Patch from Guy: using distributed help text files,
[obnox/wireshark/wip.git] / help / faq.h
1 /* THIS FILE IS AUTOMATICALLY GENERATED, DO NOT MODIFY!!! */
2 const char *faq_part[] = {
3 " \n"
4 "   The Ethereal FAQ \n"
5 " \n"
6 "   Note: This is just an ASCII snapshot of the faq and may not be up to \n"
7 "         date. Please go to http://www.ethereal.com/faq for the up to \n"
8 "         date version. The version of this snapshot can be found at the \n"
9 "         end of this document. \n"
10 " \n"
11 "   INDEX \n"
12 " \n"
13 "   General Questions: \n"
14 " \n"
15 "   1.1 Where can I get help? \n"
16 " \n"
17 "   1.2 What protocols are currently supported? \n"
18 " \n"
19 "   1.3 Are there any plans to support {your favorite protocol}? \n"
20 " \n"
21 "   1.4 Can Ethereal read capture files from {your favorite network \n"
22 "   analyzer}? \n"
23 " \n"
24 "   1.5 What devices can Ethereal use to capture packets? \n"
25 " \n"
26 "   1.6 How do you pronounce Ethereal? Where did the name come from? \n"
27 " \n"
28 "   Downloading Ethereal: \n"
29 " \n"
30 "   2.1 I downloaded the Win32 installer, but when I try to run it, I get \n"
31 "   an error. \n"
32 " \n"
33 "   2.2 When I try to download the WinPcap driver and library, I can't get \n"
34 "   to the WinPcap Web site. \n"
35 " \n"
36 "   Installing Ethereal: \n"
37 " \n"
38 "   3.1 I installed an Ethereal RPM, but Ethereal doesn't seem to be \n"
39 "   installed; only Tethereal is installed. \n"
40 " \n"
41 "   Building Ethereal: \n"
42 " \n"
43 "   4.1 The configure script can't find pcap.h or bpf.h, but I have \n"
44 "   libpcap installed. \n"
45 " \n"
46 "   4.2 Why do I get the error  \n"
47 " \n"
48 "     dftest_DEPENDENCIES was already defined in condition TRUE, which \n"
49 "     implies condition HAVE_PLUGINS_TRUE \n"
50 " \n"
51 "   when I try to build Ethereal from CVS or a CVS snapshot? \n"
52 " \n"
53 "   4.3 The link fails with a number of \"Output line too long.\" messages \n"
54 "   followed by linker errors.  \n"
55 " \n"
56 "   4.4 The link fails on Solaris because plugin_list is undefined.  \n"
57 " \n"
58 "   4.5 The build fails on Windows because of conflicts between winsock.h \n"
59 "   and winsock2.h.  \n"
60 " \n"
61 "   Using Ethereal: \n"
62 " \n"
63 "   5.1 When I use Ethereal to capture packets, I see only packets to and \n"
64 "   from my machine, or I'm not seeing all the traffic I'm expecting to \n"
65 "   see from or to the machine I'm trying to monitor. \n"
66 " \n"
67 "   5.2 I can't see any TCP packets other than packets to and from my \n"
68 "   machine, even though another analyzer on the network sees those \n"
69 "   packets. \n"
70 " \n"
71 "   5.3 I'm only seeing ARP packets when I try to capture traffic. \n"
72 " \n"
73 "   5.4 I'm running Ethereal on Windows; why does some network interface \n"
74 "   on my machine not show up in the list of interfaces in the \n"
75 "   \"Interface:\" field in the dialog box popped up by \"Capture->Start\", \n"
76 "   and/or why does Ethereal give me an error if I try to capture on that \n"
77 "   interface?  \n"
78 " \n"
79 "   5.5 I'm running on a UNIX-flavored OS; why does some network interface \n"
80 "   on my machine not show up in the list of interfaces in the \n"
81 "   \"Interface:\" field in the dialog box popped up by \"Capture->Start\", \n"
82 "   and/or why does Ethereal give me an error if I try to capture on that \n"
83 "   interface?  \n"
84 " \n"
85 "   5.6 How do I put an interface into promiscuous mode? \n"
86 " \n"
87 "   5.7 I can set a display filter just fine, but capture filters don't \n"
88 "   work. \n"
89 " \n"
90 "   5.8 I'm entering valid capture filters, but I still get \"parse error\" \n"
91 "   errors. \n"
92 " \n"
93 "   5.9 I saved a filter and tried to use its name to filter the display, \n"
94 "   but I got an \"Unexpected end of filter string\" error. \n"
95 " \n"
96 "   5.10 Why am I seeing lots of packets with incorrect TCP checksums? \n"
97 " \n"
98 "   5.11 I've just installed Ethereal, and the traffic on my local LAN is \n"
99 "   boring. \n"
100 " \n"
101 "   5.12 When I run Ethereal on Solaris 8, it dies with a Bus Error when I \n"
102 "   start it. \n"
103 " \n"
104 "   5.13 When I run Ethereal on Windows NT, it dies with a Dr. Watson \n"
105 "   error, reporting an \"Integer division by zero\" exception, when I start \n"
106 "   it. \n"
107 " \n"
108 "   5.14 When I try to run Ethereal, it complains about \n"
109 "   sprint_realloc_objid being undefined. \n"
110 " \n"
111 "   5.15 I'm running Ethereal on Linux; why do my time stamps have only \n"
112 "   100ms resolution, rather than 1us resolution? \n"
113 " \n"
114 "   5.16 I'm capturing packets on {Windows 95, Windows 98, Windows Me}; \n"
115 "   why are the time stamps on packets wrong?  \n"
116 " \n"
117 "   5.17 When I try to run Ethereal on Windows, it fails to run because it \n"
118 "   can't find packet.dll. \n"
119 " \n"
120 "   5.18 I'm running Ethereal on Windows NT/2000/XP/Server; my machine has \n"
121 "   a PPP (dial-up POTS, ISDN, etc.) interface, and it shows up in the \n"
122 "   \"Interface\" item in the \"Capture Options\" dialog box. Why can no \n"
123 "   packets be sent on or received from that network while I'm trying to \n"
124 "   capture traffic on that interface? \n"
125 " \n"
126 "   5.19 I'm running Ethereal on Windows 95/98/Me, on a machine with more \n"
127 "   than one network adapter of the same type; Ethereal shows all of those \n"
128 "   adapters with the same name, but I can't use any of those adapters \n"
129 "   other than the first one. \n"
130 " \n"
131 "   5.20 I'm running Ethereal on Windows, and I'm not seeing any traffic \n"
132 "   being sent by the machine running Ethereal. \n"
133 " \n"
134 "   5.21 I'm trying to capture traffic but I'm not seeing any. \n"
135 " \n"
136 "   5.22 I have an XXX network card on my machine; if I try to capture on \n"
137 "   it, my machine crashes or resets itself.  \n"
138 " \n"
139 "   5.23 My machine crashes or resets itself when I select \"Start\" from \n"
140 "   the \"Capture\" menu or select \"Preferences\" from the \"Edit\" menu.  \n"
141 " \n"
142 "   5.24 Does Ethereal work on Windows Me?  \n"
143 " \n"
144 "   5.25 Does Ethereal work on Windows XP?  \n"
145 " \n"
146 "   5.26 Why doesn't Ethereal correctly identify RTP packets? It shows \n"
147 "   them only as UDP. \n"
148 " \n"
149 "   5.27 Why doesn't Ethereal show Yahoo Messenger packets in captures \n"
150 "   that contain Yahoo Messenger traffic? \n"
151 " \n"
152 "   5.28 Why do I get the error  \n"
153 " \n"
154 "     Gdk-ERROR **: Palettized display (256-colour) mode not supported on \n"
155 "     Windows. \n"
156 "     aborting.... \n"
157 " \n"
158 "   when I try to run Ethereal on Windows? \n"
159 " \n"
160 "   5.29 When I capture on Windows in promiscuous mode, I can see packets \n"
161 "   other than those sent to or from my machine; however, those packets \n"
162 "   show up with a \"Short Frame\" indication, unlike packets to or from my \n"
163 "   machine. What should I do to arrange that I see those packets in their \n"
164 "   entirety?  \n"
165 " \n"
166 "   5.30 How can I capture raw 802.11 packets, including non-data \n"
167 "   (management, beacon) packets?  \n"
168 " \n"
169 "   5.31 I'm trying to capture 802.11 traffic on Windows; why am I not \n"
170 "   seeing any packets?  \n"
171 " \n"
172 "   5.32 I'm trying to capture 802.11 traffic on Windows; why am I seeing \n"
173 "   packets received by the machine on which I'm capturing traffic, but \n"
174 "   not packets sent by that machine?  \n"
175 " \n"
176 "   5.33 How can I capture packets with CRC errors?  \n"
177 " \n"
178 "   5.34 How can I capture entire frames, including the FCS?  \n"
179 " \n"
180 "   5.35 Ethereal hangs after I stop a capture.  \n"
181 " \n"
182 "   5.36 How can I search for, or filter, packets that have a particular \n"
183 "   string anywhere in them?  \n"
184 " \n"
185 "   GENERAL QUESTIONS  \n"
186 "   Q 1.1: Where can I get help? \n"
187 " \n"
188 "   A: Support is available on the ethereal-users mailing list. \n"
189 "   Subscription information and archives for all of Ethereal's mailing \n"
190 "   lists can be found at http://www.ethereal.com/lists \n"
191 " \n"
192 "   Q 1.2: What protocols are currently supported? \n"
193 " \n"
194 "   A: There are currently 442 supported protocols and media, listed \n"
195 "   below. Descriptions can be found in the ethereal(1) man page. \n"
196 " \n"
197 "            802.1q Virtual LAN \n"
198 "            802.1x Authentication \n"
199 "            AAL type 2 signalling protocol - Capability set 1 (Q.2630.1) \n"
200 "            AFS (4.0) Replication Server call declarations \n"
201 "            ANSI A-I/F BSMAP \n"
202 "            ANSI A-I/F DTAP \n"
203 "            ANSI IS-637-A (SMS) Teleservice Layer \n"
204 "            ANSI IS-637-A (SMS) Transport Layer \n"
205 "            ANSI IS-683-A (OTA (Mobile)) \n"
206 "            ANSI Mobile Application Part \n"
207 "            AOL Instant Messenger \n"
208 "            ARCNET \n"
209 "            ATM \n"
210 "            ATM AAL1 \n"
211 "            ATM AAL3/4 \n"
212 "            ATM LAN Emulation \n"
213 "            ATM OAM AAL \n"
214 "            AVS WLAN Capture header \n"
215 "            Ad hoc On-demand Distance Vector Routing Protocol \n"
216 "            Address Resolution Protocol \n"
217 "            Aggregate Server Access Protocol \n"
218 "            Alert Standard Forum \n"
219 "            Alteon - Transparent Proxy Cache Protocol \n"
220 "            Andrew File System (AFS) \n"
221 "            Apache JServ Protocol v1.3 \n"
222 "            AppleTalk Filing Protocol \n"
223 "            AppleTalk Session Protocol \n"
224 "            AppleTalk Transaction Protocol packet \n"
225 "            Appletalk Address Resolution Protocol \n"
226 "            Application Configuration Access Protocol \n"
227 "            Async data over ISDN (V.120) \n"
228 "            Authentication Header \n"
229 "            BACnet Virtual Link Control \n"
230 "            BSS GPRS Protocol \n"
231 "            BSSAP/BSAP \n"
232 "            Banyan Vines ARP \n"
233 "            Banyan Vines Echo \n"
234 "            Banyan Vines Fragmentation Protocol \n"
235 "            Banyan Vines ICP \n"
236 "            Banyan Vines IP \n"
237 "            Banyan Vines IPC \n"
238 "            Banyan Vines LLC \n"
239 "            Banyan Vines RTP \n"
240 "            Banyan Vines SPP \n"
241 "            Bearer Independent Call Control \n"
242 "            Bi-directional Fault Detection Control Message \n"
243 "            Blocks Extensible Exchange Protocol \n"
244 "            Boardwalk \n"
245 "            Boot Parameters \n"
246 "            Bootstrap Protocol \n"
247 "            Border Gateway Protocol \n"
248 "            Building Automation and Control Network APDU \n"
249 "            Building Automation and Control Network NPDU \n"
250 "            CCSDS \n"
251 "            CDS Clerk Server Calls \n"
252 "            Check Point High Availability Protocol \n"
253 "            Checkpoint FW-1 \n"
254 "            Cisco Auto-RP \n"
255 "            Cisco Discovery Protocol \n"
256 "            Cisco Group Management Protocol \n"
257 "            Cisco HDLC \n"
258 "            Cisco Hot Standby Router Protocol \n"
259 "            Cisco ISL \n"
260 "            Cisco Interior Gateway Routing Protocol \n"
261 "            Cisco NetFlow \n"
262 "            Cisco SLARP \n"
263 "            Clearcase NFS \n"
264 "            CoSine IPNOS L2 debug output \n"
265 "            Common Open Policy Service \n"
266 "            Common Unix Printing System (CUPS) Browsing Protocol \n"
267 "            Connectionless Lightweight Directory Access Protocol \n"
268 "            Cross Point Frame Injector \n"
269 "            DCE DFS Calls \n"
270 "            DCE Distributed Time Service Local Server \n"
271 "            DCE Distributed Time Service Provider \n"
272 "            DCE Name Service \n"
273 "            DCE RPC \n"
274 "            DCE Security ID Mapper \n"
275 "            DCE/RPC BOS Server \n"
276 "            DCE/RPC BUDB \n"
277 "            DCE/RPC BUTC \n"
278 "            DCE/RPC CDS Solicitation \n"
279 "            DCE/RPC Conversation Manager \n"
280 "            DCE/RPC Endpoint Mapper \n"
281 "            DCE/RPC Endpoint Mapper4 \n"
282 "            DCE/RPC FLDB \n"
283 "            DCE/RPC FLDB UBIK TRANSFER \n"
284 "            DCE/RPC FLDB UBIKVOTE \n"
285 "            DCE/RPC ICL RPC \n"
286 "            DCE/RPC Kerberos V \n"
287 "            DCE/RPC RS_ACCT \n"
288 "            DCE/RPC RS_BIND \n"
289 "            DCE/RPC RS_MISC \n"
290 "            DCE/RPC RS_PROP_ACCT \n"
291 "            DCE/RPC RS_UNIX \n"
292 "            DCE/RPC Remote Management \n"
293 "            DCE/RPC Repserver Calls \n"
294 "            DCE/RPC TokenServer Calls \n"
295 "            DCE/RPC UpServer \n"
296 "            DCOM OXID Resolver \n"
297 "            DCOM Remote Activation \n"
298 "            DEC Spanning Tree Protocol \n"
299 "            DHCPv6 \n"
300 "            DNS Control Program Server \n"
301 "            Data \n"
302 "            Data Link SWitching \n"
303 "            Data Stream Interface \n"
304 "            Datagram Delivery Protocol \n"
305 "            Diameter Protocol \n"
306 "            Distance Vector Multicast Routing Protocol \n"
307 "            Distcc Distributed Compiler \n"
308 "            Distributed Checksum Clearinghouse Prototocl \n"
309 "            Domain Name Service \n"
310 "            Dynamic DNS Tools Protocol \n"
311 "            Echo \n"
312 "            Encapsulating Security Payload \n"
313 "            Enhanced Interior Gateway Routing Protocol \n"
314 "            EtherNet/IP (Industrial Protocol) \n"
315 "            Ethernet \n"
316 "            Ethernet over IP \n"
317 "            Extensible Authentication Protocol \n"
318 "            FC Extended Link Svc \n"
319 "            FC Fabric Configuration Server \n"
320 "            FCIP \n"
321 "            FTP Data \n"
322 "            FTServer Operations \n"
323 "            Fiber Distributed Data Interface \n"
324 "            Fibre Channel \n"
325 "            Fibre Channel Common Transport \n"
326 "            Fibre Channel Fabric Zone Server \n"
327 "            Fibre Channel Name Server \n"
328 "            Fibre Channel Protocol for SCSI \n"
329 "            Fibre Channel SW_ILS \n"
330 "            Fibre Channel Security Protocol \n"
331 "            Fibre Channel Single Byte Command \n"
332 "            File Transfer Protocol (FTP) \n"
333 "            Financial Information eXchange Protocol \n"
334 "            Frame \n"
335 "            Frame Relay \n"
336 "            GARP Multicast Registration Protocol \n"
337 "            GARP VLAN Registration Protocol \n"
338 "            GPRS Network service \n"
339 "            GPRS Tunneling Protocol \n"
340 "            GSM A-I/F BSSMAP \n"
341 "            GSM A-I/F DTAP \n"
342 "            GSM A-I/F RP \n"
343 "            GSM Mobile Application Part \n"
344 "            GSM SMS TPDU (GSM 03.40) \n"
345 "            General Inter-ORB Protocol \n"
346 "            Generic Routing Encapsulation \n"
347 "            Generic Security Service Application Program Interface \n"
348 "            Gnutella Protocol \n"
349 "            H225 \n"
350 "            H245 \n"
351 "            H4501 \n"
352 "            HP Extended Local-Link Control \n"
353 "            HP Remote Maintenance Protocol \n"
354 "            Hummingbird NFS Daemon \n"
355 "            HyperSCSI \n"
356 "            Hypertext Transfer Protocol \n"
357 "            ICQ Protocol \n"
358 "            IEEE 802.11 wireless LAN \n"
359 "            IEEE 802.11 wireless LAN management frame \n"
360 "            ILMI \n"
361 "            IP Over FC \n"
362 "            IP Payload Compression \n"
363 "            IPX Message \n"
364 "            IPX Routing Information Protocol \n"
365 "            IPX WAN \n"
366 "            ISDN \n"
367 "            ISDN Q.921-User Adaptation Layer \n"
368 "            ISDN User Part \n"
369 "            ISO 10589 ISIS InTRA Domain Routeing Information Exchange Protocol \n"
370 "            ISO 8073 COTP Connection-Oriented Transport Protocol \n"
371 "            ISO 8327-1 OSI Session Protocol \n"
372 "            ISO 8473 CLNP ConnectionLess Network Protocol \n"
373 "            ISO 8602 CLTP ConnectionLess Transport Protocol \n"
374 "            ISO 9542 ESIS Routeing Information Exchange Protocol \n"
375 "            ITU-T Recommendation H.261 \n"
376 "            ITU-T Recommendation H.263 RTP Payload header (RFC2190) \n"
377 "            InMon sFlow \n"
378 "            Intel ANS probe \n"
379 "            Intelligent Platform Management Interface \n"
380 "            Inter-Access-Point Protocol \n"
381 "            Interbase \n"
382 "            Internet Cache Protocol \n"
383 "            Internet Content Adaptation Protocol \n"
384 "            Internet Control Message Protocol \n"
385 "            Internet Control Message Protocol v6 \n"
386 "            Internet Group Management Protocol \n"
387 "            Internet Group membership Authentication Protocol \n"
388 "            Internet Message Access Protocol \n"
389 "            Internet Printing Protocol \n"
390 "            Internet Protocol \n"
391 "            Internet Protocol Version 6 \n"
392 "            Internet Relay Chat \n"
393 "            Internet Security Association and Key Management Protocol \n"
394 "            Internetwork Packet eXchange \n"
395 "            Jabber XML Messaging \n"
396 "            Java RMI \n"
397 "            Java Serialization \n"
398 "            Kerberos \n"
399 "            Kerberos Administration \n"
400 "            Kernel Lock Manager \n"
401 "            LWAP Control Message \n"
402 "            LWAPP Encapsulated Packet \n"
403 ,
404
405 "            LWAPP Layer 3 Packet \n"
406 "            Label Distribution Protocol \n"
407 "            Laplink \n"
408 "            Layer 2 Tunneling Protocol \n"
409 "            Lightweight Directory Access Protocol \n"
410 "            Line Printer Daemon Protocol \n"
411 "            Link Access Procedure Balanced (LAPB) \n"
412 "            Link Access Procedure Balanced Ethernet (LAPBETHER) \n"
413 "            Link Access Procedure, Channel D (LAPD) \n"
414 "            Link Aggregation Control Protocol \n"
415 "            Link Management Protocol (LMP) \n"
416 "            Linux cooked-mode capture \n"
417 "            Local Management Interface \n"
418 "            LocalTalk Link Access Protocol \n"
419 "            Logical-Link Control \n"
420 "            Lucent/Ascend debug output \n"
421 "            MDS Header \n"
422 "            MMS Message Encapsulation \n"
423 "            MS Kpasswd \n"
424 "            MS Proxy Protocol \n"
425 "            MSN Messenger Service \n"
426 "            MSNIP: Multicast Source Notification of Interest Protocol \n"
427 "            MTP 2 Transparent Proxy \n"
428 "            MTP 2 User Adaptation Layer \n"
429 "            MTP 3 User Adaptation Layer \n"
430 "            MTP2 Peer Adaptation Layer \n"
431 "            Message Transfer Part Level 2 \n"
432 "            Message Transfer Part Level 3 \n"
433 "            Message Transfer Part Level 3 Management \n"
434 "            Microsoft Directory Replication Service \n"
435 "            Microsoft Distributed File System \n"
436 "            Microsoft Exchange MAPI \n"
437 "            Microsoft Local Security Architecture \n"
438 "            Microsoft Local Security Architecture (Directory Services) \n"
439 "            Microsoft Messenger Service \n"
440 "            Microsoft Network Logon \n"
441 "            Microsoft Registry \n"
442 "            Microsoft Security Account Manager \n"
443 "            Microsoft Server Service \n"
444 "            Microsoft Service Control \n"
445 "            Microsoft Spool Subsystem \n"
446 "            Microsoft Task Scheduler Service \n"
447 "            Microsoft Telephony API Service \n"
448 "            Microsoft Windows Browser Protocol \n"
449 "            Microsoft Windows Lanman Remote API Protocol \n"
450 "            Microsoft Windows Logon Protocol \n"
451 "            Microsoft Workstation Service \n"
452 "            Mobile IP \n"
453 "            Mobile IPv6 \n"
454 "            Modbus/TCP \n"
455 "            Mount Service \n"
456 "            MultiProtocol Label Switching Header \n"
457 "            Multicast Router DISCovery protocol \n"
458 "            Multicast Source Discovery Protocol \n"
459 "            MySQL Protocol \n"
460 "            NFSACL \n"
461 "            NFSAUTH \n"
462 "            NIS+ \n"
463 "            NIS+ Callback \n"
464 "            NSPI \n"
465 "            NTLM Secure Service Provider \n"
466 "            Name Binding Protocol \n"
467 "            Name Management Protocol over IPX \n"
468 "            NetBIOS \n"
469 "            NetBIOS Datagram Service \n"
470 "            NetBIOS Name Service \n"
471 "            NetBIOS Session Service \n"
472 "            NetBIOS over IPX \n"
473 "            NetWare Core Protocol \n"
474 "            NetWare Link Services Protocol \n"
475 "            Network Data Management Protocol \n"
476 "            Network File System \n"
477 "            Network Lock Manager Protocol \n"
478 "            Network News Transfer Protocol \n"
479 "            Network Status Monitor CallBack Protocol \n"
480 "            Network Status Monitor Protocol \n"
481 "            Network Time Protocol \n"
482 "            Nortel SONMP \n"
483 "            Novell Distributed Print System \n"
484 "            Null/Loopback \n"
485 "            Open Shortest Path First \n"
486 "            OpenBSD Encapsulating device \n"
487 "            OpenBSD Packet Filter log file \n"
488 "            OpenBSD Packet Filter log file, pre 3.4 \n"
489 "            PC NFS \n"
490 "            PPP Bandwidth Allocation Control Protocol \n"
491 "            PPP Bandwidth Allocation Protocol \n"
492 "            PPP CDP Control Protocol \n"
493 "            PPP Callback Control Protocol \n"
494 "            PPP Challenge Handshake Authentication Protocol \n"
495 "            PPP Compressed Datagram \n"
496 "            PPP Compression Control Protocol \n"
497 "            PPP IP Control Protocol \n"
498 "            PPP IPv6 Control Protocol \n"
499 "            PPP Link Control Protocol \n"
500 "            PPP MPLS Control Protocol \n"
501 "            PPP Multilink Protocol \n"
502 "            PPP Multiplexing \n"
503 "            PPP Password Authentication Protocol \n"
504 "            PPP VJ Compression \n"
505 "            PPP-over-Ethernet Discovery \n"
506 "            PPP-over-Ethernet Session \n"
507 "            PPPMux Control Protocol \n"
508 "            Packed Encoding Rules (ASN.1 X.691) \n"
509 "            Point-to-Point Protocol \n"
510 "            Point-to-Point Tunnelling Protocol \n"
511 "            Portmap \n"
512 "            Post Office Protocol \n"
513 "            Pragmatic General Multicast \n"
514 "            Prism \n"
515 "            Privilege Server operations \n"
516 "            Protocol Independent Multicast \n"
517 "            Q.2931 \n"
518 "            Q.931 \n"
519 "            Q.933 \n"
520 "            Quake II Network Protocol \n"
521 "            Quake III Arena Network Protocol \n"
522 "            Quake Network Protocol \n"
523 "            QuakeWorld Network Protocol \n"
524 "            Qualified Logical Link Control \n"
525 "            RFC 2250 MPEG1 \n"
526 "            RFC 2833 RTP Event \n"
527 "            RIPng \n"
528 "            RPC Browser \n"
529 "            RS Interface properties \n"
530 "            RSTAT \n"
531 "            RSYNC File Synchroniser \n"
532 "            RX Protocol \n"
533 "            Radio Access Network Application Part \n"
534 "            Radius Protocol \n"
535 "            Raw packet data \n"
536 "            Real Time Streaming Protocol \n"
537 "            Real-Time Transport Protocol \n"
538 "            Real-time Transport Control Protocol \n"
539 "            Registry Server Attributes Manipulation Interface \n"
540 "            Registry server administration operations. \n"
541 "            Remote Management Control Protocol \n"
542 "            Remote Override interface \n"
543 "            Remote Procedure Call \n"
544 "            Remote Program Load \n"
545 "            Remote Quota \n"
546 "            Remote Shell \n"
547 "            Remote Shutdown \n"
548 "            Remote Wall protocol \n"
549 "            Remote sec_login preauth interface. \n"
550 "            Resource ReserVation Protocol (RSVP) \n"
551 "            Rlogin Protocol \n"
552 "            Routing Information Protocol \n"
553 "            Routing Table Maintenance Protocol \n"
554 "            SADMIND \n"
555 "            SCSI \n"
556 "            SEBEK - Kernel Data Capture \n"
557 "            SGI Mount Service \n"
558 "            SMB (Server Message Block Protocol) \n"
559 "            SMB MailSlot Protocol \n"
560 "            SMB Pipe Protocol \n"
561 "            SNA-over-Ethernet \n"
562 "            SNMP Multiplex Protocol \n"
563 "            SPNEGO-KRB5 \n"
564 "            SPRAY \n"
565 "            SS7 SCCP-User Adaptation Layer \n"
566 "            SSCOP \n"
567 "            SSH Protocol \n"
568 "            Secure Socket Layer \n"
569 "            Sequenced Packet eXchange \n"
570 "            Service Advertisement Protocol \n"
571 "            Service Location Protocol \n"
572 "            Session Announcement Protocol \n"
573 "            Session Description Protocol \n"
574 "            Session Initiation Protocol \n"
575 "            Session Initiation Protocol (SIP as raw text) \n"
576 "            Short Message Peer to Peer \n"
577 "            Signalling Connection Control Part \n"
578 "            Signalling Connection Control Part Management \n"
579 "            Simple Mail Transfer Protocol \n"
580 "            Simple Network Management Protocol \n"
581 "            Simple Traversal of UDP Through NAT \n"
582 "            Sinec H1 Protocol \n"
583 "            Skinny Client Control Protocol \n"
584 "            SliMP3 Communication Protocol \n"
585 "            Socks Protocol \n"
586 "            Spanning Tree Protocol \n"
587 "            Spnego \n"
588 "            Stream Control Transmission Protocol \n"
589 "            Synchronous Data Link Control (SDLC) \n"
590 "            Syslog message \n"
591 "            Systems Network Architecture \n"
592 "            Systems Network Architecture XID \n"
593 "            T38 \n"
594 "            TACACS \n"
595 "            TACACS+ \n"
596 "            TEREDO Tunneling IPv6 over UDP through NATs \n"
597 "            TPKT \n"
598 "            Tabular Data Stream \n"
599 "            Tazmen Sniffer Protocol \n"
600 "            Telnet \n"
601 "            Time Protocol \n"
602 "            Time Synchronization Protocol \n"
603 "            Token-Ring \n"
604 "            Token-Ring Media Access Control \n"
605 "            Transaction Capabilities Application Part \n"
606 "            Transmission Control Protocol \n"
607 "            Transparent Network Substrate Protocol \n"
608 "            Trivial File Transfer Protocol \n"
609 "            UDP Encapsulation of IPsec Packets \n"
610 "            Universal Computer Protocol \n"
611 "            User Datagram Protocol \n"
612 "            Virtual Router Redundancy Protocol \n"
613 "            Virtual Trunking Protocol \n"
614 "            WAP Binary XML \n"
615 "            Web Cache Coordination Protocol \n"
616 "            Wellfleet Breath of Life \n"
617 "            Wellfleet Compression \n"
618 "            Wellfleet HDLC \n"
619 "            Who \n"
620 "            Windows 2000 DNS \n"
621 "            Wireless Session Protocol \n"
622 "            Wireless Transaction Protocol \n"
623 "            Wireless Transport Layer Security \n"
624 "            X Display Manager Control Protocol \n"
625 "            X.25 \n"
626 "            X.25 over TCP \n"
627 "            X.29 \n"
628 "            X11 \n"
629 "            Xyplex \n"
630 "            Yahoo Messenger Protocol \n"
631 "            Yahoo YMSG Messenger Protocol \n"
632 "            Yellow Pages Bind \n"
633 "            Yellow Pages Passwd \n"
634 "            Yellow Pages Service \n"
635 "            Yellow Pages Transfer \n"
636 "            Zebra Protocol \n"
637 "            Zone Information Protocol \n"
638 "            eDonkey Protocol \n"
639 "            iSCSI \n"
640 "            iSNS \n"
641 " \n"
642 "   Q 1.3: Are there any plans to support {your favorite protocol}? \n"
643 " \n"
644 "   A: Support for particular protocols is added to Ethereal as a result \n"
645 "   of people contributing that support; no formal plans for adding \n"
646 "   support for particular protocols in particular future releases exist. \n"
647 " \n"
648 "   Q 1.4: Can Ethereal read capture files from {your favorite network \n"
649 "   analyzer}? \n"
650 " \n"
651 "   A: Support for particular protocols is added to Ethereal as a result \n"
652 "   of people contributing that support; no formal plans for adding \n"
653 "   support for particular protocols in particular future releases exist. \n"
654 " \n"
655 "   If a network analyzer writes out files in a format already supported \n"
656 "   by Ethereal (e.g., in libpcap format), Ethereal may already be able to \n"
657 "   read them, unless the analyzer has added its own proprietary \n"
658 "   extensions to that format. \n"
659 " \n"
660 "   If a network analyzer writes out files in its own format, or has added \n"
661 "   proprietary extensions to another format, in order to make Ethereal \n"
662 "   read captures from that network analyzer, we would either have to have \n"
663 "   a specification for the file format, or the extensions, sufficient to \n"
664 "   give us enough information to read the parts of the file relevant to \n"
665 "   Ethereal, or would need at least one capture file in that format AND a \n"
666 "   detailed textual analysis of the packets in that capture file (showing \n"
667 "   packet time stamps, packet lengths, and the top-level packet header) \n"
668 "   in order to reverse-engineer the file format. \n"
669 " \n"
670 "   Note that there is no guarantee that we will be able to \n"
671 "   reverse-engineer a capture file format. \n"
672 " \n"
673 "   Q 1.5: What devices can Ethereal use to capture packets? \n"
674 " \n"
675 "   A: Ethereal can read live data from Ethernet, Token-Ring, FDDI, serial \n"
676 "   (PPP and SLIP) (if the OS on which it's running allows Ethereal to do \n"
677 "   so), 802.11 wireless LAN (if the OS on which it's running allows \n"
678 "   Ethereal to do so), ATM connections (if the OS on which it's running \n"
679 "   allows Ethereal to do so), and the \"any\" device supported on Linux by \n"
680 "   recent versions of libpcap. See the list of supported capture media on \n"
681 "   various OSes for details (several items in there say \"Unknown\", which \n"
682 "   doesn't mean \"Ethereal can't capture on them\", it means \"we don't know \n"
683 "   whether it can capture on them\"; we expect that it will be able to \n"
684 "   capture on many of them, but we haven't tried it ourselves - if you \n"
685 "   try one of those types and it works, please send an update to \n"
686 "   ethereal-web[AT]ethereal.com). \n"
687 " \n"
688 "   It can also read a variety of capture file formats, including: \n"
689 "     * libpcap/tcpdump \n"
690 "     * Sun snoop/atmsnoop \n"
691 "     * Shomiti/Finisar Surveyor \n"
692 "     * LanAlyzer \n"
693 "     * DOS-based Sniffer (compressed and uncompressed) \n"
694 "     * MS Network Monitor \n"
695 "     * AIX iptrace \n"
696 "     * NetXray and Windows-based Sniffer \n"
697 "     * EtherPeek/TokenPeek/AiroPeek \n"
698 "     * RADCOM WAN/LAN analyzer \n"
699 "     * Lucent/Ascend debug output \n"
700 "     * Toshiba ISDN router \"snoop\" output \n"
701 "     * HPUX nettl \n"
702 "     * ISDN4BSD \"i4btrace\" utility. \n"
703 "     * Cisco Secure IDS \n"
704 "     * pppd log files (pppdump format) \n"
705 "     * VMS TCPIPtrace \n"
706 "     * DBS Etherwatch \n"
707 "     * Visual Networks' Visual UpTime \n"
708 "     * CoSine L2 debug \n"
709 " \n"
710 "   so that it can read traces from various network types, as captured by \n"
711 "   other applications or equipment, even if it cannot itself capture on \n"
712 "   those network types. \n"
713 " \n"
714 "   Q 1.6: How do you pronounce Ethereal? Where did the name come from? \n"
715 " \n"
716 "   A: The English pronunciation can be found in Merriam-Webster's online \n"
717 "   dictionary at \n"
718 "   http://www.m-w.com/cgi-bin/dictionary?book=Dictionary&va=ethereal. \n"
719 " \n"
720 "   According to the book \"Computer Networks\" by Andrew Tannenbaum, \n"
721 "   Ethernet was named after the \"luminiferous ether\" which was once \n"
722 "   thought to carry electromagnetic radiation. Taking that into \n"
723 "   consideration, Ethereal seemed like an appropriate name for an \n"
724 "   Ethernet analyzer. \n"
725 " \n"
726 "   DOWNLOADING ETHEREAL  \n"
727 "   Q 2.1: I downloaded the Win32 installer, but when I try to run it, I \n"
728 "   get an error. \n"
729 " \n"
730 "   A: The program you used to download it may have downloaded it \n"
731 "   incorrectly. Web browsers sometimes may do this. \n"
732 " \n"
733 "   Try downloading it with, for example: \n"
734 "     * Wget, for which Windows binaries are available on the SunSITE FTP \n"
735 "       server at sunsite.tk or Heiko Herold's windows wget spot - wGetGUI \n"
736 "       offers a GUI interface that uses wget; \n"
737 "     * WS_FTP from Ipswitch, \n"
738 "     * the ftp command that comes with Windows. \n"
739 " \n"
740 "   If you use the ftp command, make sure you do the transfer in binary \n"
741 "   mode rather than ASCII mode, by using the binary command before \n"
742 "   transferring the file. \n"
743 " \n"
744 "   Q 2.2: When I try to download the WinPcap driver and library, I can't \n"
745 "   get to the WinPcap Web site. \n"
746 " \n"
747 "   A: As is the case with all Web sites, that site won't necessarily \n"
748 "   always be accessible; the server may be down due to a problem or down \n"
749 "   for maintenance, or there may be a networking problem between you and \n"
750 "   the server. You should try again later, or try the local mirror or the \n"
751 "   Wiretapped.net mirror. \n"
752 " \n"
753 "   INSTALLING ETHEREAL  \n"
754 "   Q 3.1: I installed an Ethereal RPM, but Ethereal doesn't seem to be \n"
755 "   installed; only Tethereal is installed. \n"
756 " \n"
757 "   A: Older versions of the Red Hat RPMs for Ethereal put only the \n"
758 "   non-GUI components into the ethereal RPM, the fact that Ethereal is a \n"
759 "   GUI program nonwithstanding; newer versions make it a bit clearer by \n"
760 "   giving that RPM a name starting with ethereal-base. \n"
761 " \n"
762 "   In those older versions, there's a separate ethereal-gnome RPM that \n"
763 "   includes GUI components such as Ethereal itself, the fact that \n"
764 "   Ethereal doesn't use GNOME nonwithstanding; newer versions make it a \n"
765 "   bit clearer by giving that RPM a name starting with ethereal-gtk+. \n"
766 " \n"
767 "   Find the ethereal-gnome or ethereal-gtk+ RPM, and install that also. \n"
768 " \n"
769 "   BUILDING ETHEREAL  \n"
770 "   Q 4.1: The configure script can't find pcap.h or bpf.h, but I have \n"
771 "   libpcap installed. \n"
772 " \n"
773 "   A: Are you sure pcap.h and bpf.h are installed? The official \n"
774 "   distribution of libpcap only installs the libpcap.a library file when \n"
775 "   \"make install\" is run. To install pcap.h and bpf.h, you must run \"make \n"
776 "   install-incl\". If you're running Debian or Redhat, make sure you have \n"
777 "   the \"libpcap-dev\" or \"libpcap-devel\" packages installed. \n"
778 " \n"
779 "   It's also possible that pcap.h and bpf.h have been installed in a \n"
780 "   strange location. If this is the case, you may have to tweak \n"
781 "   aclocal.m4. \n"
782 " \n"
783 "   Q 4.2: Why do I get the error  \n"
784 " \n"
785 "     dftest_DEPENDENCIES was already defined in condition TRUE, which \n"
786 "     implies condition HAVE_PLUGINS_TRUE \n"
787 " \n"
788 "   when I try to build Ethereal from CVS or a CVS snapshot? \n"
789 " \n"
790 "   A: You probably have automake 1.5 installed on your machine (the \n"
791 "   command automake --version will report the version of automake on your \n"
792 "   machine). There is a bug in that version of automake that causes this \n"
793 "   problem; upgrade to a later version of automake (1.6 or later). \n"
794 " \n"
795 "   Q 4.3: The link fails with a number of \"Output line too long.\" \n"
796 "   messages followed by linker errors.  \n"
797 " \n"
798 "   A: The version of the sed command on your system is incapable of \n"
799 "   handling very long lines. On Solaris, for example, /usr/bin/sed has a \n"
800 "   line length limit too low to allow libtool to work; /usr/xpg4/bin/sed \n"
801 "   can handle it, as can GNU sed if you have it installed. \n"
802 " \n"
803 "   On Solaris, changing your command search path to search /usr/xpg4/bin \n"
804 "   before /usr/bin should make the problem go away; on any platform on \n"
805 ,
806
807 "   which you have this problem, installing GNU sed and changing your \n"
808 "   command path to search the directory in which it is installed before \n"
809 "   searching the directory with the version of sed that came with the OS \n"
810 "   should make the problem go away. \n"
811 " \n"
812 "   Q 4.4: The link fails on Solaris because plugin_list is undefined.  \n"
813 " \n"
814 "   A: This appears to be due to a problem with some versions of the GTK+ \n"
815 "   and GLib packages from www.sunfreeware.org; un-install those packages, \n"
816 "   and try getting the 1.2.10 versions from that site, or the versions \n"
817 "   from The Written Word, or the versions from Sun's GNOME distribution, \n"
818 "   or the versions from the supplemental software CD that comes with the \n"
819 "   Solaris media kit, or build them from source from the GTK Web site. \n"
820 "   Then re-run the configuration script, and try rebuilding Ethereal. (If \n"
821 "   you get the 1.2.10 versions from www.sunfreeware.org, and the problem \n"
822 "   persists, un-install them and try installing one of the other versions \n"
823 "   mentioned.) \n"
824 " \n"
825 "   Q 4.5: The build fails on Windows because of conflicts between \n"
826 "   winsock.h and winsock2.h.  \n"
827 " \n"
828 "   A: As of Ethereal 0.9.5, you must install WinPcap 2.3 or later, and \n"
829 "   the corresponding version of the developer's pack, in order to be able \n"
830 "   to compile Ethereal; it will not compile with older versions of the \n"
831 "   developer's pack. The symptoms of this failure are conflicts between \n"
832 "   definitions in winsock.h and in winsock2.h; Ethereal uses winsock2.h, \n"
833 "   but pre-2.3 versions of the WinPcap developer's packet use winsock.h. \n"
834 "   (2.3 uses winsock2.h, so if Ethereal were to use winsock.h, it would \n"
835 "   not be able to build with current versions of the WinPcap developer's \n"
836 "   pack.) \n"
837 " \n"
838 "   Note that the installed version of the developer's pack should be the \n"
839 "   same version as the version of WinPcap you have installed. \n"
840 " \n"
841 "   USING ETHEREAL  \n"
842 "   Q 5.1: When I use Ethereal to capture packets, I see only packets to \n"
843 "   and from my machine, or I'm not seeing all the traffic I'm expecting \n"
844 "   to see from or to the machine I'm trying to monitor. \n"
845 " \n"
846 "   A: This might be because the interface on which you're capturing is \n"
847 "   plugged into a switch; on a switched network, unicast traffic between \n"
848 "   two ports will not necessarily appear on other ports - only broadcast \n"
849 "   and multicast traffic will be sent to all ports. \n"
850 " \n"
851 "   Note that even if your machine is plugged into a hub, the \"hub\" may be \n"
852 "   a switched hub, in which case you're still on a switched network. \n"
853 " \n"
854 "   Note also that on the Linksys Web site, they say that their \n"
855 "   auto-sensing hubs \"broadcast the 10Mb packets to the port that operate \n"
856 "   at 10Mb only and broadcast the 100Mb packets to the ports that operate \n"
857 "   at 100Mb only\", which would indicate that if you sniff on a 10Mb port, \n"
858 "   you will not see traffic coming sent to a 100Mb port, and vice versa. \n"
859 "   This problem has also been reported for Netgear dual-speed hubs, and \n"
860 "   may exist for other \"auto-sensing\" or \"dual-speed\" hubs. \n"
861 " \n"
862 "   Some switches have the ability to replicate all traffic on all ports \n"
863 "   to a single port so that you can plug your analyzer into that single \n"
864 "   port to sniff all traffic. You would have to check the documentation \n"
865 "   for the switch to see if this is possible and, if so, to see how to do \n"
866 "   this. See, for example: \n"
867 "     * this documentation from Cisco on the Switched Port Analyzer (SPAN) \n"
868 "       feature on Catalyst switches; \n"
869 "     * documentation from HP on how to set \"monitoring\"/\"mirroring\" on \n"
870 "       ports on the console for HP Advancestack Switch 208 and 224; \n"
871 "     * the \"Network Monitoring Port Features\" section of chapter 6 of \n"
872 "       documentation from HP for HP ProCurve Switches 1600M, 2424M, \n"
873 "       4000M, and 8000M; \n"
874 "     * the \"Switch Port-Mirroring\" section of chapter 6 of documentation \n"
875 "       from Extreme Networks for their Summit 200 switches; \n"
876 "     * the documentation on \"Configuring Port Mirroring and Monitoring\" \n"
877 "       in Foundry Networks' documentation for their FastIron Edge \n"
878 "       Switches; \n"
879 "     * the documentation on \"Configuring Port Mirroring and Monitoring\" \n"
880 "       in Foundry Networks' documentation for their BigIron MG8 Layer 3 \n"
881 "       Switches; \n"
882 "     * the \"Port Monitor\" subsection of the \"Status Monitor and \n"
883 "       Statistics\" section of the documentation from Foundry Networks for \n"
884 "       their EdgeIron 4802F and 10GC2F switches; \n"
885 "     * the \"Configuring Port Mirroring\" section of chapter 3 of the \n"
886 "       documentation from Foundry Networks for their EdgeIron 24G, \n"
887 "       2402CF, and 4802CF switches; \n"
888 "     * the documentation on \"Configuring Port Mirroring and Monitoring\" \n"
889 "       in Foundry Networks' documentation for their other switches and \n"
890 "       metro routers. \n"
891 " \n"
892 "   Note also that many firewall/NAT boxes have a switch built into them; \n"
893 "   this includes many of the \"cable/DSL router\" boxes. If you have a box \n"
894 "   of that sort, that has a switch with some number of Ethernet ports \n"
895 "   into which you plug machines on your network, and another Ethernet \n"
896 "   port used to connect to a cable or DSL modem, you can, at least, sniff \n"
897 "   traffic between the machines on your network and the Internet by \n"
898 "   plugging the Ethernet port on the router going to the modem, the \n"
899 "   Ethernet port on the modem, and the machine on which you're running \n"
900 "   Ethereal into a hub (make sure it's not a switching hub, and that, if \n"
901 "   it's a dual-speed hub, all three of those ports are running at the \n"
902 "   same speed. \n"
903 " \n"
904 "   If your machine is not plugged into a switched network or a dual-speed \n"
905 "   hub, or it is plugged into a switched network but the port is set up \n"
906 "   to have all traffic replicated to it, the problem might be that the \n"
907 "   network interface on which you're capturing doesn't support \n"
908 "   \"promiscuous\" mode, or because your OS can't put the interface into \n"
909 "   promiscuous mode. Normally, network interfaces supply to the host \n"
910 "   only: \n"
911 "     * packets sent to one of that host's link-layer addresses; \n"
912 "     * broadcast packets; \n"
913 "     * multicast packets sent to a multicast address that the host has \n"
914 "       configured the interface to accept. \n"
915 " \n"
916 "   Most network interfaces can also be put in \"promiscuous\" mode, in \n"
917 "   which they supply to the host all network packets they see. Ethereal \n"
918 "   will try to put the interface on which it's capturing into promiscuous \n"
919 "   mode unless the \"Capture packets in promiscuous mode\" option is turned \n"
920 "   off in the \"Capture Options\" dialog box, and Tethereal will try to put \n"
921 "   the interface on which it's capturing into promiscuous mode unless the \n"
922 "   -p option was specified. However, some network interfaces don't \n"
923 "   support promiscuous mode, and some OSes might not allow interfaces to \n"
924 "   be put into promiscuous mode. \n"
925 " \n"
926 "   If the interface is not running in promiscuous mode, it won't see any \n"
927 "   traffic that isn't intended to be seen by your machine. It will see \n"
928 "   broadcast packets, and multicast packets sent to a multicast MAC \n"
929 "   address the interface is set up to receive. \n"
930 " \n"
931 "   You should ask the vendor of your network interface whether it \n"
932 "   supports promiscuous mode. If it does, you should ask whoever supplied \n"
933 "   the driver for the interface (the vendor, or the supplier of the OS \n"
934 "   you're running on your machine) whether it supports promiscuous mode \n"
935 "   with that network interface. \n"
936 " \n"
937 "   In the case of token ring interfaces, the drivers for some of them, on \n"
938 "   Windows, may require you to enable promiscuous mode in order to \n"
939 "   capture in promiscuous mode. Ask the vendor of the card how to do \n"
940 "   this, or see, for example, this information on promiscuous mode on \n"
941 "   some Madge token ring adapters (note that those cards can have \n"
942 "   promiscuous mode disabled permanently, in which case you can't enable \n"
943 "   it). \n"
944 " \n"
945 "   In the case of wireless LAN interfaces, it appears that, when those \n"
946 "   interfaces are promiscuously sniffing, they're running in a \n"
947 "   significantly different mode from the mode that they run in when \n"
948 "   they're just acting as network interfaces (to the extent that it would \n"
949 "   be a significant effor for those drivers to support for promiscuously \n"
950 "   sniffing and acting as regular network interfaces at the same time), \n"
951 "   so it may be that Windows drivers for those interfaces don't support \n"
952 "   promiscuous mode. \n"
953 " \n"
954 "   Q 5.2: I can't see any TCP packets other than packets to and from my \n"
955 "   machine, even though another analyzer on the network sees those \n"
956 "   packets. \n"
957 " \n"
958 "   A: You're probably not seeing any packets other than unicast packets \n"
959 "   to or from your machine, and broadcast and multicast packets; a switch \n"
960 "   will normally send to a port only unicast traffic sent to the MAC \n"
961 "   address for the interface on that port, and broadcast and multicast \n"
962 "   traffic - it won't send to that port unicast traffic sent to a MAC \n"
963 "   address for some other interface - and a network interface not in \n"
964 "   promiscuous mode will receive only unicast traffic sent to the MAC \n"
965 "   address for that interface, broadcast traffic, and multicast traffic \n"
966 "   sent to a multicast MAC address the interface is set up to receive. \n"
967 " \n"
968 "   TCP doesn't use broadcast or multicast, so you will only see your own \n"
969 "   TCP traffic, but UDP services may use broadcast or multicast so you'll \n"
970 "   see some UDP traffic - however, this is not a problem with TCP \n"
971 "   traffic, it's a problem with unicast traffic, as you also won't see \n"
972 "   all UDP traffic between other machines. \n"
973 " \n"
974 "   I.e., this is probably the same question as this earlier one; see the \n"
975 "   response to that question. \n"
976 " \n"
977 "   Q 5.3: I'm only seeing ARP packets when I try to capture traffic. \n"
978 " \n"
979 "   A: You're probably on a switched network, and running Ethereal on a \n"
980 "   machine that's not sending traffic to the switch and not being sent \n"
981 "   any traffic from other machines on the switch. ARP packets are often \n"
982 "   broadcast packets, which are sent to all switch ports. \n"
983 " \n"
984 "   I.e., this is probably the same question as this earlier one; see the \n"
985 "   response to that question. \n"
986 " \n"
987 "   Q 5.4: I'm running Ethereal on Windows; why does some network \n"
988 "   interface on my machine not show up in the list of interfaces in the \n"
989 "   \"Interface:\" field in the dialog box popped up by \"Capture->Start\", \n"
990 "   and/or why does Ethereal give me an error if I try to capture on that \n"
991 "   interface?  \n"
992 " \n"
993 "   A: If you are running Ethereal on Windows NT 4.0, Windows 2000, \n"
994 "   Windows XP, or Windows Server, and this is the first time you have run \n"
995 "   a WinPcap-based program (such as Ethereal, or Tethereal, or WinDump, \n"
996 "   or Analyzer, or...) since the machine was rebooted, you need to run \n"
997 "   that program from an account with administrator privileges; once you \n"
998 "   have run such a program, you will not need administrator privileges to \n"
999 "   run any such programs until you reboot. \n"
1000 " \n"
1001 "   If you are running on Windows 95/98/Me, or if you are running on \n"
1002 "   Windows NT 4.0/2000/XP/Server and have administrator privileges or a \n"
1003 "   WinPcap-based program has been run with those privileges since the \n"
1004 "   machine rebooted, then note that Ethereal relies on the WinPcap \n"
1005 "   library, on the WinPcap device driver, and on the facilities that come \n"
1006 "   with the OS on which it's running in order to do captures. \n"
1007 " \n"
1008 "   Therefore, if the OS, the WinPcap library, or the WinPcap driver don't \n"
1009 "   support capturing on a particular network interface device, Ethereal \n"
1010 "   won't be able to capture on that device. \n"
1011 " \n"
1012 "   Note that: \n"
1013 "    1. 2.02 and earlier versions of the WinPcap driver and library that \n"
1014 "       Ethereal uses for packet capture didn't support Token Ring \n"
1015 "       interfaces; versions 2.1 and later support Token Ring, and the \n"
1016 "       current version of Ethereal works with (and, in fact, requires) \n"
1017 "       WinPcap 2.1 or later. \n"
1018 "       If you are having problems capturing on Token Ring interfaces, and \n"
1019 "       you have WinPcap 2.02 or an earlier version of WinPcap installed, \n"
1020 "       you should uninstall WinPcap, download and install the current \n"
1021 "       version of WinPcap, and then install the latest version of \n"
1022 "       Ethereal. \n"
1023 "    2. On Windows 95, 98, or Me, sometimes more than one interface will \n"
1024 "       be given the same name; if that is the case, you will only be able \n"
1025 "       to capture on one of those interfaces - it's not clear to which \n"
1026 "       one the name, when used in a WinPcap-based application, will \n"
1027 "       refer. For example, if you have a PPP serial interface and a VPN \n"
1028 "       interface, they might show up with the same name, for example \n"
1029 "       \"ppp-mac\", and if you try to capture on \"ppp-mac\", it might not \n"
1030 "       capture on the interface you're currently using. In that case, you \n"
1031 "       might, for example, have to remove the VPN interface from the \n"
1032 "       system in order to capture on the PPP serial interface. \n"
1033 "    3. WinPcap doesn't support PPP WAN interfaces on Windows \n"
1034 "       NT/2000/XP/Server, so Ethereal cannot capture packets on those \n"
1035 "       devices when running on Windows NT/2000/XP/Server. Regular dial-up \n"
1036 "       lines, ISDN lines, and various other lines such as T1/E1 lines are \n"
1037 "       all PPP interfaces. This may cause the interface not to show up on \n"
1038 "       the list of interfaces in the \"Capture Options\" dialog. \n"
1039 "    4. WinPcap prior to 3.0 does not support multiprocessor machines \n"
1040 "       (note that machines with a single multi-threaded processor, such \n"
1041 "       as Intel's new multi-threaded x86 processors, are multiprocessor \n"
1042 "       machines as far as the OS and WinPcap are concerned), and recent \n"
1043 "       2.x versions of WinPcap refuse to operate if they detect that \n"
1044 "       they're running on a multiprocessor machine, which means that they \n"
1045 "       may not show any network interfaces. You will need to use WinPcap \n"
1046 "       3.0 to capture on a multiprocessor machine. \n"
1047 " \n"
1048 "   If an interface doesn't show up in the list of interfaces in the \n"
1049 "   \"Interface:\" field, and you know the name of the interface, try \n"
1050 "   entering that name in the \"Interface:\" field and capturing on that \n"
1051 "   device. \n"
1052 " \n"
1053 "   If the attempt to capture on it succeeds, the interface is somehow not \n"
1054 "   being reported by the mechanism Ethereal uses to get a list of \n"
1055 "   interfaces; please report this to ethereal-dev@ethereal.com giving \n"
1056 "   full details of the problem, including \n"
1057 "     * the operating system you're using, and the version of that \n"
1058 "       operating system; \n"
1059 "     * the type of network device you're using. \n"
1060 " \n"
1061 "   If you are having trouble capturing on a particular network interface, \n"
1062 "   first try capturing on that device with WinDump; see the WinDump Web \n"
1063 "   site or the local mirror of the WinDump Web site for information on \n"
1064 "   using WinDump. \n"
1065 " \n"
1066 "   If you can capture on the interface with WinDump, send mail to \n"
1067 "   ethereal-users@ethereal.com giving full details of the problem, \n"
1068 "   including \n"
1069 "     * the operating system you're using, and the version of that \n"
1070 "       operating system; \n"
1071 "     * the type of network device you're using; \n"
1072 "     * the error message you get from Ethereal. \n"
1073 " \n"
1074 "   If you cannot capture on the interface with WinDump, this is almost \n"
1075 "   certainly a problem with one or more of: \n"
1076 "     * the operating system you're using; \n"
1077 "     * the device driver for the interface you're using; \n"
1078 "     * the WinPcap library and/or the WinPcap device driver; \n"
1079 " \n"
1080 "   so first check the WinPcap FAQ, the local mirror of that FAQ, or the \n"
1081 "   Wiretapped.net mirror of that FAQ, to see if your problem is mentioned \n"
1082 "   there. If not, then see the WinPcap support page (or the local mirror \n"
1083 "   of that page) - check the \"Submitting bugs\" section. \n"
1084 " \n"
1085 "   You may also want to ask the ethereal-users@ethereal.com and the \n"
1086 "   winpcap-users@winpcap.polito.it mailing lists to see if anybody \n"
1087 "   happens to know about the problem and know a workaround or fix for the \n"
1088 "   problem. (Note that you will have to subscribe to that list in order \n"
1089 "   to be allowed to mail to it; see the WinPcap support page, or the \n"
1090 "   local mirror of that page, for information on the mailing list.) In \n"
1091 "   your mail, please give full details of the problem, as described \n"
1092 "   above, and also indicate that the problem occurs with WinDump, not \n"
1093 "   just with Ethereal. \n"
1094 " \n"
1095 "   Q 5.5: I'm running on a UNIX-flavored OS; why does some network \n"
1096 "   interface on my machine not show up in the list of interfaces in the \n"
1097 "   \"Interface:\" field in the dialog box popped up by \"Capture->Start\", \n"
1098 "   and/or why does Ethereal give me an error if I try to capture on that \n"
1099 "   interface?  \n"
1100 " \n"
1101 "   A: You may need to run Ethereal from an account with sufficient \n"
1102 "   privileges to capture packets, such as the super-user account. Only \n"
1103 "   those interfaces that Ethereal can open for capturing show up in that \n"
1104 "   list; if you don't have sufficient privileges to capture on any \n"
1105 "   interfaces, no interfaces will show up in the list. \n"
1106 " \n"
1107 "   If you are running Ethereal from an account with sufficient \n"
1108 "   privileges, then note that Ethereal relies on the libpcap library, and \n"
1109 "   on the facilities that come with the OS on which it's running in order \n"
1110 "   to do captures. \n"
1111 " \n"
1112 "   Therefore, if the OS or the libpcap library don't support capturing on \n"
1113 "   a particular network interface device, Ethereal won't be able to \n"
1114 "   capture on that device. \n"
1115 " \n"
1116 "   On Linux, note that you need to have \"packet socket\" support enabled \n"
1117 "   in your kernel; see the \"Packet socket\" item in the Linux \n"
1118 "   \"Configure.help\" file. \n"
1119 " \n"
1120 "   On BSD, note that you need to have BPF support enabled in your kernel; \n"
1121 "   see the documentation for your system for information on how to enable \n"
1122 "   BPF support (if it's not enabled by default on your system). \n"
1123 " \n"
1124 "   On DEC OSF/1, Digital UNIX, or Tru64 UNIX, note that you need to have \n"
1125 "   packet filtering support in your kernel; the doconfig command will \n"
1126 "   allow you to configure and build a new kernel with that option. \n"
1127 " \n"
1128 "   On Solaris, note that libpcap 0.6.2 and earlier didn't support Token \n"
1129 "   Ring interfaces; the current version, 0.7.2, does support Token Ring, \n"
1130 "   and the current version of Ethereal works with libcap 0.7.2 and later. \n"
1131 " \n"
1132 "   If an interface doesn't show up in the list of interfaces in the \n"
1133 "   \"Interface:\" field, and you know the name of the interface, try \n"
1134 "   entering that name in the \"Interface:\" field and capturing on that \n"
1135 "   device. \n"
1136 " \n"
1137 "   If the attempt to capture on it succeeds, the interface is somehow not \n"
1138 "   being reported by the mechanism Ethereal uses to get a list of \n"
1139 "   interfaces; please report this to ethereal-dev@ethereal.com giving \n"
1140 "   full details of the problem, including \n"
1141 "     * the operating system you're using, and the version of that \n"
1142 "       operating system (for Linux, give both the version number of the \n"
1143 "       kernel and the name and version number of the distribution you're \n"
1144 "       using); \n"
1145 "     * the type of network device you're using. \n"
1146 " \n"
1147 "   If you are having trouble capturing on a particular network interface, \n"
1148 "   and you've made sure that (on platforms that require it) you've \n"
1149 "   arranged that packet capture support is present, as per the above, \n"
1150 "   first try capturing on that device with tcpdump. \n"
1151 " \n"
1152 "   If you can capture on the interface with tcpdump, send mail to \n"
1153 "   ethereal-users@ethereal.com giving full details of the problem, \n"
1154 "   including \n"
1155 "     * the operating system you're using, and the version of that \n"
1156 "       operating system (for Linux, give both the version number of the \n"
1157 "       kernel and the name and version number of the distribution you're \n"
1158 "       using); \n"
1159 "     * the type of network device you're using; \n"
1160 "     * the error message you get from Ethereal. \n"
1161 " \n"
1162 "   If you cannot capture on the interface with tcpdump, this is almost \n"
1163 "   certainly a problem with one or more of: \n"
1164 "     * the operating system you're using; \n"
1165 "     * the device driver for the interface you're using; \n"
1166 "     * the libpcap library; \n"
1167 " \n"
1168 "   so you should report the problem to the company or organization that \n"
1169 "   produces the OS (in the case of a Linux distribution, report the \n"
1170 "   problem to whoever produces the distribution). \n"
1171 " \n"
1172 "   You may also want to ask the ethereal-users@ethereal.com and the \n"
1173 "   tcpdump-workers@tcpdump.org mailing lists to see if anybody happens to \n"
1174 "   know about the problem and know a workaround or fix for the problem. \n"
1175 "   In your mail, please give full details of the problem, as described \n"
1176 "   above, and also indicate that the problem occurs with tcpdump not just \n"
1177 "   with Ethereal. \n"
1178 " \n"
1179 "   Q 5.6: How do I put an interface into promiscuous mode? \n"
1180 " \n"
1181 "   A: By not disabling promiscuous mode when running Ethereal or \n"
1182 "   Tethereal. \n"
1183 " \n"
1184 "   Note, however, that: \n"
1185 "     * the form of promiscuous mode that libpcap (the library that \n"
1186 "       programs such as tcpdump, Ethereal, etc. use to do packet capture) \n"
1187 "       turns on will not necessarily be shown if you run ifconfig on the \n"
1188 "       interface on a UNIX system; \n"
1189 "     * some network interfaces might not support promiscuous mode, and \n"
1190 "       some drivers might not allow promiscuous mode to be turned on - \n"
1191 "       see this earlier question for more information on that; \n"
1192 "     * the fact that you're not seeing any traffic, or are only seeing \n"
1193 "       broadcast traffic, or aren't seeing any non-broadcast traffic \n"
1194 "       other than traffic to or from the machine running Ethereal, does \n"
1195 "       not mean that promiscuous mode isn't on - see this earlier \n"
1196 "       question for more information on that. \n"
1197 " \n"
1198 "   I.e., this is probably the same question as this earlier one; see the \n"
1199 "   response to that question. \n"
1200 " \n"
1201 "   Q 5.7: I can set a display filter just fine, but capture filters don't \n"
1202 "   work. \n"
1203 " \n"
1204 "   A: Capture filters currently use a different syntax than display \n"
1205 "   filters. Here's the corresponding section from the ethereal(1) man \n"
1206 "   page: \n"
1207 ,
1208
1209 " \n"
1210 "   \"Display filters in Ethereal are very powerful; more fields are \n"
1211 "   filterable in Ethereal than in other protocol analyzers, and the \n"
1212 "   syntax you can use to create your filters is richer. As Ethereal \n"
1213 "   progresses, expect more and more protocol fields to be allowed in \n"
1214 "   display filters. \n"
1215 " \n"
1216 "   Packet capturing is performed with the pcap library. The capture \n"
1217 "   filter syntax follows the rules of the pcap library. This syntax is \n"
1218 "   different from the display filter syntax.\" \n"
1219 " \n"
1220 "   The capture filter syntax used by libpcap can be found in the \n"
1221 "   tcpdump(8) man page. \n"
1222 " \n"
1223 "   Q 5.8: I'm entering valid capture filters, but I still get \"parse \n"
1224 "   error\" errors. \n"
1225 " \n"
1226 "   A: There is a bug in some versions of libpcap/WinPcap that cause it to \n"
1227 "   report parse errors even for valid expressions if a previous filter \n"
1228 "   expression was invalid and got a parse error. \n"
1229 " \n"
1230 "   Try exiting and restarting Ethereal; if you are using a version of \n"
1231 "   libpcap/WinPcap with this bug, this will \"erase\" its memory of the \n"
1232 "   previous parse error. If the capture filter that got the \"parse error\" \n"
1233 "   now works, the earlier error with that filter was probably due to this \n"
1234 "   bug. \n"
1235 " \n"
1236 "   The bug was fixed in libpcap 0.6; 0.4[.x] and 0.5[.x] versions of \n"
1237 "   libpcap have this bug, but 0.6[.x] and later versions don't. \n"
1238 " \n"
1239 "   Versions of WinPcap prior to 2.3 are based on pre-0.6 versions of \n"
1240 "   libpcap, and have this bug; WinPcap 2.3 is based on libpcap 0.6.2, and \n"
1241 "   doesn't have this bug. \n"
1242 " \n"
1243 "   If you are running Ethereal on a UNIX-flavored platform, run \"ethereal \n"
1244 "   -v\", or select \"About Ethereal...\" from the \"Help\" menu in Ethereal, \n"
1245 "   to see what version of libpcap it's using. If it's not 0.6 or later, \n"
1246 "   you will need either to upgrade your OS to get a later version of \n"
1247 "   libpcap, or will need to build and install a later version of libpcap \n"
1248 "   from the tcpdump.org Web site and then recompile Ethereal from source \n"
1249 "   with that later version of libpcap. \n"
1250 " \n"
1251 "   If you are running Ethereal on Windows with a pre-2.3 version of \n"
1252 "   WinPcap, you will need to un-install WinPcap and then download and \n"
1253 "   install WinPcap 2.3. \n"
1254 " \n"
1255 "   Q 5.9: I saved a filter and tried to use its name to filter the \n"
1256 "   display, but I got an \"Unexpected end of filter string\" error. \n"
1257 " \n"
1258 "   A: You cannot use the name of a saved display filter as a filter. To \n"
1259 "   filter the display, you can enter a display filter expression - not \n"
1260 "   the name of a saved display filter - in the \"Filter:\" box at the \n"
1261 "   bottom of the display, and type the key or press the \"Apply\" button \n"
1262 "   (that does not require you to have a saved filter), or, if you want to \n"
1263 "   use a saved filter, you can press the \"Filter:\" button, select the \n"
1264 "   filter in the dialog box that pops up, and press the \"OK\" button. \n"
1265 " \n"
1266 "   Q 5.10: Why am I seeing lots of packets with incorrect TCP checksums? \n"
1267 " \n"
1268 "   A: If the packets that have incorrect TCP checksums are all being sent \n"
1269 "   by the machine on which Ethereal is running, this is probably because \n"
1270 "   the network interface on which you're capturing does TCP checksum \n"
1271 "   offloading. That means that the TCP checksum is added to the packet by \n"
1272 "   the network interface, not by the OS's TCP/IP stack; when capturing on \n"
1273 "   an interface, packets being sent by the host on which you're capturing \n"
1274 "   are directly handed to the capture interface by the OS, which means \n"
1275 "   that they are handed to the capture interface without a TCP checksum \n"
1276 "   being added to them. \n"
1277 " \n"
1278 "   The only way to prevent this from happening would be to disable TCP \n"
1279 "   checksum offloading, but \n"
1280 "    1. that might not even be possible on some OSes; \n"
1281 "    2. that could reduce networking performance significantly. \n"
1282 " \n"
1283 "   However, you can disable the check that Ethereal does of the TCP \n"
1284 "   checksum, so that it won't report any packets as having TCP checksum \n"
1285 "   errors, and so that it won't refuse to do TCP reassembly due to a \n"
1286 "   packet having an incorrect TCP checksum. That can be set as an \n"
1287 "   Ethereal preference by selecting \"Preferences\" from the \"Edit\" menu, \n"
1288 "   opening up the \"Protocols\" list in the left-hand pane of the \n"
1289 "   \"Preferences\" dialog box, selecting \"TCP\", from that list, turning off \n"
1290 "   the \"Check the validity of the TCP checksum when possible\" option, \n"
1291 "   clicking \"Save\" if you want to save that setting in your preference \n"
1292 "   file, and clicking \"OK\". \n"
1293 " \n"
1294 "   It can also be set on the Ethereal or Tethereal command line with a -o \n"
1295 "   tcp.check_checksum:false command-line flag, or manually set in your \n"
1296 "   preferences file by adding a tcp.check_checksum:false line. \n"
1297 " \n"
1298 "   Q 5.11: I've just installed Ethereal, and the traffic on my local LAN \n"
1299 "   is boring. \n"
1300 " \n"
1301 "   A: We have a collection of strange and exotic sample capture files at \n"
1302 "   http://www.ethereal.com/sample/ \n"
1303 " \n"
1304 "   Q 5.12: When I run Ethereal on Solaris 8, it dies with a Bus Error \n"
1305 "   when I start it. \n"
1306 " \n"
1307 "   A: Some versions of the GTK+ library from www.sunfreeware.org appear \n"
1308 "   to be buggy, causing Ethereal to drop core with a Bus Error. \n"
1309 "   Un-install those packages, and try getting the 1.2.10 version from \n"
1310 "   that site, or the version from The Written Word, or the version from \n"
1311 "   Sun's GNOME distribution, or the version from the supplemental \n"
1312 "   software CD that comes with the Solaris media kit, or build it from \n"
1313 "   source from the GTK Web site. Update the GLib library to the 1.2.10 \n"
1314 "   version, from the same source, as well. (If you get the 1.2.10 \n"
1315 "   versions from www.sunfreeware.org, and the problem persists, \n"
1316 "   un-install them and try installing one of the other versions \n"
1317 "   mentioned.) \n"
1318 " \n"
1319 "   Similar problems may exist with older versions of GTK+ for earlier \n"
1320 "   versions of Solaris. \n"
1321 " \n"
1322 "   Q 5.13: When I run Ethereal on Windows NT, it dies with a Dr. Watson \n"
1323 "   error, reporting an \"Integer division by zero\" exception, when I start \n"
1324 "   it. \n"
1325 " \n"
1326 "   A: In at least some case, this appears to be due to using the default \n"
1327 "   VGA driver; if that's not the correct driver for your video card, try \n"
1328 "   running the correct driver for your video card. \n"
1329 " \n"
1330 "   Q 5.14: When I try to run Ethereal, it complains about \n"
1331 "   sprint_realloc_objid being undefined. \n"
1332 " \n"
1333 "   A: Ethereal can only be linked with version 4.2.2 or later of UCD \n"
1334 "   SNMP. Your version of Ethereal was dynamically linked with such a \n"
1335 "   version of UCD SNMP; however, you have an older version of UCD SNMP \n"
1336 "   installed, which means that when Ethereal is run, it tries to link to \n"
1337 "   the older version, and fails. You will have to replace that version of \n"
1338 "   UCD SNMP with version 4.2.2 or a later version. \n"
1339 " \n"
1340 "   Q 5.15: I'm running Ethereal on Linux; why do my time stamps have only \n"
1341 "   100ms resolution, rather than 1us resolution? \n"
1342 " \n"
1343 "   A: Ethereal gets time stamps from libpcap/WinPcap, and libpcap/WinPcap \n"
1344 "   get them from the OS kernel, so Ethereal - and any other program using \n"
1345 "   libpcap, such as tcpdump - is at the mercy of the time stamping code \n"
1346 "   in the OS for time stamps. \n"
1347 " \n"
1348 "   At least on x86-based machines, Linux can get high-resolution time \n"
1349 "   stamps on newer processors with the Time Stamp Counter (TSC) register; \n"
1350 "   for example, Intel x86 processors, starting with the Pentium Pro, and \n"
1351 "   including all x86 processors since then, have had a TSC, and other \n"
1352 "   vendors probably added the TSC at some point to their families of x86 \n"
1353 "   processors. \n"
1354 " \n"
1355 "   The Linux kernel must be configured with the CONFIG_X86_TSC option \n"
1356 "   enabled in order to use the TSC. Make sure this option is enabled in \n"
1357 "   your kernel. \n"
1358 " \n"
1359 "   In addition, some Linux distributions may have bugs in their versions \n"
1360 "   of the kernel that cause packets not to be given high-resolution time \n"
1361 "   stamps even if the TSC is enabled. See, for example, bug 61111 for Red \n"
1362 "   Hat Linux 7.2. If your distribution has a bug such as this, you may \n"
1363 "   have to run a standard kernel from kernel.org in order to get \n"
1364 "   high-resolution time stamps. \n"
1365 " \n"
1366 "   Q 5.16: I'm capturing packets on {Windows 95, Windows 98, Windows Me}; \n"
1367 "   why are the time stamps on packets wrong?  \n"
1368 " \n"
1369 "   A: This is due to a bug in WinPcap. The bug should be fixed in WinPcap \n"
1370 "   3.0. \n"
1371 " \n"
1372 "   Q 5.17: When I try to run Ethereal on Windows, it fails to run because \n"
1373 "   it can't find packet.dll. \n"
1374 " \n"
1375 "   A: In older versions of Ethereal, there were two binary distributions \n"
1376 "   available for Windows, one that supported capturing packets, and one \n"
1377 "   that didn't. The version that supported capturing packets required \n"
1378 "   that you install the WinPcap driver; if you didn't install it, it \n"
1379 "   would fail to run because it couldn't find packet.dll. \n"
1380 " \n"
1381 "   The current version of Ethereal has only one binary distribution for \n"
1382 "   Windows; that version will check whether WinPcap is installed and, if \n"
1383 "   it's not, will disable support for packet capture. \n"
1384 " \n"
1385 "   The WinPcap driver and libraries can be downloaded from the WinPcap \n"
1386 "   Web site, the local mirror of the WinPcap Web site, or the \n"
1387 "   Wiretapped.net mirror of the WinPcap site. \n"
1388 " \n"
1389 "   Q 5.18: I'm running Ethereal on Windows NT/2000/XP/Server; my machine \n"
1390 "   has a PPP (dial-up POTS, ISDN, etc.) interface, and it shows up in the \n"
1391 "   \"Interface\" item in the \"Capture Options\" dialog box. Why can no \n"
1392 "   packets be sent on or received from that network while I'm trying to \n"
1393 "   capture traffic on that interface? \n"
1394 " \n"
1395 "   A: WinPcap doesn't support PPP WAN interfaces on Windows \n"
1396 "   NT/2000/XP/Server; one symptom that may be seen is that attempts to \n"
1397 "   capture in promiscuous mode on the interface cause the interface to be \n"
1398 "   incapable of sending or receiving packets. You can disable promiscuous \n"
1399 "   mode using the -p command-line flag or the item in the \"Capture \n"
1400 "   Preferences\" dialog box, but this may mean that outgoing packets, or \n"
1401 "   incoming packets, won't be seen in the capture. \n"
1402 " \n"
1403 "   Q 5.19: I'm running Ethereal on Windows 95/98/Me, on a machine with \n"
1404 "   more than one network adapter of the same type; Ethereal shows all of \n"
1405 "   those adapters with the same name, but I can't use any of those \n"
1406 "   adapters other than the first one. \n"
1407 " \n"
1408 "   A: Unfortunately, Windows 95/98/Me gives the same name to multiple \n"
1409 "   instances of the type of same network adapter. Therefore, WinPcap \n"
1410 "   cannot distinguish between them, so a WinPcap-based application can \n"
1411 "   capture only on the first such interface; Ethereal is a \n"
1412 "   libpcap/WinPcap-based application. \n"
1413 " \n"
1414 "   Q 5.20: I'm running Ethereal on Windows, and I'm not seeing any \n"
1415 "   traffic being sent by the machine running Ethereal. \n"
1416 " \n"
1417 "   A: If you are running some form of VPN client software, it might be \n"
1418 "   causing this problem; people have seen this problem when they have \n"
1419 "   Check Point's VPN software installed on their machine. If that's the \n"
1420 "   cause of the problem, you will have to remove the VPN software in \n"
1421 "   order to have Ethereal (or any other application using WinPcap) see \n"
1422 "   outgoing packets; unfortunately, neither we nor the WinPcap developers \n"
1423 "   know any way to make WinPcap and the VPN software work well together. \n"
1424 " \n"
1425 "   Also, some drivers for Windows (especially some wireless network \n"
1426 "   interface drivers) apparently do not, when running in promiscuous \n"
1427 "   mode, arrange that outgoing packets are delivered to the software that \n"
1428 "   requested that the interface run promiscuously; try turning \n"
1429 "   promiscuous mode off. \n"
1430 " \n"
1431 "   Q 5.21: I'm trying to capture traffic but I'm not seeing any. \n"
1432 " \n"
1433 "   A: Is the machine running Ethereal sending out any traffic on the \n"
1434 "   network interface on which you're capturing, or receiving any traffic \n"
1435 "   on that network, or is there any broadcast traffic on the network or \n"
1436 "   multicast traffic to a multicast group to which the machine running \n"
1437 "   Ethereal belongs? \n"
1438 " \n"
1439 "   If not, this may just be a problem with promiscuous sniffing, either \n"
1440 "   due to running on a switched network or a dual-speed hub, or due to \n"
1441 "   problems with the interface not supporting promiscuous mode; see the \n"
1442 "   response to this earlier question. \n"
1443 " \n"
1444 "   Otherwise, on Windows, see the response to this question and, on a \n"
1445 "   UNIX-flavored OS, see the response to this question. \n"
1446 " \n"
1447 "   Q 5.22: I have an XXX network card on my machine; if I try to capture \n"
1448 "   on it, my machine crashes or resets itself.  \n"
1449 " \n"
1450 "   A: This is almost certainly a problem with one or more of: \n"
1451 "     * the operating system you're using; \n"
1452 "     * the device driver for the interface you're using; \n"
1453 "     * the libpcap/WinPcap library and, if this is Windows, the WinPcap \n"
1454 "       device driver; \n"
1455 " \n"
1456 "   so: \n"
1457 "     * if you are using Windows, see the WinPcap support page (or the \n"
1458 "       local mirror of that page) - check the \"Submitting bugs\" section; \n"
1459 "     * if you are using some Linux distribution, some version of BSD, or \n"
1460 "       some other UNIX-flavored OS, you should report the problem to the \n"
1461 "       company or organization that produces the OS (in the case of a \n"
1462 "       Linux distribution, report the problem to whoever produces the \n"
1463 "       distribution). \n"
1464 " \n"
1465 "   Q 5.23: My machine crashes or resets itself when I select \"Start\" from \n"
1466 "   the \"Capture\" menu or select \"Preferences\" from the \"Edit\" menu.  \n"
1467 " \n"
1468 "   A: Both of those operations cause Ethereal to try to build a list of \n"
1469 "   the interfaces that it can open; it does so by getting a list of \n"
1470 "   interfaces and trying to open them. There is probably an OS, driver, \n"
1471 "   or, for Windows, WinPcap bug that causes the system to crash when this \n"
1472 "   happens; see the previous question. \n"
1473 " \n"
1474 "   Q 5.24: Does Ethereal work on Windows Me?  \n"
1475 " \n"
1476 "   A: Yes, but if you want to capture packets, you will need to install \n"
1477 "   the latest version of WinPcap, as 2.02 and earlier versions of WinPcap \n"
1478 "   didn't support Windows Me. You should also install the latest version \n"
1479 "   of Ethereal as well. \n"
1480 " \n"
1481 "   Q 5.25: Does Ethereal work on Windows XP?  \n"
1482 " \n"
1483 "   A: Yes, but if you want to capture packets, you will need to install \n"
1484 "   the latest version of WinPcap, as 2.2 and earlier versions of WinPcap \n"
1485 "   didn't support Windows XP. \n"
1486 " \n"
1487 "   Q 5.26: Why doesn't Ethereal correctly identify RTP packets? It shows \n"
1488 "   them only as UDP. \n"
1489 " \n"
1490 "   A: Ethereal can identify a UDP datagram as containing a packet of a \n"
1491 "   particular protocol running atop UDP only if \n"
1492 "    1. The protocol in question has a particular standard port number, \n"
1493 "       and the UDP source or destination port number is that port \n"
1494 "    2. Packets of that protocol can be identified by looking for a \n"
1495 "       \"signature\" of some type in the packet - i.e., some data that, if \n"
1496 "       Ethereal finds it in some particular part of a packet, means that \n"
1497 "       the packet is almost certainly a packet of that type. \n"
1498 "    3. Some other traffic earlier in the capture indicated that, for \n"
1499 "       example, UDP traffic between two particular addresses and ports \n"
1500 "       will be RTP traffic. \n"
1501 " \n"
1502 "   RTP doesn't have a standard port number, so 1) doesn't work; it \n"
1503 "   doesn't, as far as I know, have any \"signature\", so 2) doesn't work. \n"
1504 " \n"
1505 "   That leaves 3). If there's RTSP traffic that sets up an RTP session, \n"
1506 "   then, at least in some cases, the RTSP dissector will set things up so \n"
1507 "   that subsequent RTP traffic will be identified. Currently, that's the \n"
1508 "   only place we do that; there may be other places. \n"
1509 " \n"
1510 "   However, there will always be places where Ethereal is simply \n"
1511 "   incapable of deducing that a given UDP flow is RTP; a mechanism would \n"
1512 "   be needed to allow the user to specify that a given conversation \n"
1513 "   should be treated as RTP. As of Ethereal 0.8.16, such a mechanism \n"
1514 "   exists; if you select a UDP or TCP packet, the right mouse button menu \n"
1515 "   will have a \"Decode As...\" menu item, which will pop up a dialog box \n"
1516 "   letting you specify that the source port, the destination port, or \n"
1517 "   both the source and destination ports of the packet should be \n"
1518 "   dissected as some particular protocol. \n"
1519 " \n"
1520 "   Q 5.27: Why doesn't Ethereal show Yahoo Messenger packets in captures \n"
1521 "   that contain Yahoo Messenger traffic? \n"
1522 " \n"
1523 "   A: Ethereal only recognizes as Yahoo Messenger traffic packets to or \n"
1524 "   from TCP port 3050 that begin with \"YPNS\", \"YHOO\", or \"YMSG\". TCP \n"
1525 "   segments that start with the middle of a Yahoo Messenger packet that \n"
1526 "   takes more than one TCP segment will not be recognized as Yahoo \n"
1527 "   Messenger packets (even if the TCP segment also contains the beginning \n"
1528 "   of another Yahoo Messenger packet). \n"
1529 " \n"
1530 "   Q 5.28: Why do I get the error  \n"
1531 " \n"
1532 "     Gdk-ERROR **: Palettized display (256-colour) mode not supported on \n"
1533 "     Windows. \n"
1534 "     aborting.... \n"
1535 " \n"
1536 "   when I try to run Ethereal on Windows? \n"
1537 " \n"
1538 "   A: Ethereal is built using the GTK+ toolkit, which supports most \n"
1539 "   UNIX-flavored OSes, and also supports Windows. \n"
1540 " \n"
1541 "   Windows versions of Ethereal before 0.9.14 were built with an older \n"
1542 "   version of that toolkit, which didn't support 256-color mode on \n"
1543 "   Windows - it required HiColor (16-bit colors) or more. \n"
1544 " \n"
1545 "   Windows versions of Ethereal 0.9.14 and later are built with a version \n"
1546 "   of that toolkit that supports 256-color mode; upgrade to the current \n"
1547 "   version of Ethereal if you want to run on a display in 256-color mode. \n"
1548 " \n"
1549 "   Q 5.29: When I capture on Windows in promiscuous mode, I can see \n"
1550 "   packets other than those sent to or from my machine; however, those \n"
1551 "   packets show up with a \"Short Frame\" indication, unlike packets to or \n"
1552 "   from my machine. What should I do to arrange that I see those packets \n"
1553 "   in their entirety?  \n"
1554 " \n"
1555 "   A: In at least some cases, this appears to be the result of PGPnet \n"
1556 "   running on the network interface on which you're capturing; turn it \n"
1557 "   off on that interface. \n"
1558 " \n"
1559 "   Q 5.30: How can I capture raw 802.11 packets, including non-data \n"
1560 "   (management, beacon) packets?  \n"
1561 " \n"
1562 "   A: That would require that your 802.11 interface run in the mode \n"
1563 "   called \"monitor mode\" or \"RFMON mode\". Not all operating systems \n"
1564 "   support that and, even on operating systems that do support it, not \n"
1565 "   all drivers, and thus not all cards, support it. \n"
1566 " \n"
1567 "   NOTE: an interface running in monitor mode will, on most if not all \n"
1568 "   platforms, not be able to act as a regular network interface; putting \n"
1569 "   it into monitor mode will, in effect, take your machine off of \n"
1570 "   whatever network it's on as long as the interface is in monitor mode, \n"
1571 "   allowing it only to passively capture packets. \n"
1572 " \n"
1573 "   This means that you should disable name resolution when capturing in \n"
1574 "   monitor mode; otherwise, when Ethereal (or Tethereal, or tcpdump) \n"
1575 "   tries to display IP addresses as host names, it will probably block \n"
1576 "   for a long time trying to resolve the name because it will not be able \n"
1577 "   to communicate with any DNS or NIS servers. \n"
1578 " \n"
1579 "   Cisco Aironet cards: \n"
1580 " \n"
1581 "   The only platforms that allow Ethereal to capture raw 802.11 packets \n"
1582 "   on Cisco Aironet cards are: \n"
1583 "     * Linux, with a 2.4.6 or later kernel; \n"
1584 "     * FreeBSD 4.6 or later, as the driver in FreeBSD 4.5 has bugs that \n"
1585 "       cause packets not to be captured correctly, and the driver in \n"
1586 "       releases prior to 4.5 didn't support capturing raw packets. \n"
1587 " \n"
1588 "   On FreeBSD, the ancontrol utility must be used. The command \n"
1589 " \n"
1590 "ancontrol -i anN -M flag \n"
1591 " \n"
1592 "   is used to enable or disable monitor mode. If flag is 0, monitor mode \n"
1593 "   will be turned off; otherwise, flag should be the sum of: \n"
1594 "     * 1, to turn monitor mode on; \n"
1595 "     * 2, if you want to capture traffic from any BSS rather than just \n"
1596 "       the BSS with which the card is associated; \n"
1597 "     * 4, if you want to see beacon packets (capturing beacon packets \n"
1598 "       increases the CPU requirements of capturing). \n"
1599 " \n"
1600 "   Don't add 8 in; Ethereal currently doesn't support the full Aironet \n"
1601 "   header. \n"
1602 " \n"
1603 "   On Linux with the driver in the 2.4.6 through 2.4.19 kernel, you will \n"
1604 "   need to do \n"
1605 " \n"
1606 "echo \"Mode: rfmon\" >/proc/driver/aironet/ethN/Config \n"
1607 " \n"
1608 "   if your Aironet card is ethN. To capture traffic from any BSS rather \n"
1609 ,
1610
1611 "   than just the BSS with which the card is associated, do \n"
1612 " \n"
1613 "echo \"Mode: y\" >/proc/driver/aironet/ethN/Config \n"
1614 " \n"
1615 "   and to return to the normal mode, do \n"
1616 " \n"
1617 "echo \"Mode: ess\" >/proc/driver/aironet/ethN/Config \n"
1618 " \n"
1619 "   On Linux with the driver in the 2.4.20 or later kernel, or with the \n"
1620 "   CVS drivers from the airo-linux SourceForge site, you will have to \n"
1621 "   capture on the wifiN interface if your Aironet card is ethN, after \n"
1622 "   running the commands listed above. \n"
1623 " \n"
1624 "   In all of those cases, Ethereal would have to be linked with libpcap \n"
1625 "   0.7.1 or later; this means that most Ethereal binary packages won't \n"
1626 "   work unless they're statically linked with libpcap 0.7.1 or later, or \n"
1627 "   they're dynamically linked with libpcap and your system has a libpcap \n"
1628 "   0.7.1 or later shared library installed (note that libpcap source \n"
1629 "   package from tcpdump.org does not build shared libraries). Some binary \n"
1630 "   packaging mechanisms might make it difficult to install Ethereal \n"
1631 "   binary packages built to depend on older libpcap binary packages if \n"
1632 "   you have a newer libpcap binary package installed; the installer \n"
1633 "   programs for those packaging mechanisms might support disabling \n"
1634 "   dependency checking so that they will install Ethereal even though a \n"
1635 "   newer version of libpcap is installed. \n"
1636 " \n"
1637 "   Cards using the Prism II chip set (see this page of Linux 802.11 \n"
1638 "   information for details on wireless cards, including information on \n"
1639 "   the chips they use): \n"
1640 " \n"
1641 "   You can capture raw 802.11 packets with Prism II cards on Linux \n"
1642 "   systems with the 0.1.14-pre6 or later version of the linux-wlan-ng \n"
1643 "   drivers (see the linux-wlan page, and the linux-wlan-ng tarball \n"
1644 "   directory). \n"
1645 " \n"
1646 "   Those require either Solomon Peachy's patch to libpcap 0.7.1 (see his \n"
1647 "   libpcap-0.7.1-prism.diff file, or his RPMs of that version of \n"
1648 "   libpcap), or the current CVS version of libpcap, which includes his \n"
1649 "   patch (download it from the \"Current Tar files\" section of the \n"
1650 "   tcpdump.org Web site). If you apply his patches to libpcap 0.7.1 and \n"
1651 "   rebuild and install libpcap, or if you build and install the current \n"
1652 "   CVS version of libpcap, you would have to rebuild Ethereal from \n"
1653 "   source, linking it with that new version of libpcap; an Ethereal \n"
1654 "   binary package would not work. Ethereal binary packages might work if \n"
1655 "   you install the libpcap-0.7.1-1prism.i386.rpm RPM, as it might install \n"
1656 "   a libpcap shared library in place of the one on your system. \n"
1657 " \n"
1658 "   You may have to run a command to put the interface into monitor mode, \n"
1659 "   or to change other interface settings, and you might have to capture \n"
1660 "   on a wlanN interface rather than a ethN interface, in order to capture \n"
1661 "   raw 802.11 packets. The interface settings are available in your \n"
1662 "   wlan-ng.conf file. See the wlan-ng FAQ for additional information. \n"
1663 " \n"
1664 "   On other platforms, capturing raw 802.11 packets on Prism II cards is \n"
1665 "   not currently supported. \n"
1666 " \n"
1667 "   Orinoco Silver and Gold cards: \n"
1668 " \n"
1669 "   On Linux systems, there are patches on the Orinoco Monitor Mode Patch \n"
1670 "   Page that should allow you to do capture raw 802.11 packets. You will \n"
1671 "   have to determine which version of the driver you have, and select the \n"
1672 "   appropriate patch. \n"
1673 " \n"
1674 "   Note that the page indicates that not all versions of the Orinoco \n"
1675 "   firmware support this patch. It says, for some versions of the patch, \n"
1676 "   \"This patch should allow monitor mode with v8.10 firmware (untested w/ \n"
1677 "   8.42);\" if you have version 8.10 or later firmware on your Orinoco \n"
1678 "   cards, you might have to use those patches, with the corresponding \n"
1679 "   versions of the Orinoco driver, in order to run in monitor mode. \n"
1680 " \n"
1681 "   That patch is written for the drivers included with the pcmcia-cs \n"
1682 "   drivers, but works equally well for the Orinoco drivers provided with \n"
1683 "   Linux kernels up to 2.4.20. To apply a patch to your kernel drivers, \n"
1684 "   simply copy the orinoco-09b-patch.diff file to the \n"
1685 "   /usr/src/linux/drivers/net directory and patch according to the \n"
1686 "   directions on the Orinoco Monitor Mode Patch Page. You can double- \n"
1687 "   check the version of the Orinoco drivers that shipped with your kernel \n"
1688 "   by examining the first few lines of the orinoco.c file. \n"
1689 " \n"
1690 "   The Orinoco patches require either Solomon Peachy's patch to libpcap \n"
1691 "   0.7.1 (see his libpcap-0.7.1-prism.diff file, or his RPMs of that \n"
1692 "   version of libpcap), or the current CVS version of libpcap, which \n"
1693 "   includes his patch (download it from the \"Current Tar files\" section \n"
1694 "   of the tcpdump.org Web site). If you apply his patches to libpcap \n"
1695 "   0.7.1 and rebuild and install libpcap, or if you build and install the \n"
1696 "   current CVS version of libpcap, you would have to rebuild Ethereal \n"
1697 "   from source, linking it with that new version of libpcap; an Ethereal \n"
1698 "   binary package would not work. Ethereal binary packages might work if \n"
1699 "   you install the libpcap-0.7.1-1prism.i386.rpm RPM, as it might install \n"
1700 "   a libpcap shared library in place of the one on your system. \n"
1701 " \n"
1702 "   On other platforms, capturing raw 802.11 packets on Orinoco cards is \n"
1703 "   not currently supported. \n"
1704 " \n"
1705 "   Cards with the Atheros Communications AR5000 or AR5001 chipsets: \n"
1706 " \n"
1707 "   You can capture raw 802.11 packets with AR5K cards on Linux systems \n"
1708 "   with the v5_ar5k drivers. You will need the Linux wireless-tools \n"
1709 "   version 25 or higher to put the card into monitor mode. \n"
1710 " \n"
1711 "   Cards with the Texas Instruments ACX100 chipset: \n"
1712 " \n"
1713 "   You can capture raw 802.11 packets with ACX100 cards on Linux systems \n"
1714 "   with the ACX100 OSS drivers available from the ACX100 wireless network \n"
1715 "   driver project SourceForge site. \n"
1716 " \n"
1717 "   Other 802.11 interfaces: \n"
1718 " \n"
1719 "   With other 802.11 interfaces, no platform allows Ethereal to capture \n"
1720 "   raw 802.11 packets, as far as we know. If you know of other 802.11 \n"
1721 "   interfaces that are supported (note that there are many \"Prism II \n"
1722 "   cards\", so your card might be a Prism II card), please let us know, \n"
1723 "   and include URLs for sites containing any necessary patches to add \n"
1724 "   this support. \n"
1725 " \n"
1726 "   On platforms that don't allow Ethereal to capture raw 802.11 packets, \n"
1727 "   the 802.11 network will appear like an Ethernet to Ethereal. \n"
1728 " \n"
1729 "   Q 5.31: I'm trying to capture 802.11 traffic on Windows; why am I not \n"
1730 "   seeing any packets?  \n"
1731 " \n"
1732 "   A: At least some 802.11 card drivers on Windows appear not to see any \n"
1733 "   packets if they're running in promiscuous mode. Try turning \n"
1734 "   promiscuous mode off; you'll only be able to see packets sent by and \n"
1735 "   received by your machine, not third-party traffic, and it'll look like \n"
1736 "   Ethernet traffic and won't include any management or control frames, \n"
1737 "   but that's a limitation of the card drivers. \n"
1738 " \n"
1739 "   Q 5.32: I'm trying to capture 802.11 traffic on Windows; why am I \n"
1740 "   seeing packets received by the machine on which I'm capturing traffic, \n"
1741 "   but not packets sent by that machine?  \n"
1742 " \n"
1743 "   A: This appears to be another problem with promiscuous mode; try \n"
1744 "   turning it off. \n"
1745 " \n"
1746 "   Q 5.33: How can I capture packets with CRC errors?  \n"
1747 " \n"
1748 "   A: Ethereal can capture only the packets that the packet capture \n"
1749 "   library - libpcap on UNIX-flavored OSes, and the WinPcap port to \n"
1750 "   Windows of libpcap on Windows - can capture, and libpcap/WinPcap can \n"
1751 "   capture only the packets that the OS's raw packet capture mechanism \n"
1752 "   (or the WinPcap driver, and the underlying OS networking code and \n"
1753 "   network interface drivers, on Windows) will allow it to capture. \n"
1754 " \n"
1755 "   Unless the OS always supplies packets with errors such as invalid CRCs \n"
1756 "   to the raw packet capture mechanism, or can be configured to do so, \n"
1757 "   invalid CRCs to the raw packet capture mechanism, Ethereal - and other \n"
1758 "   programs that capture raw packets, such as tcpdump - cannot capture \n"
1759 "   those packets. You will have to determine whether your OS needs to be \n"
1760 "   so configured and, if so, can be so configured, configure it if \n"
1761 "   necessary and possible, and make whatever changes to libpcap and the \n"
1762 "   packet capture program you're using are necessary, if any, to support \n"
1763 "   capturing those packets. \n"
1764 " \n"
1765 "   Most OSes probably do not support capturing packets with invalid CRCs \n"
1766 "   on Ethernet, and probably do not support it on most other link-layer \n"
1767 "   types. Some drivers on some OSes do support it, such as some Ethernet \n"
1768 "   drivers on FreeBSD; in those OSes, you might always get those packets, \n"
1769 "   or you might only get them if you capture in promiscuous mode (you'd \n"
1770 "   have to determine which is the case). \n"
1771 " \n"
1772 "   Note that libpcap does not currently supply to programs that use it an \n"
1773 "   indication of whether the packet's CRC was invalid (because the \n"
1774 "   drivers themselves do not supply that information to the raw packet \n"
1775 "   capture mechanism); therefore, Ethereal will not indicate which \n"
1776 "   packets had CRC errors unless the FCS was captured (see the next \n"
1777 "   question) and you're using Ethereal 0.9.15 and later, in which case \n"
1778 "   Ethereal will check the CRC and indicate whether it's correct or not. \n"
1779 " \n"
1780 "   Q 5.34: How can I capture entire frames, including the FCS?  \n"
1781 " \n"
1782 "   A: Ethereal can't capture any data that the packet capture library - \n"
1783 "   libpcap on UNIX-flavored OSes, and the WinPcap port to Windows of \n"
1784 "   libpcap on Windows - can capture, and libpcap/WinPcap can capture only \n"
1785 "   the data that the OS's raw packet capture mechanism (or the WinPcap \n"
1786 "   driver, and the underlying OS networking code and network interface \n"
1787 "   drivers, on Windows) will allow it to capture. \n"
1788 " \n"
1789 "   For any particular link-layer network type, unless the OS supplies the \n"
1790 "   FCS of a frame as part of the frame, or can be configured to do so, \n"
1791 "   Ethereal - and other programs that capture raw packets, such as \n"
1792 "   tcpdump - cannot capture the FCS of a frame. You will have to \n"
1793 "   determine whether your OS needs to be so configured and, if so, can be \n"
1794 "   so configured, configure it if necessary and possible, and make \n"
1795 "   whatever changes to libpcap and the packet capture program you're \n"
1796 "   using are necessary, if any, to support capturing the FCS of a frame. \n"
1797 " \n"
1798 "   Most OSes do not support capturing the FCS of a frame on Ethernet, and \n"
1799 "   probably do not support it on most other link-layer types. Some \n"
1800 "   drivres on some OSes do support it, such as some (all?) Ethernet \n"
1801 "   drivers on NetBSD and possibly the driver for Apple's gigabit Ethernet \n"
1802 "   interface in Mac OS X; in those OSes, you might always get the FCS, or \n"
1803 "   you might only get the FCS if you capture in promiscuous mode (you'd \n"
1804 "   have to determine which is the case). \n"
1805 " \n"
1806 "   Versions of Ethereal prior to 0.9.15 will not treat an Ethernet FCS in \n"
1807 "   a captured packet as an FCS. 0.9.15 and later will attempt to \n"
1808 "   determine whether there's an FCS at the end of the frame and, if it \n"
1809 "   thinks there is, will display it as such, and will check whether it's \n"
1810 "   the correct CRC-32 value or not. \n"
1811 " \n"
1812 "   Q 5.35: Ethereal hangs after I stop a capture.  \n"
1813 " \n"
1814 "   A: The most likely reason for this is that Ethereal is trying to look \n"
1815 "   up an IP address in the capture to convert it to a name (so that, for \n"
1816 "   example, it can display the name in the source address or destination \n"
1817 "   address columns), and that lookup process is taking a very long time. \n"
1818 " \n"
1819 "   Ethereal calls a routine in the OS of the machine on which it's \n"
1820 "   running to convert of IP addresses to the corresponding names. That \n"
1821 "   routine probably does one or more of: \n"
1822 "     * a search of a system file listing IP addresses and names; \n"
1823 "     * a lookup using DNS; \n"
1824 "     * on UNIX systems, a lookup using NIS; \n"
1825 "     * on Windows systems, a NetBIOS-over-TCP query. \n"
1826 " \n"
1827 "   If a DNS server that's used in an address lookup is not responding, \n"
1828 "   the lookup will fail, but will only fail after a timeout while the \n"
1829 "   system routine waits for a reply. \n"
1830 " \n"
1831 "   In addition, on Windows systems, if the DNS lookup of the address \n"
1832 "   fails, either because the server isn't responding or because there are \n"
1833 "   no records in the DNS that could be used to map the address to a name, \n"
1834 "   a NetBIOS-over-TCP query will be made. That query involves sending a \n"
1835 "   message to the NetBIOS-over-TCP name service on that machine, asking \n"
1836 "   for the name and other information about the machine. If the machine \n"
1837 "   isn't running software that responds to those queries - for example, \n"
1838 "   many non-Windows machines wouldn't be running that software - the \n"
1839 "   lookup will only fail after a timeout. Those timeouts can cause the \n"
1840 "   lookup to take a long time. \n"
1841 " \n"
1842 "   If you disable network address-to-name translation - for example, by \n"
1843 "   turning off the \"Enable network name resolution\" option in the \"Name \n"
1844 "   resolution\" options in the dialog box you get by selecting \n"
1845 "   \"Preferences\" from the \"Edit\" menu - the lookups of the address won't \n"
1846 "   be done, which may speed up the process of reading the capture file \n"
1847 "   after the capture is stopped. You can make that setting the default by \n"
1848 "   using the \"Save\" button in that dialog box; note that this will save \n"
1849 "   all your current preference settings. \n"
1850 " \n"
1851 "   If Ethereal hangs when reading a capture even with network name \n"
1852 "   resolution turned off, there might, for example, be a bug in one of \n"
1853 "   Ethereal's dissectors for a protocol causing it to loop infinitely. \n"
1854 "   The bug should be reported to the Ethereal developers' mailing list at \n"
1855 "   ethereal-dev@ethereal.com. \n"
1856 " \n"
1857 "   On UNIX-flavored OSes, please try to force Ethereal to dump core, by \n"
1858 "   sending it a SIGABRT signal (usually signal 6) with the kill command, \n"
1859 "   and then get a stack trace if you have a debugger installed. A stack \n"
1860 "   trace can be obtained by using your debugger (gdb in this example), \n"
1861 "   the Ethereal binary, and the resulting core file. Here's an example of \n"
1862 "   how to use the gdb command backtrace to do so. \n"
1863 "        $ gdb ethereal core \n"
1864 "        (gdb) backtrace \n"
1865 "        ..... prints the stack trace \n"
1866 "        (gdb) quit \n"
1867 "        $ \n"
1868 " \n"
1869 "   The core dump file may be named \"ethereal.core\" rather than \"core\" on \n"
1870 "   some platforms (e.g., BSD systems) \n"
1871 " \n"
1872 "   Also, if at all possible, please send a copy of the capture file that \n"
1873 "   caused the problem; when capturing packets, Ethereal normally writes \n"
1874 "   captured packets to a temporary file, which will probably be in /tmp \n"
1875 "   or /var/tmp on UNIX-flavored OSes and \\TEMP on Windows, so the capture \n"
1876 "   file will probably be there. It will have a name beginning with ether, \n"
1877 "   with some mixture of letters and numbers after that. Please don't send \n"
1878 "   a trace file greater than 1 MB when compressed. If the trace file \n"
1879 "   contains sensitive information (e.g., passwords), then please do not \n"
1880 "   send it. \n"
1881 " \n"
1882 "   Q 5.36: How can I search for, or filter, packets that have a \n"
1883 "   particular string anywhere in them?  \n"
1884 " \n"
1885 "   A: If you want to do this when capturing, you can't. That's a feature \n"
1886 "   that would be hard to implement in capture filters without changes to \n"
1887 "   the capture filter code, which, on many platforms, is in the OS kernel \n"
1888 "   and, on other platforms, is in the libpcap library. \n"
1889 " \n"
1890 "   In releases prior to 0.9.14, you also can't search for, or filter, \n"
1891 "   packets containing a particular string even after you've captured \n"
1892 "   them. \n"
1893 " \n"
1894 "   In 0.9.14, you can search for, but not filter, packets that have a \n"
1895 "   particular string; this has been added to the \"Find Frame\" dialog \n"
1896 "   (\"Find Frame\" under the \"Edit\" menu, or control-F). \n"
1897 " \n"
1898 "   In 0.9.15 and later, you can search for those packets using either the \n"
1899 "   mechanism introduced in 0.9.14 or using the new \"contains\" operator in \n"
1900 "   filter expressions, which lets you search the entire packet or text \n"
1901 "   string or byte string fields in the packet; the \"contains\" operator \n"
1902 "   can also be used in expressions used to filter the display. \n"
1903 " \n"
1904 " \n"
1905 "   Support can be found on the ethereal-users[AT]ethereal.com mailing \n"
1906 "   list.  \n"
1907 "   For corrections/additions/suggestions for this page, please send email \n"
1908 "   to: ethereal-web[AT]ethereal.com \n"
1909 "   Last modified: Fri, December 12 2003. \n"
1910 };
1911 #define FAQ_PARTS 5
1912 #define FAQ_SIZE 86361