Removed trailing whitespaces from .h and .c files using the
[obnox/wireshark/wip.git] / FAQ
1
2    The Ethereal FAQ
3
4    Note: This is just an ASCII snapshot of the faq and may not be up to
5          date. Please go to http://www.ethereal.com/faq for the up to
6          date version. The version of the snapshot can be found at the
7          end of this document.
8
9    INDEX
10    General Questions:
11
12    1.1 Where can I get help?
13
14    1.2 What protocols are currently supported?
15
16    1.3 Are there any plans to support {your favorite protocol}?
17
18    1.4 Can Ethereal read capture files from {your favorite network
19    analyzer}?
20
21    1.5 What devices can Ethereal use to capture packets?
22
23    1.6 How do you pronounce Ethereal? Where did the name come from?
24
25    Downloading Ethereal:
26
27    2.1 I downloaded the Win32 installer, but when I try to run it, I get
28    an error.
29
30    Installing Ethereal:
31
32    3.1 I installed an Ethereal RPM, but Ethereal doesn't seem to be
33    installed; only Tethereal is installed.
34
35    Building Ethereal:
36
37    4.1 The configure script can't find pcap.h or bpf.h, but I have
38    libpcap installed.
39
40    4.2 Why do I get the error 
41
42      dftest_DEPENDENCIES was already defined in condition TRUE, which
43      implies condition HAVE_PLUGINS_TRUE
44
45    when I try to build Ethereal from CVS or a CVS snapshot?
46
47    4.3 The link failed because of an undefined reference to
48    snmp_set_full_objid.
49
50    4.4 The link fails with a number of "Output line too long." messages
51    followed by linker errors. 
52
53    4.5 The link fails on Solaris because plugin_list is undefined. 
54
55    Using Ethereal:
56
57    5.1 When I use Ethereal to capture packets, I see only packets to and
58    from my machine, or I'm not seeing all the traffic I'm expecting to
59    see from or to the machine I'm trying to monitor.
60
61    5.2 I can't see any TCP packets other than packets to and from my
62    machine, even though another sniffer on the network sees those
63    packets.
64
65    5.3 I can set a display filter just fine, but capture filters don't
66    work.
67
68    5.4 I'm entering valid capture filters, but I still get "parse error"
69    errors.
70
71    5.5 I've just installed Ethereal, and the traffic on my local LAN is
72    boring.
73
74    5.6 When I run Ethereal on Solaris 8, it dies with a Bus Error when I
75    start it.
76
77    5.7 I'm running Ethereal on Linux; why do my time stamps have only
78    100ms resolution, rather than 1us resolution?
79
80    5.8 When I try to run Ethereal on Windows, it fails to run because it
81    can't find packet.dll.
82
83    5.9 When I try to download the WinPcap driver and library, I can't get
84    to the WinPcap Web site.
85
86    5.10 I'm running Ethereal on Windows; why doesn't my my (Token Ring,
87    PPP) network interface show up in the list of interfaces in the
88    "Interface" item in the "Capture Preferences" dialog box popped up by
89    the "Capture->Start" menu item?
90
91    5.11 I'm running Ethereal on Windows NT/2000/XP/.NET Server; my
92    machine has a PPP (dial-up POTS, ISDN, etc.) interface, and it shows
93    up in the "Interface" item in the "Capture Preferences" dialog box.
94    Why can no packets be sent on or received from that network while I'm
95    trying to capture traffic on that interface?
96
97    5.12 I'm running Ethereal on Windows 95/98/Me, on a machine with more
98    than one network adapter of the same type; Ethereal shows all of those
99    adapters with the same name, but I can't use any of those adapters
100    other than the first one.
101
102    5.13 I have an XXX network card on my machine; it doesn't show up in
103    the list of interfaces in the "Interface:" field in the dialog box
104    popped up by "Capture->Start", and/or Ethereal gives me an error if I
105    try to capture on that interface. 
106
107    5.14 There are no interfaces in the drop-down list of interfaces in
108    the "Interface:" field in the dialog box popped up by
109    "Capture->Start". 
110
111    5.15 I have an XXX network card on my machine; if I try to capture on
112    it, my machine crashes or resets itself. 
113
114    5.16 My machine crashes or resets itself when I select "Start" from
115    the "Capture" menu or select "Preferences" from the "Edit" menu. 
116
117    5.17 Does Ethereal work on Windows ME? 
118
119    5.18 Does Ethereal work on Windows XP? 
120
121    5.19 Why doesn't Ethereal correctly identify RTP packets? It shows
122    them only as UDP.
123
124    5.20 Why do I get the error 
125
126      Gdk-ERROR **: Palettized display (256-colour) mode not supported on
127      Windows.
128      aborting....
129
130    when I try to run Ethereal on Windows?
131
132    5.21 I'm capturing packets on {Windows 95, Windows 98, Windows Me};
133    why are the time stamps on packets wrong? 
134
135    5.22 When I capture on Windows in promiscuous mode, I can see packets
136    other than those sent to or from my machine; however, those packets
137    show up with a "Short Frame" indication, unlike packets to or from my
138    machine. What should I do to arrange that I see those packets in their
139    entirety? 
140
141    5.23 How can I capture raw 802.11 packets, including non-data
142    (management, beacon) packets? 
143
144    5.24 How can I capture packets with CRC errors? 
145
146    5.25 How can I capture entire frames, including the FCS? 
147
148    5.26 Ethereal hangs after I stop a capture. 
149
150    GENERAL QUESTIONS 
151    Q 1.1: Where can I get help?
152
153    A: Support is available on the ethereal-users mailing list.
154    Subscription information and archives for all of Ethereal's mailing
155    lists can be found at http://www.ethereal.com/lists
156
157    Q 1.2: What protocols are currently supported?
158
159    A: There are currently 280 supported protocols and media, listed
160    below. Descriptions can be found in the ethereal(1) man page.
161
162             802.1q Virtual LAN
163             802.1x Authentication
164             Address Resolution Protocol
165             Ad hoc On-demand Distance Vector Routing Protocol
166             Ad hoc On-demand Distance Vector Routing Protocol v6
167             Aggregate Server Access Protocol
168             Andrew File System (AFS)
169             AOL Instant Messenger
170             Apache JServ Protocol v1.3
171             Appletalk Address Resolution Protocol
172             AppleTalk Filing Protocol
173             AppleTalk Session Protocol
174             AppleTalk Transaction Protocol packet
175             Async data over ISDN (V.120)
176             ATM
177             ATM LAN Emulation
178             Authentication Header
179             BACnet Virtual Link Control
180             Banyan Vines
181             Banyan Vines Fragmentation Protocol
182             Banyan Vines SPP
183             Blocks Extensible Exchange Protocol
184             Boot Parameters
185             Bootstrap Protocol
186             Border Gateway Protocol
187             Building Automation and Control Network APDU
188             Building Automation and Control Network NPDU
189             Cisco Auto-RP
190             Cisco Discovery Protocol
191             Cisco Group Management Protocol
192             Cisco HDLC
193             Cisco Hot Standby Router Protocol
194             Cisco Interior Gateway Routing Protocol
195             Cisco ISL
196             Cisco SLARP
197             Common Open Policy Service
198             Common Unix Printing System (CUPS) Browsing Protocol
199             Data
200             Datagram Delivery Protocol
201             Data Link SWitching
202             Data Stream Interface
203             DCE RPC
204             DCE/RPC Conversation Manager
205             DCE/RPC Endpoint Mapper
206             DCE/RPC Remote Management
207             DCOM OXID Resolver
208             DCOM Remote Activation
209             DEC Spanning Tree Protocol
210             DHCPv6
211             Diameter Protocol
212             Distance Vector Multicast Routing Protocol
213             Distributed Checksum Clearinghouse Prototocl
214             Domain Name Service
215             Dynamic DNS Tools Protocol
216             Encapsulating Security Payload
217             Enhanced Interior Gateway Routing Protocol
218             Ethernet
219             Extensible Authentication Protocol
220             Fiber Distributed Data Interface
221             File Transfer Protocol (FTP)
222             Frame
223             Frame Relay
224             FTP Data
225             GARP Multicast Registration Protocol
226             GARP VLAN Registration Protocol
227             General Inter-ORB Protocol
228             Generic Routing Encapsulation
229             Gnutella Protocol
230             GPRS Tunneling Protocol
231             GPRS Tunnelling Protocol v0
232             GPRS Tunnelling Protocol v1
233             Hummingbird NFS Daemon
234             Hypertext Transfer Protocol
235             ICQ Protocol
236             IEEE 802.11 wireless LAN
237             IEEE 802.11 wireless LAN management frame
238             ILMI
239             Inter-Access-Point Protocol
240             Internet Cache Protocol
241             Internet Content Adaptation Protocol
242             Internet Control Message Protocol
243             Internet Control Message Protocol v6
244             Internet Group Management Protocol
245             Internet Message Access Protocol
246             Internet Printing Protocol
247             Internet Protocol
248             Internet Protocol Version 6
249             Internet Relay Chat
250             Internet Security Association and Key Management Protocol
251             Internetwork Packet eXchange
252             IP Payload Compression
253             IPX Message
254             IPX Routing Information Protocol
255             iSCSI
256             ISDN Q.921-User Adaptation Layer
257             ISDN User Part
258             ISO 10589 ISIS InTRA Domain Routeing Information Exchange Protocol
259             ISO 8073 COTP Connection-Oriented Transport Protocol
260             ISO 8473 CLNP ConnectionLess Network Protocol
261             ISO 8602 CLTP ConnectionLess Transport Protocol
262             ISO 9542 ESIS Routeing Information Exchange Protocol
263             ITU-T Recommendation H.261
264             Java RMI
265             Java Serialization
266             Kerberos
267             Kernel Lock Manager
268             Label Distribution Protocol
269             Layer 2 Tunneling Protocol
270             Lightweight Directory Access Protocol
271             Line Printer Daemon Protocol
272             Link Access Procedure Balanced Ethernet (LAPBETHER)
273             Link Access Procedure Balanced (LAPB)
274             Link Access Procedure, Channel D (LAPD)
275             Link Aggregation Control Protocol
276             Link Management Protocol (LMP)
277             Linux cooked-mode capture
278             Local Management Interface
279             LocalTalk Link Access Protocol
280             Logical-Link Control
281             Lucent/Ascend debug output
282             Message Transfer Part Level 2
283             Message Transfer Part Level 3
284             Microsoft Distributed File System
285             Microsoft Exchange MAPI
286             Microsoft Local Security Architecture
287             Microsoft Network Logon
288             Microsoft Registry
289             Microsoft Security Account Manager
290             Microsoft Server Service
291             Microsoft Spool Subsystem
292             Microsoft Telephony API Service
293             Microsoft Windows Browser Protocol
294             Microsoft Windows Lanman Remote API Protocol
295             Microsoft Windows Logon Protocol
296             Microsoft Workstation Service
297             MMS Message Encapsulation
298             Mobile IP
299             Modbus/TCP
300             Mount Service
301             MSNIP: Multicast Source Notification of Interest Protocol
302             MS Proxy Protocol
303             MTP2 Peer Adaptation Layer
304             MTP 2 Transparent Proxy
305             MTP 2 User Adaptation Layer
306             MTP 3 User Adaptation Layer
307             Multicast Router DISCovery protocol
308             Multicast Source Discovery Protocol
309             MultiProtocol Label Switching Header
310             Name Binding Protocol
311             Name Management Protocol over IPX
312             NetBIOS
313             NetBIOS Datagram Service
314             NetBIOS Name Service
315             NetBIOS over IPX
316             NetBIOS Session Service
317             NetWare Core Protocol
318             Network Data Management Protocol
319             Network File System
320             Network Lock Manager Protocol
321             Network News Transfer Protocol
322             Network Status Monitor CallBack Protocol
323             Network Status Monitor Protocol
324             Network Time Protocol
325             NFSACL
326             NFSAUTH
327             NIS+
328             NIS+ Callback
329             NSPI
330             Null/Loopback
331             OpenBSD Packet Filter log file
332             Open Shortest Path First
333             PC NFS
334             Point-to-Point Protocol
335             Point-to-Point Tunnelling Protocol
336             Portmap
337             Post Office Protocol
338             PPP Bandwidth Allocation Control Protocol
339             PPP Bandwidth Allocation Protocol
340             PPP Callback Control Protocol
341             PPP Challenge Handshake Authentication Protocol
342             PPP Compressed Datagram
343             PPP Compression Control Protocol
344             PPP IP Control Protocol
345             PPP Link Control Protocol
346             PPP Multilink Protocol
347             PPP Multiplexing
348             PPPMux Control Protocol
349             PPP-over-Ethernet Discovery
350             PPP-over-Ethernet Session
351             PPP Password Authentication Protocol
352             PPP VJ Compression
353             Pragmatic General Multicast
354             Prism
355             Protocol Independent Multicast
356             Q.2931
357             Q.931
358             Quake III Arena Network Protocol
359             Quake II Network Protocol
360             Quake Network Protocol
361             QuakeWorld Network Protocol
362             Qualified Logical Link Control
363             Radio Access Network Application Part
364             Radius Protocol
365             Raw packet data
366             Real Time Streaming Protocol
367             Real-time Transport Control Protocol
368             Real-Time Transport Protocol
369             Remote Procedure Call
370             Remote Quota
371             Remote Shell
372             Remote Wall protocol
373             Resource ReserVation Protocol (RSVP)
374             RFC 2250 MPEG1
375             RIPng
376             Rlogin Protocol
377             Routing Information Protocol
378             Routing Table Maintenance Protocol
379             RPC Browser
380             RSTAT
381             RX Protocol
382             SADMIND
383             SCSI
384             Secure Socket Layer
385             Sequenced Packet eXchange
386             Service Advertisement Protocol
387             Service Location Protocol
388             Session Announcement Protocol
389             Session Description Protocol
390             Session Initiation Protocol
391             Short Message Peer to Peer
392             Signalling Connection Control Part
393             Simple Mail Transfer Protocol
394             Simple Network Management Protocol
395             Sinec H1 Protocol
396             Skinny Client Control Protocol
397             SliMP3 Communication Protocol
398             SMB MailSlot Protocol
399             SMB Pipe Protocol
400             SMB (Server Message Block Protocol)
401             SNA-over-Ethernet
402             SNMP Multiplex Protocol
403             Socks Protocol
404             Spanning Tree Protocol
405             SPRAY
406             SS7 SCCP-User Adaptation Layer
407             SSCOP
408             Stream Control Transmission Protocol
409             Syslog message
410             Systems Network Architecture
411             TACACS
412             TACACS+
413             Telnet
414             Time Protocol
415             Time Synchronization Protocol
416             Token-Ring
417             Token-Ring Media Access Control
418             TPKT
419             Transmission Control Protocol
420             Transparent Network Substrate Protocol
421             Trivial File Transfer Protocol
422             Universal Computer Protocol
423             User Datagram Protocol
424             Virtual Router Redundancy Protocol
425             Virtual Trunking Protocol
426             Web Cache Coordination Protocol
427             Wellfleet Compression
428             Who
429             Wireless Session Protocol
430             Wireless Transaction Protocol
431             Wireless Transport Layer Security
432             X11
433             X.25
434             X.25 over TCP
435             X Display Manager Control Protocol
436             Yahoo Messenger Protocol
437             Yellow Pages Bind
438             Yellow Pages Passwd
439             Yellow Pages Service
440             Yellow Pages Transfer
441             Zebra Protocol
442
443    Q 1.3: Are there any plans to support {your favorite protocol}?
444
445    A: Support for particular protocols is added to Ethereal as a result
446    of people contributing that support; no formal plans for adding
447    support for particular protocols in particular future releases exist.
448
449    Q 1.4: Can Ethereal read capture files from {your favorite network
450    analyzer}?
451
452    A: Support for particular protocols is added to Ethereal as a result
453    of people contributing that support; no formal plans for adding
454    support for particular protocols in particular future releases exist.
455
456    If a network analyzer writes out files in a format already supported
457    by Ethereal (e.g., in libpcap format), Ethereal may already be able to
458    read them, unless the analyzer has added its own proprietary
459    extensions to that format.
460
461    If a network analyzer writes out files in its own format, or has added
462    proprietary extensions to another format, in order to make Ethereal
463    read captures from that network analyzer, we would either have to have
464    a specification for the file format, or the extensions, sufficient to
465    give us enough information to read the parts of the file relevant to
466    Ethereal, or would need at least one capture file in that format AND a
467    detailed textual analysis of the packets in that capture file (showing
468    packet time stamps, packet lengths, and the top-level packet header)
469    in order to reverse-engineer the file format.
470
471    Note that there is no guarantee that we will be able to
472    reverse-engineer a capture file format.
473
474    Q 1.5: What devices can Ethereal use to capture packets?
475
476    A: Ethereal can read live data from Ethernet, Token-Ring, FDDI, serial
477    (PPP and SLIP) (if the OS on which it's running allows Ethereal to do
478    so), 802.11 wireless LAN (if the OS on which it's running allows
479    Ethereal to do so), ATM connections (if the OS on which it's running
480    allows Ethereal to do so), and the "any" device supported on Linux by
481    recent versions of libpcap. It can also read a variety of capture file
482    formats, including:
483      * libpcap/tcpdump
484      * snoop
485      * Shomiti
486      * LanAlyzer
487      * Sniffer (compressed and uncompressed)
488      * MS Network Monitor
489      * AIX iptrace
490      * NetXray
491      * Sniffer Pro
492      * RADCOM
493      * Lucent/Ascend debug output
494      * Toshiba ISDN router "snoop" output
495      * HPUX nettl
496      * ISDN4BSD "i4btrace" utility.
497      * Cisco Secure IDS
498      * pppd log files (pppdump format)
499
500    Q 1.6: How do you pronounce Ethereal? Where did the name come from?
501
502    A: The English pronunciation can be found in Merriam-Webster's online
503    dictionary at
504    http://www.m-w.com/cgi-bin/dictionary?book=Dictionary&va=ethereal.
505
506    According to the book "Computer Networks" by Andrew Tannenbaum,
507    Ethernet was named after the "luminiferous ether" which was once
508    thought to carry electromagnetic radiation. Taking that into
509    consideration, Ethereal seemed like an appropriate name for an
510    Ethernet sniffer.
511
512    DOWNLOADING ETHEREAL 
513    Q 2.1: I downloaded the Win32 installer, but when I try to run it, I
514    get an error.
515
516    A: The program you used to download it may have downloaded it
517    incorrectly. Web browsers sometimes may do this; try downloading it
518    with, for example, WS_FTP from Ipswitch, or with the ftp command that
519    comes with Windows - if you use the ftp command, make sure you do the
520    transfer in binary mode rather than ASCII mode, by using the binary
521    command before transferring the file.
522
523    INSTALLING ETHEREAL 
524    Q 3.1: I installed an Ethereal RPM, but Ethereal doesn't seem to be
525    installed; only Tethereal is installed.
526
527    A: Red Hat RPMs for Ethereal put only the non-GUI components into the
528    ethereal RPM, the fact that Ethereal is a GUI program nonwithstanding;
529    there's a separate ethereal-gnome RPM that includes GUI components
530    such as Ethereal itself, the fact that Ethereal doesn't use GNOME
531    nonwithstanding. Find the ethereal-gnome RPM, and install that also.
532
533    BUILDING ETHEREAL 
534    Q 4.1: The configure script can't find pcap.h or bpf.h, but I have
535    libpcap installed.
536
537    A: Are you sure pcap.h and bpf.h are installed? The official
538    distribution of libpcap only installs the libpcap.a library file when
539    "make install" is run. To install pcap.h and bpf.h, you must run "make
540    install-incl". If you're running Debian or Redhat, make sure you have
541    the "libpcap-dev" or "libpcap-devel" packages installed.
542
543    It's also possible that pcap.h and bpf.h have been installed in a
544    strange location. If this is the case, you may have to tweak
545    aclocal.m4.
546
547    Q 4.2: Why do I get the error 
548
549      dftest_DEPENDENCIES was already defined in condition TRUE, which
550      implies condition HAVE_PLUGINS_TRUE
551
552    when I try to build Ethereal from CVS or a CVS snapshot?
553
554    A: You probably have automake 1.5 installed on your machine (the
555    command automake --version will report the version of automake on your
556    machine). There is a bug in that version of automake that causes this
557    problem; upgrade to a later version of automake (1.6 or later).
558
559    Q 4.3: The link failed because of an undefined reference to
560    snmp_set_full_objid.
561
562    A: You probably have the shared library for UCD SNMP 4.1.1 installed
563    (so that snmp_set_full_objid is a macro, rather than a routine in the
564    SNMP shared library), but the `development' package for an earlier or
565    later UCD SNMP library (so that snmp_set_full_objid is not defined as
566    a macro, causing Ethereal to attempt to call it as a routine).
567
568    If you are on a Linux system that uses RPMs, and the UCD SNMP packages
569    are installed as RPMs, the command rpm -qa | grep snmp will report the
570    versions of the SNMP packages you have installed; they should all have
571    the same version number, such as 4.0.1 or 4.1.1 or 4.1.2. If they
572    don't, remove the RPM for the development package (which will probably
573    have a name beginning with ucd-snmp-devel) and install the version of
574    the development package with the same version number as the other
575    ucd-snmp packages have.
576
577    After installing the 4.1.1 version of the UCD SNMP header files, do a
578    make clean and then rebuild Ethereal.
579
580    Q 4.4: The link fails with a number of "Output line too long."
581    messages followed by linker errors. 
582
583    A: The version of the sed command on your system is incapable of
584    handling very long lines. On Solaris, for example, /usr/bin/sed has a
585    line length limit too low to allow libtool to work; /usr/xpg4/bin/sed
586    can handle it, as can GNU sed if you have it installed.
587
588    On Solaris, changing your command search path to search /usr/xpg4/bin
589    before /usr/bin should make the problem go away; on any platform on
590    which you have this problem, installing GNU sed and changing your
591    command path to search the directory in which it is installed before
592    searching the directory with the version of sed that came with the OS
593    should make the problem go away.
594
595    Q 4.5: The link fails on Solaris because plugin_list is undefined. 
596
597    A: This appears to be due to a problem with some versions of the GTK+
598    and GLib packages from www.sunfreeware.org; un-install those packages,
599    and try getting the 1.2.10 versions from that site, or the versions
600    from The Written Word, or the versions from Sun's GNOME distribution,
601    or the versions from the supplemental software CD that comes with the
602    Solaris media kit, or build them from source from the GTK Web site.
603    Then re-run the configuration script, and try rebuilding Ethereal. (If
604    you get the 1.2.10 versions from www.sunfreeware.org, and the problem
605    persists, un-install them and try installing one of the other versions
606    mentioned.)
607
608    USING ETHEREAL 
609    Q 5.1: When I use Ethereal to capture packets, I see only packets to
610    and from my machine, or I'm not seeing all the traffic I'm expecting
611    to see from or to the machine I'm trying to monitor.
612
613    A: This might be because the interface on which you're capturing is
614    plugged into a switch; on a switched network, unicast traffic between
615    two ports will not necessarily appear on other ports - only broadcast
616    and multicast traffic will be sent to all ports.
617
618    Note that even if your machine is plugged into a hub, the "hub" may be
619    a switched hub, in which case you're still on a switched network.
620
621    Note also that on the Linksys Web site, they say that their
622    auto-sensing hubs "broadcast the 10Mb packets to the port that operate
623    at 10Mb only and broadcast the 100Mb packets to the ports that operate
624    at 100Mb only", which would indicate that if you sniff on a 10Mb port,
625    you will not see traffic coming sent to a 100Mb port, and vice versa.
626    This problem has also been reported for Netgear dual-speed hubs, and
627    may exist for other "auto-sensing" or "dual-speed" hubs.
628
629    Some switches have the ability to replicate all traffic on all ports
630    to a single port so that you can plug your sniffer into that single
631    port to sniff all traffic. You would have to check the documentation
632    for the switch to see if this is possible and, if so, to see how to do
633    this.
634
635    If your machine is not plugged into a switched network, or it is and
636    the port is set up to have all traffic replicated to it, the problem
637    might be that the network interface on which you're capturing doesn't
638    support "promiscuous" mode, or because your OS can't put the interface
639    into promiscuous mode. Normally, network interfaces supply to the host
640    only:
641      * packets sent to one of that host's link-layer addresses;
642      * broadcast packets;
643      * multicast packets sent to a multicast address that the host has
644        configured the interface to accept.
645
646    Most network interfaces can also be put in "promiscuous" mode, in
647    which they supply to the host all network packets they see. However,
648    some network interfaces don't support promiscuous mode, and some OSes
649    might not allow interfaces to be put into promiscuous mode.
650
651    If the interface is not running in promiscuous mode, it won't see any
652    traffic that isn't intended to be seen by your machine. It will see
653    broadcast packets, and multicast packets sent to a multicast MAC
654    address the interface is set up to receive.
655
656    You should ask the vendor of your network interface whether it
657    supports promiscuous mode. If it does, you should ask whoever supplied
658    the driver for the interface (the vendor, or the supplier of the OS
659    you're running on your machine) whether it supports promiscuous mode
660    with that network interface.
661
662    In the case of token ring interfaces, the drivers for some of them, on
663    Windows, may require you to enable promiscuous mode in order to
664    capture in promiscuous mode. Ask the vendor of the card how to do
665    this.
666
667    In the case of wireless LAN interfaces, it appears that, when those
668    interfaces are promiscuously sniffing, they're running in a
669    significantly different mode from the mode that they run in when
670    they're just acting as network interfaces (to the extent that it would
671    be a significant effor for those drivers to support for promiscuously
672    sniffing and acting as regular network interfaces at the same time),
673    so it may be that Windows drivers for those interfaces don't support
674    promiscuous mode.
675
676    Q 5.2: I can't see any TCP packets other than packets to and from my
677    machine, even though another sniffer on the network sees those
678    packets.
679
680    A: You're probably not seeing any packets other than unicast packets
681    to or from your machine, and broadcast and multicast packets; a switch
682    will normally send to a port only unicast traffic sent to the MAC
683    address for the interface on that port, and broadcast and multicast
684    traffic - it won't send to that port unicast traffic sent to a MAC
685    address for some other interface - and a network interface not in
686    promiscuous mode will receive only unicast traffic sent to the MAC
687    address for that interface, broadcast traffic, and multicast traffic
688    sent to a multicast MAC address the interface is set up to receive.
689
690    TCP doesn't use broadcast or multicast, so you will only see your own
691    TCP traffic, but UDP services may use broadcast or multicast so you'll
692    see some UDP traffic - however, this is not a problem with TCP
693    traffic, it's a problem with unicast traffic, as you also won't see
694    all UDP traffic between other machines.
695
696    I.e., this is probably the same problem discussed in the previous
697    question; see the response to that question.
698
699    Q 5.3: I can set a display filter just fine, but capture filters don't
700    work.
701
702    A: Capture filters currently use a different syntax than display
703    filters. Here's the corresponding section from the ethereal(1) man
704    page:
705
706    "Display filters in Ethereal are very powerful; more fields are
707    filterable in Ethereal than in other protocol analyzers, and the
708    syntax you can use to create your filters is richer. As Ethereal
709    progresses, expect more and more protocol fields to be allowed in
710    display filters.
711
712    Packet capturing is performed with the pcap library. The capture
713    filter syntax follows the rules of the pcap library. This syntax is
714    different from the display filter syntax."
715
716    The capture filter syntax used by libpcap can be found in the
717    tcpdump(8) man page.
718
719    Q 5.4: I'm entering valid capture filters, but I still get "parse
720    error" errors.
721
722    A: There is a bug in some versions of libpcap/WinPcap that cause it to
723    report parse errors even for valid expressions if a previous filter
724    expression was invalid and got a parse error.
725
726    Try exiting and restarting Ethereal; if you are using a version of
727    libpcap/WinPcap with this bug, this will "erase" its memory of the
728    previous parse error. If the capture filter that got the "parse error"
729    now works, the earlier error with that filter was probably due to this
730    bug. The bug was fixed in libpcap 0.6; 0.4[.x] and 0.5[.x] versions of
731    libpcap have this bug, but 0.6[.x] and later versions don't.
732
733    Versions of WinPcap prior to 2.3 are based on pre-0.6 versions of
734    libpcap, and have this bug; WinPcap 2.3 is based on libpcap 0.6.2, and
735    doesn't have this bug.
736
737    If you are running Ethereal on a UNIX-flavored platform, run "ethereal
738    -v", or select "About Ethereal..." from the "Help" menu in Ethereal,
739    to see what version of libpcap it's using. If it's not 0.6 or later,
740    you will need either to upgrade your OS to get a later version of
741    libpcap, or will need to build and install a later version of libpcap
742    from the tcpdump.org Web site and then recompile Ethereal from source
743    with that later version of libpcap.
744
745    If you are running Ethereal on Windows with a pre-2.3 version of
746    WinPcap, you will need to un-install WinPcap and then download and
747    install WinPcap 2.3.
748
749    Q 5.5: I've just installed Ethereal, and the traffic on my local LAN
750    is boring.
751
752    A: We have a collection of strange and exotic sample capture files at
753    http://www.ethereal.com/sample/
754
755    Q 5.6: When I run Ethereal on Solaris 8, it dies with a Bus Error when
756    I start it.
757
758    A: Some versions of the GTK+ library from www.sunfreeware.org appear
759    to be buggy, causing Ethereal to drop core with a Bus Error.
760    Un-install those packages, and try getting the 1.2.10 version from
761    that site, or the version from The Written Word, or the version from
762    Sun's GNOME distribution, or the version from the supplemental
763    software CD that comes with the Solaris media kit, or build it from
764    source from the GTK Web site. Update the GLib library to the 1.2.10
765    version, from the same source, as well. (If you get the 1.2.10
766    versions from www.sunfreeware.org, and the problem persists,
767    un-install them and try installing one of the other versions
768    mentioned.) Similar problems may exist with older versions of GTK+ for
769    earlier versions of Solaris.
770
771    Q 5.7: I'm running Ethereal on Linux; why do my time stamps have only
772    100ms resolution, rather than 1us resolution?
773
774    A: Ethereal gets time stamps from libpcap/WinPcap, and libpcap/WinPcap
775    get them from the OS kernel, so Ethereal - and any other program using
776    libpcap, such as tcpdump - is at the mercy of the time stamping code
777    in the OS for time stamps.
778
779    At least on x86-based machines, Linux can get high-resolution time
780    stamps on newer processors with the Time Stamp Counter (TSC) register;
781    for example, Intel x86 processors, starting with the Pentium Pro, and
782    including all x86 processors since then, have had a TSC, and other
783    vendors probably added the TSC at some point to their families of x86
784    processors.
785
786    The Linux kernel must be configured with the CONFIG_X86_TSC option
787    enabled in order to use the TSC. Make sure this option is enabled in
788    your kernel.
789
790    In addition, some Linux distributions may have bugs in their versions
791    of the kernel that cause packets not to be given high-resolution time
792    stamps even if the TSC is enabled. See, for example, bug 61111 for Red
793    Hat Linux 7.2. If your distribution has a bug such as this, you may
794    have to run a standard kernel from kernel.org in order to get
795    high-resolution time stamps.
796
797    Q 5.8: When I try to run Ethereal on Windows, it fails to run because
798    it can't find packet.dll.
799
800    A: In older versions of Ethereal, there were two binary distributions
801    available for Windows, one that supported capturing packets, and one
802    that didn't. The version that supported capturing packets required
803    that you install the WinPcap driver; if you didn't install it, it
804    would fail to run because it couldn't find packet.dll.
805
806    The current version of Ethereal has only one binary distribution for
807    Windows; that version will check whether WinPcap is installed and, if
808    it's not, will disable support for packet capture.
809
810    The WinPcap driver and libraries can be downloaded from the WinPcap
811    Web site, the local mirror of the WinPcap Web site, or the
812    Wiretapped.net mirror of the WinPcap site.
813
814    Q 5.9: When I try to download the WinPcap driver and library, I can't
815    get to the WinPcap Web site.
816
817    A: As is the case with all Web sites, that site won't necessarily
818    always be accessible; the server may be down due to a problem or down
819    for maintenance, or there may be a networking problem between you and
820    the server. You should try again later, or try the local mirror or the
821    Wiretapped.net mirror.
822
823    Q 5.10: I'm running Ethereal on Windows; why doesn't my my (Token
824    Ring, PPP) network interface show up in the list of interfaces in the
825    "Interface" item in the "Capture Preferences" dialog box popped up by
826    the "Capture->Start" menu item?
827
828    A: 2.02 and earlier versions of the WinPcap driver and library that
829    Ethereal uses for packet capture didn't support Token Ring interfaces;
830    the current version, 2.3, does support Token Ring, and the current
831    version of Ethereal works with (and, in fact, requires) WinPcap 2.1 or
832    later.
833
834    If you are having problems capturing on Token Ring interfaces, and you
835    have WinPcap 2.02 or an earlier version of WinPcap installed, you
836    should uninstall WinPcap, download and install the current version of
837    WinPcap, and then install the latest version of Ethereal.
838
839    WinPcap doesn't support PPP WAN interfaces on Windows NT/2000/XP/.NET
840    Server, so Ethereal cannot capture packets on those devices when
841    running on Windows NT/2000/XP/.NET Server. Regular dial-up lines, ISDN
842    lines, and various other lines such as T1/E1 lines are all PPP
843    interfaces. This may cause the interface not to show up on the list of
844    interfaces in the "Capture Preferences" dialog.
845
846    For problems seen when installing the WinPcap driver or library, or
847    seen when capturing, check the WinPcap FAQ, the local mirror of that
848    FAQ, or the Wiretapped.net mirror of that FAQ, to see if your problem
849    is mentioned there.
850
851    Q 5.11: I'm running Ethereal on Windows NT/2000/XP/.NET Server; my
852    machine has a PPP (dial-up POTS, ISDN, etc.) interface, and it shows
853    up in the "Interface" item in the "Capture Preferences" dialog box.
854    Why can no packets be sent on or received from that network while I'm
855    trying to capture traffic on that interface?
856
857    A: WinPcap doesn't support PPP WAN interfaces on Windows
858    NT/2000/XP/.NET Server; one symptom that may be seen is that attempts
859    to capture in promiscuous mode on the interface cause the interface to
860    be incapable of sending or receiving packets. You can disable
861    promiscuous mode using the -p command-line flag or the item in the
862    "Capture Preferences" dialog box, but this may mean that outgoing
863    packets, or incoming packets, won't be seen in the capture.
864
865    Q 5.12: I'm running Ethereal on Windows 95/98/Me, on a machine with
866    more than one network adapter of the same type; Ethereal shows all of
867    those adapters with the same name, but I can't use any of those
868    adapters other than the first one.
869
870    A: Unfortunately, Windows 95/98/Me gives the same name to multiple
871    instances of the type of same network adapter. Therefore, WinPcap
872    cannot distinguish between them, so a WinPcap-based application can
873    capture only on the first such interface; Ethereal is a
874    libpcap/WinPcap-based application.
875
876    Q 5.13: I have an XXX network card on my machine; it doesn't show up
877    in the list of interfaces in the "Interface:" field in the dialog box
878    popped up by "Capture->Start", and/or Ethereal gives me an error if I
879    try to capture on that interface. 
880
881    A: Ethereal relies on the libpcap library, and on the facilities that
882    come with the OS on which it's running in order to do captures; on
883    Windows, it also relies on the device driver that comes with WinPcap
884    (which is a version of libpcap for Windows).
885
886    Therefore, if the OS, the libpcap library, or the WinPcap driver don't
887    support capturing on a particular network interface device, Ethereal
888    won't be able to capture on that device.
889
890    On Linux, note that you need to have "packet socket" support enabled
891    in your kernel; see the "Packet socket" item in the Linux
892    "Configure.help" file.
893
894    On BSD, note that you need to have BPF support enabled in your kernel;
895    see the documentation for your system for information on how to enable
896    BPF support (if it's not enabled by default on your system).
897
898    On DEC OSF/1, Digital UNIX, or Tru64 UNIX, note that you need to have
899    packet filtering support in your kernel; the doconfig command will
900    allow you to configure and build a new kernel with that option.
901
902    If you are having trouble capturing on a particular network interface,
903    and you've made sure that (on platforms that require it) you've
904    arranged that packet capture support is present, as per the above,
905    first try capturing on that device with tcpdump - or, on Windows, the
906    tcpdump port to Windows, named WinDump; see the WinDump Web site, the
907    local mirror of the WinDump Web site, or the Wiretapped.net mirror of
908    the WinDump site, for information on using WinDump.
909
910    If you can capture on the interface with tcpdump/WinDump, send mail to
911    ethereal-users@ethereal.com giving full details of the problem,
912    including
913      * the operating system you're using, and the version of that
914        operating system (for Linux, give both the version number of the
915        kernel and the name and version number of the distribution you're
916        using);
917      * the type of network device you're using;
918      * the error message you get from Ethereal.
919
920    If you cannot capture on the interface with tcpdump/WinDump, this is
921    almost certainly a problem with one or more of:
922      * the operating system you're using;
923      * the device driver for the interface you're using;
924      * the libpcap/WinPcap library and, if this is Windows, the WinPcap
925        device driver;
926
927    so:
928      * if you are using Windows, see the WinPcap support page (or the
929        local mirror of that page) - check the "Submitting bugs" section;
930      * if you are using some Linux distribution, some version of BSD, or
931        some other UNIX-flavored OS, you should report the problem to the
932        company or organization that produces the OS (in the case of a
933        Linux distribution, report the problem to whoever produces the
934        distribution).
935
936    You may also want to ask the ethereal-users@ethereal.com and, if this
937    is a UNIX-flavored platform, tcpdump-workers@tcpdump.org mailing lists
938    to see if anybody happens to know about the problem and know a
939    workaround or fix for the problem. In your mail, please give full
940    details of the problem, as described above, and also indicate that the
941    problem occurs with tcpdump/WinDump, not just with Ethereal.
942
943    Q 5.14: There are no interfaces in the drop-down list of interfaces in
944    the "Interface:" field in the dialog box popped up by
945    "Capture->Start". 
946
947    A: If you are running Ethereal on a UNIX-flavored platform, you may
948    need to run Ethereal from an account with sufficient privileges to
949    capture packets, such as the super-user account. Only those interfaces
950    that Ethereal can open for capturing show up in that list; if you
951    don't have sufficient privileges to capture on any interfaces, no
952    interfaces will show up in the list.
953
954    If you are running Ethereal on Windows NT 4.0, Windows 2000, or
955    Windows XP, and this is the first time you have run a WinPcap-based
956    program (such as Ethereal, or Tethereal, or WinDump, or Analyzer,
957    or...) since the machine was rebooted, you need to run that program
958    from an account with administrator privileges; once you have run such
959    a program, you will not need administrator privileges to run any such
960    programs until you reboot.
961
962    If you are running on a UNIX-flavored platform and have sufficient
963    privileges, or if you are running on Windows 95/98/Me, or if you are
964    running on Windows NT 4.0/2000/XP and have administrator privileges or
965    a WinPcap program has been run with those privileges since the machine
966    rebooted, this is the same problem as in the previous question; see
967    the answer to that question.
968
969    Q 5.15: I have an XXX network card on my machine; if I try to capture
970    on it, my machine crashes or resets itself. 
971
972    A: This is almost certainly a problem with one or more of:
973      * the operating system you're using;
974      * the device driver for the interface you're using;
975      * the libpcap/WinPcap library and, if this is Windows, the WinPcap
976        device driver;
977
978    so:
979      * if you are using Windows, see the WinPcap support page (or the
980        local mirror of that page) - check the "Submitting bugs" section;
981      * if you are using some Linux distribution, some version of BSD, or
982        some other UNIX-flavored OS, you should report the problem to the
983        company or organization that produces the OS (in the case of a
984        Linux distribution, report the problem to whoever produces the
985        distribution).
986
987    Q 5.16: My machine crashes or resets itself when I select "Start" from
988    the "Capture" menu or select "Preferences" from the "Edit" menu. 
989
990    A: Both of those operations cause Ethereal to try to build a list of
991    the interfaces that it can open; it does so by getting a list of
992    interfaces and trying to open them. There is probably an OS, driver,
993    or, for Windows, WinPcap bug that causes the system to crash when this
994    happens; see the previous question.
995
996    Q 5.17: Does Ethereal work on Windows ME? 
997
998    A: Yes, but if you want to capture packets, you will need to install
999    the latest version of WinPcap, as 2.02 and earlier versions of WinPcap
1000    didn't support Windows ME. You should also install the latest version
1001    of Ethereal as well.
1002
1003    Q 5.18: Does Ethereal work on Windows XP? 
1004
1005    A: Yes, but if you want to capture packets, you will need to install
1006    the latest version of WinPcap, as 2.2 and earlier versions of WinPcap
1007    didn't support Windows XP.
1008
1009    Q 5.19: Why doesn't Ethereal correctly identify RTP packets? It shows
1010    them only as UDP.
1011
1012    A: Ethereal can identify a UDP datagram as containing a packet of a
1013    particular protocol running atop UDP only if
1014     1. The protocol in question has a particular standard port number,
1015        and the UDP source or destination port number is that port
1016     2. Packets of that protocol can be identified by looking for a
1017        "signature" of some type in the packet - i.e., some data that, if
1018        Ethereal finds it in some particular part of a packet, means that
1019        the packet is almost certainly a packet of that type.
1020     3. Some other traffic earlier in the capture indicated that, for
1021        example, UDP traffic between two particular addresses and ports
1022        will be RTP traffic.
1023
1024    RTP doesn't have a standard port number, so 1) doesn't work; it
1025    doesn't, as far as I know, have any "signature", so 2) doesn't work.
1026
1027    That leaves 3). If there's RTSP traffic that sets up an RTP session,
1028    then, at least in some cases, the RTSP dissector will set things up so
1029    that subsequent RTP traffic will be identified. Currently, that's the
1030    only place we do that; there may be other places.
1031
1032    However, there will always be places where Ethereal is simply
1033    incapable of deducing that a given UDP flow is RTP; a mechanism would
1034    be needed to allow the user to specify that a given conversation
1035    should be treated as RTP. As of Ethereal 0.8.16, such a mechanism
1036    exists; if you select a UDP or TCP packet, the right mouse button menu
1037    will have a "Decode As..." menu item, which will pop up a dialog box
1038    letting you specify that the source port, the destination port, or
1039    both the source and destination ports of the packet should be
1040    dissected as some particular protocol.
1041
1042    Q 5.20: Why do I get the error 
1043
1044      Gdk-ERROR **: Palettized display (256-colour) mode not supported on
1045      Windows.
1046      aborting....
1047
1048    when I try to run Ethereal on Windows?
1049
1050    A: Ethereal is built using the GTK+ toolkit, which supports most
1051    UNIX-flavored OSes, and also supports Windows; that toolkit doesn't
1052    support 256-color mode on Windows - it requires HiColor (16-bit
1053    colors) or more. If your display supports more than 256 colors, switch
1054    to a display mode with more colors; if it doesn't support more than
1055    256 colors, you will be unable to run Ethereal.
1056
1057    Q 5.21: I'm capturing packets on {Windows 95, Windows 98, Windows Me};
1058    why are the time stamps on packets wrong? 
1059
1060    A: This is due to a bug in WinPcap. A future release of WinPcap will
1061    fix that bug.
1062
1063    Q 5.22: When I capture on Windows in promiscuous mode, I can see
1064    packets other than those sent to or from my machine; however, those
1065    packets show up with a "Short Frame" indication, unlike packets to or
1066    from my machine. What should I do to arrange that I see those packets
1067    in their entirety? 
1068
1069    A: In at least some cases, this appears to be the result of PGPnet
1070    running on the network interface on which you're capturing; turn it
1071    off on that interface.
1072
1073    Q 5.23: How can I capture raw 802.11 packets, including non-data
1074    (management, beacon) packets? 
1075
1076    A: The answer to this depends on the operating system on which you're
1077    running and the 802.11 interface you're using.
1078
1079    Cisco Aironet cards:
1080
1081    The only platforms that allow Ethereal to capture raw 802.11 packets
1082    on Cisco Aironet cards are:
1083      * Linux, with a 2.4.6 or later kernel;
1084      * FreeBSD 4.6 or later, as the driver in FreeBSD 4.5 has bugs that
1085        cause packets not to be captured correctly, and the driver in
1086        releases prior to 4.5 didn't support capturing raw packets.
1087
1088    On FreeBSD, the ancontrol utility must be used; do not enable the full
1089    Aironet header via BPF, as Ethereal doesn't currently support that.
1090
1091    On Linux, you will need to do
1092
1093 echo "Mode: rfmon" >/proc/driver/aironet/ethN/Config
1094
1095    if your Aironet card is ethN. To capture traffic from any BSS, do
1096
1097 echo "Mode: y" >/proc/driver/aironet/ethN/Config
1098
1099    and to return to the normal mode, do
1100
1101 echo "Mode: ess" >/proc/driver/aironet/ethN/Config
1102
1103    In either case, Ethereal would have to be linked with libpcap 0.7.1 or
1104    later; this means that most Ethereal binary packages won't work unless
1105    they're statically linked with libpcap 0.7.1 or later, or they're
1106    dynamically linked with libpcap and your system has a libpcap 0.7.1 or
1107    later shared library installed (note that libpcap source package from
1108    tcpdump.org does not build shared libraries).
1109
1110    Cards using the Prism II chip set (see this page of Linux 802.11
1111    information for details on wireless cards, including information on
1112    the chips they use):
1113
1114    You can capture raw 802.11 packets with Prism II cards on Linux
1115    systems with the 0.1.14-pre1 or later version of the linux-wlan-ng
1116    drivers (see the linux-wlan page, and the linux-wlan-ng tarball
1117    directory), or with Solomon Peachy's patches to the linux-wlan-ng
1118    0.1.13 drivers (see the `0132-packet-v71.diff' link on his software
1119    page; the patch speaks of 0.1.13-pre2, but appears to apply to 0.1.13
1120    as well). If you are using the 0.1.13 drivers, you might also want his
1121    `0132-promisc-v23.diff' patch as well; if you are using the
1122    0.1.14-pre1 drivers, you might also want his
1123    `014p1-promiscfixes-v1.diff' patches - both of those are already in
1124    0.1.14-pre2.
1125
1126    Those require either Solomon's patch to libpcap 0.7.1 (see his
1127    `libpcap-0.7.1-prism.diff' file, or his RPMs of that version of
1128    libpcap), or the current CVS version of libpcap, which includes his
1129    patch (download it from the `Current Tar files' section of the
1130    tcpdump.org Web site).
1131
1132    You may have to run a command to put the interface into monitor mode,
1133    or to change other interface settings.
1134    Earlier versions of the linux-wlan-ng drivers don't allow Ethereal to
1135    directly capture raw 802.11 packets on Prism II cards; however, on
1136    Linux systems with the linux-wlan-ng drivers version 0.1.6, the
1137    Prismdump utility can be used to capture packets; it saves packets in
1138    a form that Ethereal can read. Prismdump can be downloaded from this
1139    page on the developer.axis.com Web site.
1140
1141    On other platforms, capturing raw 802.11 packets on Prism II cards is
1142    not currently supported.
1143
1144    Orinoco Silver and Gold cards:
1145
1146    On Linux systems, when using either the orinoco_cs-0.09b driver or the
1147    driver in at least some versions of the Linux kernel, the
1148    `orinoco-09b-packet-1.diff' patch on the Orinoco Monitor Mode Patch
1149    Page should allow you to do capture raw 802.11 packets.
1150
1151    The patch appears to apply to the driver in the 2.4.18 kernel, but we
1152    don't know whether it works; the directions on that page are for the
1153    pcmcia-cs drivers, not for the driver in the kernel itself.
1154    Note that the page indicates that not all versions of the Orinoco
1155    firmware support this patch. The Orinoco patches require Solomon
1156    Peachy's libpcap patches.
1157
1158    On other platforms, capturing raw 802.11 packets on Orinoco cards is
1159    not currently supported.
1160
1161    Other 802.11 interfaces:
1162
1163    With other 802.11 interfaces, no platform allows Ethereal to capture
1164    raw 802.11 packets, as far as we know. If you know of other 802.11
1165    interfaces that are supported (note that there are many `Prism II
1166    cards', so your card might be a Prism II card), please let us know,
1167    and include URLs for sites containing any necessary patches to add
1168    this support.
1169
1170    On platforms that don't allow Ethereal to capture raw 802.11 packets,
1171    the 802.11 network will appear like an Ethernet to Ethereal.
1172
1173    Q 5.24: How can I capture packets with CRC errors? 
1174
1175    A: Ethereal can capture only the packets that the packet capture
1176    library - libpcap on UNIX-flavored OSes, and the WinPcap port to
1177    Windows of libpcap on Windows - can capture, and libpcap/WinPcap can
1178    capture only the packets that the OS's raw packet capture mechanism
1179    (or the WinPcap driver, and the underlying OS networking code and
1180    network interface drivers, on Windows) will allow it to capture.
1181
1182    Unless the OS can be configured to supply packets with errors such as
1183    invalid CRCs to the raw packet capture mechanism, Ethereal - and other
1184    programs that capture raw packets, such as tcpdump - cannot capture
1185    those packets. You will have to determine whether your OS can be so
1186    configured, configure it if possible, and make whatever changes to
1187    libpcap and the packet capture program you're using are necessary to
1188    support capturing those packets.
1189
1190    Q 5.25: How can I capture entire frames, including the FCS? 
1191
1192    A: Ethereal can't capture any data that the packet capture library -
1193    libpcap on UNIX-flavored OSes, and the WinPcap port to Windows of
1194    libpcap on Windows - can capture, and libpcap/WinPcap can capture only
1195    the data that the OS's raw packet capture mechanism (or the WinPcap
1196    driver, and the underlying OS networking code and network interface
1197    drivers, on Windows) will allow it to capture.
1198
1199    For any particular link-layer network type, unless the OS supplies the
1200    FCS of a frame as part of the frame, or can be configured to supply
1201    the FCS of a frame as part of the frame, Ethereal - and other programs
1202    that capture raw packets, such as tcpdump - cannot capture the FCS of
1203    a frame. You will have to determine whether your OS can be so
1204    configured, configure it if possible, and make whatever changes to
1205    libpcap and the packet capture program you're using are necessary to
1206    support capturing the FCS of a frame. Most if not all OSes probably do
1207    not support capturing the FCS of a frame on Ethernet, and probably do
1208    not support it on most other link-layer types.
1209
1210    Q 5.26: Ethereal hangs after I stop a capture. 
1211
1212    A: The most likely reason for this is that Ethereal is trying to look
1213    up an IP address in the capture to convert it to a name (so that, for
1214    example, it can display the name in the source address or destination
1215    address columns), and that lookup process is taking a very long time.
1216
1217    Ethereal calls a routine in the OS of the machine on which it's
1218    running to convert of IP addresses to the corresponding names. That
1219    routine probably does one or more of:
1220      * a search of a system file listing IP addresses and names;
1221      * a lookup using DNS;
1222      * on UNIX systems, a lookup using NIS;
1223      * on Windows systems, a NetBIOS-over-TCP query.
1224
1225    If a DNS server that's used in an address lookup is not responding,
1226    the lookup will fail, but will only fail after a timeout while the
1227    system routine waits for a reply.
1228
1229    In addition, on Windows systems, if the DNS lookup of the address
1230    fails, either because the server isn't responding or because there are
1231    no records in the DNS that could be used to map the address to a name,
1232    a NetBIOS-over-TCP query will be made. That query involves sending a
1233    message to the NetBIOS-over-TCP name service on that machine, asking
1234    for the name and other information about the machine. If the machine
1235    isn't running software that responds to those queries - for example,
1236    many non-Windows machines wouldn't be running that software - the
1237    lookup will only fail after a timeout. Those timeouts can cause the
1238    lookup to take a long time.
1239
1240    If you disable network address-to-name translation - for example, by
1241    turning off the `Enable network name resolution' option in the `Name
1242    resolution' options in the dialog box you get by selecting
1243    `Preferences' from the `Edit' menu - the lookups of the address won't
1244    be done, which may speed up the process of reading the capture file
1245    after the capture is stopped. You can make that setting the default by
1246    using the `Save' button in that dialog box; note that this will save
1247    all your current preference settings.
1248
1249    If Ethereal hangs when reading a capture even with network name
1250    resolution turned off, there might, for example, be a bug in one of
1251    Ethereal's dissectors for a protocol causing it to loop infinitely.
1252    The bug should be reported to the Ethereal developers' mailing list at
1253    ethereal-dev@ethereal.com.
1254
1255    On UNIX-flavored OSes, please try to force Ethereal to dump core, by
1256    sending it a SIGABRT signal (usually signal 6) with the kill command,
1257    and then get a stack trace if you have a debugger installed. A stack
1258    trace can be obtained by using your debugger (gdb in this example),
1259    the Ethereal binary, and the resulting core file. Here's an example of
1260    how to use the gdb command backtrace to do so.
1261         $ gdb ethereal core
1262         (gdb) backtrace
1263         ..... prints the stack trace
1264         (gdb) quit
1265         $
1266
1267    The core dump file may be named "ethereal.core" rather than "core" on
1268    some platforms (e.g., BSD systems)
1269
1270    Also, if at all possible, please send a copy of the capture file that
1271    caused the problem; when capturing packets, Ethereal normally writes
1272    captured packets to a temporary file, which will probably be in /tmp
1273    or /var/tmp on UNIX-flavored OSes and \TEMP on Windows, so the capture
1274    file will probably be there. It will have a name beginning with ether,
1275    with some mixture of letters and numbers after that. Please don't send
1276    a trace file greater than 1 MB when compressed. If the trace file
1277    contains sensitive information (e.g., passwords), then please do not
1278    send it.
1279
1280
1281    Support can be found on the ethereal-users[AT]ethereal.com mailing
1282    list. 
1283    For corrections/additions/suggestions for this page, please send email
1284    to: ethereal-web[AT]ethereal.com
1285    Last modified: Sun, August 11 2002.