is in the libpcap library.
2228
2229    In releases prior to 0.9.14, you also can't search for, or filter,
2230    packets containing a particular string even after you've captured
2231    them.
2232
2233    In 0.9.14, you can search for, but not filter, packets that have a
2234    particular string; this has been added to the "Find Frame" dialog
2235    ("Find Frame" under the "Edit" menu, or control-F).
2236
2237    In 0.9.15 and later, you can search for those packets using either the
2238    mechanism introduced in 0.9.14 or using the new "contains" operator in
2239    filter expressions, which lets you search the entire packet or text
2240    string or byte string fields in the packet; the "contains" operator
2241    can also be used in expressions used to filter the display.
2242
2243    Please send support questions about Ethereal to the
2244    ethereal-users[AT]ethereal.com mailing list.
2245    For corrections/additions/suggestions for this web page (and not
2246    Ethereal support questions), please send email to
2247    ethereal-web[AT]ethereal.com .
2248    Last modified: Sat, September 25 2004.