using distributed help text files, instead of "#include" built in texts
[obnox/wireshark/wip.git] / help / faq.txt
1
2    The Ethereal FAQ
3
4    Note: This is just an ASCII snapshot of the faq and may not be up to
5          date. Please go to http://www.ethereal.com/faq for the up to
6          date version. The version of this snapshot can be found at the
7          end of this document.
8
9    INDEX
10
11    General Questions:
12
13    1.1 Where can I get help?
14
15    1.2 What protocols are currently supported?
16
17    1.3 Are there any plans to support {your favorite protocol}?
18
19    1.4 Can Ethereal read capture files from {your favorite network
20    analyzer}?
21
22    1.5 What devices can Ethereal use to capture packets?
23
24    1.6 How do you pronounce Ethereal? Where did the name come from?
25
26    Downloading Ethereal:
27
28    2.1 I downloaded the Win32 installer, but when I try to run it, I get
29    an error.
30
31    2.2 When I try to download the WinPcap driver and library, I can't get
32    to the WinPcap Web site.
33
34    Installing Ethereal:
35
36    3.1 I installed an Ethereal RPM, but Ethereal doesn't seem to be
37    installed; only Tethereal is installed.
38
39    Building Ethereal:
40
41    4.1 The configure script can't find pcap.h or bpf.h, but I have
42    libpcap installed.
43
44    4.2 Why do I get the error 
45
46      dftest_DEPENDENCIES was already defined in condition TRUE, which
47      implies condition HAVE_PLUGINS_TRUE
48
49    when I try to build Ethereal from CVS or a CVS snapshot?
50
51    4.3 The link fails with a number of "Output line too long." messages
52    followed by linker errors. 
53
54    4.4 The link fails on Solaris because plugin_list is undefined. 
55
56    4.5 The build fails on Windows because of conflicts between winsock.h
57    and winsock2.h. 
58
59    Using Ethereal:
60
61    5.1 When I use Ethereal to capture packets, I see only packets to and
62    from my machine, or I'm not seeing all the traffic I'm expecting to
63    see from or to the machine I'm trying to monitor.
64
65    5.2 I can't see any TCP packets other than packets to and from my
66    machine, even though another analyzer on the network sees those
67    packets.
68
69    5.3 I'm only seeing ARP packets when I try to capture traffic.
70
71    5.4 I'm running Ethereal on Windows; why does some network interface
72    on my machine not show up in the list of interfaces in the
73    "Interface:" field in the dialog box popped up by "Capture->Start",
74    and/or why does Ethereal give me an error if I try to capture on that
75    interface? 
76
77    5.5 I'm running on a UNIX-flavored OS; why does some network interface
78    on my machine not show up in the list of interfaces in the
79    "Interface:" field in the dialog box popped up by "Capture->Start",
80    and/or why does Ethereal give me an error if I try to capture on that
81    interface? 
82
83    5.6 How do I put an interface into promiscuous mode?
84
85    5.7 I can set a display filter just fine, but capture filters don't
86    work.
87
88    5.8 I'm entering valid capture filters, but I still get "parse error"
89    errors.
90
91    5.9 I saved a filter and tried to use its name to filter the display,
92    but I got an "Unexpected end of filter string" error.
93
94    5.10 Why am I seeing lots of packets with incorrect TCP checksums?
95
96    5.11 I've just installed Ethereal, and the traffic on my local LAN is
97    boring.
98
99    5.12 When I run Ethereal on Solaris 8, it dies with a Bus Error when I
100    start it.
101
102    5.13 When I run Ethereal on Windows NT, it dies with a Dr. Watson
103    error, reporting an "Integer division by zero" exception, when I start
104    it.
105
106    5.14 When I try to run Ethereal, it complains about
107    sprint_realloc_objid being undefined.
108
109    5.15 I'm running Ethereal on Linux; why do my time stamps have only
110    100ms resolution, rather than 1us resolution?
111
112    5.16 I'm capturing packets on {Windows 95, Windows 98, Windows Me};
113    why are the time stamps on packets wrong? 
114
115    5.17 When I try to run Ethereal on Windows, it fails to run because it
116    can't find packet.dll.
117
118    5.18 I'm running Ethereal on Windows NT/2000/XP/Server; my machine has
119    a PPP (dial-up POTS, ISDN, etc.) interface, and it shows up in the
120    "Interface" item in the "Capture Options" dialog box. Why can no
121    packets be sent on or received from that network while I'm trying to
122    capture traffic on that interface?
123
124    5.19 I'm running Ethereal on Windows 95/98/Me, on a machine with more
125    than one network adapter of the same type; Ethereal shows all of those
126    adapters with the same name, but I can't use any of those adapters
127    other than the first one.
128
129    5.20 I'm running Ethereal on Windows, and I'm not seeing any traffic
130    being sent by the machine running Ethereal.
131
132    5.21 I'm trying to capture traffic but I'm not seeing any.
133
134    5.22 I have an XXX network card on my machine; if I try to capture on
135    it, my machine crashes or resets itself. 
136
137    5.23 My machine crashes or resets itself when I select "Start" from
138    the "Capture" menu or select "Preferences" from the "Edit" menu. 
139
140    5.24 Does Ethereal work on Windows Me? 
141
142    5.25 Does Ethereal work on Windows XP? 
143
144    5.26 Why doesn't Ethereal correctly identify RTP packets? It shows
145    them only as UDP.
146
147    5.27 Why doesn't Ethereal show Yahoo Messenger packets in captures
148    that contain Yahoo Messenger traffic?
149
150    5.28 Why do I get the error 
151
152      Gdk-ERROR **: Palettized display (256-colour) mode not supported on
153      Windows.
154      aborting....
155
156    when I try to run Ethereal on Windows?
157
158    5.29 When I capture on Windows in promiscuous mode, I can see packets
159    other than those sent to or from my machine; however, those packets
160    show up with a "Short Frame" indication, unlike packets to or from my
161    machine. What should I do to arrange that I see those packets in their
162    entirety? 
163
164    5.30 How can I capture raw 802.11 packets, including non-data
165    (management, beacon) packets? 
166
167    5.31 I'm trying to capture 802.11 traffic on Windows; why am I not
168    seeing any packets? 
169
170    5.32 I'm trying to capture 802.11 traffic on Windows; why am I seeing
171    packets received by the machine on which I'm capturing traffic, but
172    not packets sent by that machine? 
173
174    5.33 How can I capture packets with CRC errors? 
175
176    5.34 How can I capture entire frames, including the FCS? 
177
178    5.35 Ethereal hangs after I stop a capture. 
179
180    5.36 How can I search for, or filter, packets that have a particular
181    string anywhere in them? 
182
183    GENERAL QUESTIONS 
184    Q 1.1: Where can I get help?
185
186    A: Support is available on the ethereal-users mailing list.
187    Subscription information and archives for all of Ethereal's mailing
188    lists can be found at http://www.ethereal.com/lists
189
190    Q 1.2: What protocols are currently supported?
191
192    A: There are currently 442 supported protocols and media, listed
193    below. Descriptions can be found in the ethereal(1) man page.
194
195             802.1q Virtual LAN
196             802.1x Authentication
197             AAL type 2 signalling protocol - Capability set 1 (Q.2630.1)
198             AFS (4.0) Replication Server call declarations
199             ANSI A-I/F BSMAP
200             ANSI A-I/F DTAP
201             ANSI IS-637-A (SMS) Teleservice Layer
202             ANSI IS-637-A (SMS) Transport Layer
203             ANSI IS-683-A (OTA (Mobile))
204             ANSI Mobile Application Part
205             AOL Instant Messenger
206             ARCNET
207             ATM
208             ATM AAL1
209             ATM AAL3/4
210             ATM LAN Emulation
211             ATM OAM AAL
212             AVS WLAN Capture header
213             Ad hoc On-demand Distance Vector Routing Protocol
214             Address Resolution Protocol
215             Aggregate Server Access Protocol
216             Alert Standard Forum
217             Alteon - Transparent Proxy Cache Protocol
218             Andrew File System (AFS)
219             Apache JServ Protocol v1.3
220             AppleTalk Filing Protocol
221             AppleTalk Session Protocol
222             AppleTalk Transaction Protocol packet
223             Appletalk Address Resolution Protocol
224             Application Configuration Access Protocol
225             Async data over ISDN (V.120)
226             Authentication Header
227             BACnet Virtual Link Control
228             BSS GPRS Protocol
229             BSSAP/BSAP
230             Banyan Vines ARP
231             Banyan Vines Echo
232             Banyan Vines Fragmentation Protocol
233             Banyan Vines ICP
234             Banyan Vines IP
235             Banyan Vines IPC
236             Banyan Vines LLC
237             Banyan Vines RTP
238             Banyan Vines SPP
239             Bearer Independent Call Control
240             Bi-directional Fault Detection Control Message
241             Blocks Extensible Exchange Protocol
242             Boardwalk
243             Boot Parameters
244             Bootstrap Protocol
245             Border Gateway Protocol
246             Building Automation and Control Network APDU
247             Building Automation and Control Network NPDU
248             CCSDS
249             CDS Clerk Server Calls
250             Check Point High Availability Protocol
251             Checkpoint FW-1
252             Cisco Auto-RP
253             Cisco Discovery Protocol
254             Cisco Group Management Protocol
255             Cisco HDLC
256             Cisco Hot Standby Router Protocol
257             Cisco ISL
258             Cisco Interior Gateway Routing Protocol
259             Cisco NetFlow
260             Cisco SLARP
261             Clearcase NFS
262             CoSine IPNOS L2 debug output
263             Common Open Policy Service
264             Common Unix Printing System (CUPS) Browsing Protocol
265             Connectionless Lightweight Directory Access Protocol
266             Cross Point Frame Injector
267             DCE DFS Calls
268             DCE Distributed Time Service Local Server
269             DCE Distributed Time Service Provider
270             DCE Name Service
271             DCE RPC
272             DCE Security ID Mapper
273             DCE/RPC BOS Server
274             DCE/RPC BUDB
275             DCE/RPC BUTC
276             DCE/RPC CDS Solicitation
277             DCE/RPC Conversation Manager
278             DCE/RPC Endpoint Mapper
279             DCE/RPC Endpoint Mapper4
280             DCE/RPC FLDB
281             DCE/RPC FLDB UBIK TRANSFER
282             DCE/RPC FLDB UBIKVOTE
283             DCE/RPC ICL RPC
284             DCE/RPC Kerberos V
285             DCE/RPC RS_ACCT
286             DCE/RPC RS_BIND
287             DCE/RPC RS_MISC
288             DCE/RPC RS_PROP_ACCT
289             DCE/RPC RS_UNIX
290             DCE/RPC Remote Management
291             DCE/RPC Repserver Calls
292             DCE/RPC TokenServer Calls
293             DCE/RPC UpServer
294             DCOM OXID Resolver
295             DCOM Remote Activation
296             DEC Spanning Tree Protocol
297             DHCPv6
298             DNS Control Program Server
299             Data
300             Data Link SWitching
301             Data Stream Interface
302             Datagram Delivery Protocol
303             Diameter Protocol
304             Distance Vector Multicast Routing Protocol
305             Distcc Distributed Compiler
306             Distributed Checksum Clearinghouse Prototocl
307             Domain Name Service
308             Dynamic DNS Tools Protocol
309             Echo
310             Encapsulating Security Payload
311             Enhanced Interior Gateway Routing Protocol
312             EtherNet/IP (Industrial Protocol)
313             Ethernet
314             Ethernet over IP
315             Extensible Authentication Protocol
316             FC Extended Link Svc
317             FC Fabric Configuration Server
318             FCIP
319             FTP Data
320             FTServer Operations
321             Fiber Distributed Data Interface
322             Fibre Channel
323             Fibre Channel Common Transport
324             Fibre Channel Fabric Zone Server
325             Fibre Channel Name Server
326             Fibre Channel Protocol for SCSI
327             Fibre Channel SW_ILS
328             Fibre Channel Security Protocol
329             Fibre Channel Single Byte Command
330             File Transfer Protocol (FTP)
331             Financial Information eXchange Protocol
332             Frame
333             Frame Relay
334             GARP Multicast Registration Protocol
335             GARP VLAN Registration Protocol
336             GPRS Network service
337             GPRS Tunneling Protocol
338             GSM A-I/F BSSMAP
339             GSM A-I/F DTAP
340             GSM A-I/F RP
341             GSM Mobile Application Part
342             GSM SMS TPDU (GSM 03.40)
343             General Inter-ORB Protocol
344             Generic Routing Encapsulation
345             Generic Security Service Application Program Interface
346             Gnutella Protocol
347             H225
348             H245
349             H4501
350             HP Extended Local-Link Control
351             HP Remote Maintenance Protocol
352             Hummingbird NFS Daemon
353             HyperSCSI
354             Hypertext Transfer Protocol
355             ICQ Protocol
356             IEEE 802.11 wireless LAN
357             IEEE 802.11 wireless LAN management frame
358             ILMI
359             IP Over FC
360             IP Payload Compression
361             IPX Message
362             IPX Routing Information Protocol
363             IPX WAN
364             ISDN
365             ISDN Q.921-User Adaptation Layer
366             ISDN User Part
367             ISO 10589 ISIS InTRA Domain Routeing Information Exchange Protocol
368             ISO 8073 COTP Connection-Oriented Transport Protocol
369             ISO 8327-1 OSI Session Protocol
370             ISO 8473 CLNP ConnectionLess Network Protocol
371             ISO 8602 CLTP ConnectionLess Transport Protocol
372             ISO 9542 ESIS Routeing Information Exchange Protocol
373             ITU-T Recommendation H.261
374             ITU-T Recommendation H.263 RTP Payload header (RFC2190)
375             InMon sFlow
376             Intel ANS probe
377             Intelligent Platform Management Interface
378             Inter-Access-Point Protocol
379             Interbase
380             Internet Cache Protocol
381             Internet Content Adaptation Protocol
382             Internet Control Message Protocol
383             Internet Control Message Protocol v6
384             Internet Group Management Protocol
385             Internet Group membership Authentication Protocol
386             Internet Message Access Protocol
387             Internet Printing Protocol
388             Internet Protocol
389             Internet Protocol Version 6
390             Internet Relay Chat
391             Internet Security Association and Key Management Protocol
392             Internetwork Packet eXchange
393             Jabber XML Messaging
394             Java RMI
395             Java Serialization
396             Kerberos
397             Kerberos Administration
398             Kernel Lock Manager
399             LWAP Control Message
400             LWAPP Encapsulated Packet
401             LWAPP Layer 3 Packet
402             Label Distribution Protocol
403             Laplink
404             Layer 2 Tunneling Protocol
405             Lightweight Directory Access Protocol
406             Line Printer Daemon Protocol
407             Link Access Procedure Balanced (LAPB)
408             Link Access Procedure Balanced Ethernet (LAPBETHER)
409             Link Access Procedure, Channel D (LAPD)
410             Link Aggregation Control Protocol
411             Link Management Protocol (LMP)
412             Linux cooked-mode capture
413             Local Management Interface
414             LocalTalk Link Access Protocol
415             Logical-Link Control
416             Lucent/Ascend debug output
417             MDS Header
418             MMS Message Encapsulation
419             MS Kpasswd
420             MS Proxy Protocol
421             MSN Messenger Service
422             MSNIP: Multicast Source Notification of Interest Protocol
423             MTP 2 Transparent Proxy
424             MTP 2 User Adaptation Layer
425             MTP 3 User Adaptation Layer
426             MTP2 Peer Adaptation Layer
427             Message Transfer Part Level 2
428             Message Transfer Part Level 3
429             Message Transfer Part Level 3 Management
430             Microsoft Directory Replication Service
431             Microsoft Distributed File System
432             Microsoft Exchange MAPI
433             Microsoft Local Security Architecture
434             Microsoft Local Security Architecture (Directory Services)
435             Microsoft Messenger Service
436             Microsoft Network Logon
437             Microsoft Registry
438             Microsoft Security Account Manager
439             Microsoft Server Service
440             Microsoft Service Control
441             Microsoft Spool Subsystem
442             Microsoft Task Scheduler Service
443             Microsoft Telephony API Service
444             Microsoft Windows Browser Protocol
445             Microsoft Windows Lanman Remote API Protocol
446             Microsoft Windows Logon Protocol
447             Microsoft Workstation Service
448             Mobile IP
449             Mobile IPv6
450             Modbus/TCP
451             Mount Service
452             MultiProtocol Label Switching Header
453             Multicast Router DISCovery protocol
454             Multicast Source Discovery Protocol
455             MySQL Protocol
456             NFSACL
457             NFSAUTH
458             NIS+
459             NIS+ Callback
460             NSPI
461             NTLM Secure Service Provider
462             Name Binding Protocol
463             Name Management Protocol over IPX
464             NetBIOS
465             NetBIOS Datagram Service
466             NetBIOS Name Service
467             NetBIOS Session Service
468             NetBIOS over IPX
469             NetWare Core Protocol
470             NetWare Link Services Protocol
471             Network Data Management Protocol
472             Network File System
473             Network Lock Manager Protocol
474             Network News Transfer Protocol
475             Network Status Monitor CallBack Protocol
476             Network Status Monitor Protocol
477             Network Time Protocol
478             Nortel SONMP
479             Novell Distributed Print System
480             Null/Loopback
481             Open Shortest Path First
482             OpenBSD Encapsulating device
483             OpenBSD Packet Filter log file
484             OpenBSD Packet Filter log file, pre 3.4
485             PC NFS
486             PPP Bandwidth Allocation Control Protocol
487             PPP Bandwidth Allocation Protocol
488             PPP CDP Control Protocol
489             PPP Callback Control Protocol
490             PPP Challenge Handshake Authentication Protocol
491             PPP Compressed Datagram
492             PPP Compression Control Protocol
493             PPP IP Control Protocol
494             PPP IPv6 Control Protocol
495             PPP Link Control Protocol
496             PPP MPLS Control Protocol
497             PPP Multilink Protocol
498             PPP Multiplexing
499             PPP Password Authentication Protocol
500             PPP VJ Compression
501             PPP-over-Ethernet Discovery
502             PPP-over-Ethernet Session
503             PPPMux Control Protocol
504             Packed Encoding Rules (ASN.1 X.691)
505             Point-to-Point Protocol
506             Point-to-Point Tunnelling Protocol
507             Portmap
508             Post Office Protocol
509             Pragmatic General Multicast
510             Prism
511             Privilege Server operations
512             Protocol Independent Multicast
513             Q.2931
514             Q.931
515             Q.933
516             Quake II Network Protocol
517             Quake III Arena Network Protocol
518             Quake Network Protocol
519             QuakeWorld Network Protocol
520             Qualified Logical Link Control
521             RFC 2250 MPEG1
522             RFC 2833 RTP Event
523             RIPng
524             RPC Browser
525             RS Interface properties
526             RSTAT
527             RSYNC File Synchroniser
528             RX Protocol
529             Radio Access Network Application Part
530             Radius Protocol
531             Raw packet data
532             Real Time Streaming Protocol
533             Real-Time Transport Protocol
534             Real-time Transport Control Protocol
535             Registry Server Attributes Manipulation Interface
536             Registry server administration operations.
537             Remote Management Control Protocol
538             Remote Override interface
539             Remote Procedure Call
540             Remote Program Load
541             Remote Quota
542             Remote Shell
543             Remote Shutdown
544             Remote Wall protocol
545             Remote sec_login preauth interface.
546             Resource ReserVation Protocol (RSVP)
547             Rlogin Protocol
548             Routing Information Protocol
549             Routing Table Maintenance Protocol
550             SADMIND
551             SCSI
552             SEBEK - Kernel Data Capture
553             SGI Mount Service
554             SMB (Server Message Block Protocol)
555             SMB MailSlot Protocol
556             SMB Pipe Protocol
557             SNA-over-Ethernet
558             SNMP Multiplex Protocol
559             SPNEGO-KRB5
560             SPRAY
561             SS7 SCCP-User Adaptation Layer
562             SSCOP
563             SSH Protocol
564             Secure Socket Layer
565             Sequenced Packet eXchange
566             Service Advertisement Protocol
567             Service Location Protocol
568             Session Announcement Protocol
569             Session Description Protocol
570             Session Initiation Protocol
571             Session Initiation Protocol (SIP as raw text)
572             Short Message Peer to Peer
573             Signalling Connection Control Part
574             Signalling Connection Control Part Management
575             Simple Mail Transfer Protocol
576             Simple Network Management Protocol
577             Simple Traversal of UDP Through NAT
578             Sinec H1 Protocol
579             Skinny Client Control Protocol
580             SliMP3 Communication Protocol
581             Socks Protocol
582             Spanning Tree Protocol
583             Spnego
584             Stream Control Transmission Protocol
585             Synchronous Data Link Control (SDLC)
586             Syslog message
587             Systems Network Architecture
588             Systems Network Architecture XID
589             T38
590             TACACS
591             TACACS+
592             TEREDO Tunneling IPv6 over UDP through NATs
593             TPKT
594             Tabular Data Stream
595             Tazmen Sniffer Protocol
596             Telnet
597             Time Protocol
598             Time Synchronization Protocol
599             Token-Ring
600             Token-Ring Media Access Control
601             Transaction Capabilities Application Part
602             Transmission Control Protocol
603             Transparent Network Substrate Protocol
604             Trivial File Transfer Protocol
605             UDP Encapsulation of IPsec Packets
606             Universal Computer Protocol
607             User Datagram Protocol
608             Virtual Router Redundancy Protocol
609             Virtual Trunking Protocol
610             WAP Binary XML
611             Web Cache Coordination Protocol
612             Wellfleet Breath of Life
613             Wellfleet Compression
614             Wellfleet HDLC
615             Who
616             Windows 2000 DNS
617             Wireless Session Protocol
618             Wireless Transaction Protocol
619             Wireless Transport Layer Security
620             X Display Manager Control Protocol
621             X.25
622             X.25 over TCP
623             X.29
624             X11
625             Xyplex
626             Yahoo Messenger Protocol
627             Yahoo YMSG Messenger Protocol
628             Yellow Pages Bind
629             Yellow Pages Passwd
630             Yellow Pages Service
631             Yellow Pages Transfer
632             Zebra Protocol
633             Zone Information Protocol
634             eDonkey Protocol
635             iSCSI
636             iSNS
637
638    Q 1.3: Are there any plans to support {your favorite protocol}?
639
640    A: Support for particular protocols is added to Ethereal as a result
641    of people contributing that support; no formal plans for adding
642    support for particular protocols in particular future releases exist.
643
644    Q 1.4: Can Ethereal read capture files from {your favorite network
645    analyzer}?
646
647    A: Support for particular protocols is added to Ethereal as a result
648    of people contributing that support; no formal plans for adding
649    support for particular protocols in particular future releases exist.
650
651    If a network analyzer writes out files in a format already supported
652    by Ethereal (e.g., in libpcap format), Ethereal may already be able to
653    read them, unless the analyzer has added its own proprietary
654    extensions to that format.
655
656    If a network analyzer writes out files in its own format, or has added
657    proprietary extensions to another format, in order to make Ethereal
658    read captures from that network analyzer, we would either have to have
659    a specification for the file format, or the extensions, sufficient to
660    give us enough information to read the parts of the file relevant to
661    Ethereal, or would need at least one capture file in that format AND a
662    detailed textual analysis of the packets in that capture file (showing
663    packet time stamps, packet lengths, and the top-level packet header)
664    in order to reverse-engineer the file format.
665
666    Note that there is no guarantee that we will be able to
667    reverse-engineer a capture file format.
668
669    Q 1.5: What devices can Ethereal use to capture packets?
670
671    A: Ethereal can read live data from Ethernet, Token-Ring, FDDI, serial
672    (PPP and SLIP) (if the OS on which it's running allows Ethereal to do
673    so), 802.11 wireless LAN (if the OS on which it's running allows
674    Ethereal to do so), ATM connections (if the OS on which it's running
675    allows Ethereal to do so), and the "any" device supported on Linux by
676    recent versions of libpcap. See the list of supported capture media on
677    various OSes for details (several items in there say "Unknown", which
678    doesn't mean "Ethereal can't capture on them", it means "we don't know
679    whether it can capture on them"; we expect that it will be able to
680    capture on many of them, but we haven't tried it ourselves - if you
681    try one of those types and it works, please send an update to
682    ethereal-web[AT]ethereal.com).
683
684    It can also read a variety of capture file formats, including:
685      * libpcap/tcpdump
686      * Sun snoop/atmsnoop
687      * Shomiti/Finisar Surveyor
688      * LanAlyzer
689      * DOS-based Sniffer (compressed and uncompressed)
690      * MS Network Monitor
691      * AIX iptrace
692      * NetXray and Windows-based Sniffer
693      * EtherPeek/TokenPeek/AiroPeek
694      * RADCOM WAN/LAN analyzer
695      * Lucent/Ascend debug output
696      * Toshiba ISDN router "snoop" output
697      * HPUX nettl
698      * ISDN4BSD "i4btrace" utility.
699      * Cisco Secure IDS
700      * pppd log files (pppdump format)
701      * VMS TCPIPtrace
702      * DBS Etherwatch
703      * Visual Networks' Visual UpTime
704      * CoSine L2 debug
705
706    so that it can read traces from various network types, as captured by
707    other applications or equipment, even if it cannot itself capture on
708    those network types.
709
710    Q 1.6: How do you pronounce Ethereal? Where did the name come from?
711
712    A: The English pronunciation can be found in Merriam-Webster's online
713    dictionary at
714    http://www.m-w.com/cgi-bin/dictionary?book=Dictionary&va=ethereal.
715
716    According to the book "Computer Networks" by Andrew Tannenbaum,
717    Ethernet was named after the "luminiferous ether" which was once
718    thought to carry electromagnetic radiation. Taking that into
719    consideration, Ethereal seemed like an appropriate name for an
720    Ethernet analyzer.
721
722    DOWNLOADING ETHEREAL 
723    Q 2.1: I downloaded the Win32 installer, but when I try to run it, I
724    get an error.
725
726    A: The program you used to download it may have downloaded it
727    incorrectly. Web browsers sometimes may do this.
728
729    Try downloading it with, for example:
730      * Wget, for which Windows binaries are available on the SunSITE FTP
731        server at sunsite.tk or Heiko Herold's windows wget spot - wGetGUI
732        offers a GUI interface that uses wget;
733      * WS_FTP from Ipswitch,
734      * the ftp command that comes with Windows.
735
736    If you use the ftp command, make sure you do the transfer in binary
737    mode rather than ASCII mode, by using the binary command before
738    transferring the file.
739
740    Q 2.2: When I try to download the WinPcap driver and library, I can't
741    get to the WinPcap Web site.
742
743    A: As is the case with all Web sites, that site won't necessarily
744    always be accessible; the server may be down due to a problem or down
745    for maintenance, or there may be a networking problem between you and
746    the server. You should try again later, or try the local mirror or the
747    Wiretapped.net mirror.
748
749    INSTALLING ETHEREAL 
750    Q 3.1: I installed an Ethereal RPM, but Ethereal doesn't seem to be
751    installed; only Tethereal is installed.
752
753    A: Older versions of the Red Hat RPMs for Ethereal put only the
754    non-GUI components into the ethereal RPM, the fact that Ethereal is a
755    GUI program nonwithstanding; newer versions make it a bit clearer by
756    giving that RPM a name starting with ethereal-base.
757
758    In those older versions, there's a separate ethereal-gnome RPM that
759    includes GUI components such as Ethereal itself, the fact that
760    Ethereal doesn't use GNOME nonwithstanding; newer versions make it a
761    bit clearer by giving that RPM a name starting with ethereal-gtk+.
762
763    Find the ethereal-gnome or ethereal-gtk+ RPM, and install that also.
764
765    BUILDING ETHEREAL 
766    Q 4.1: The configure script can't find pcap.h or bpf.h, but I have
767    libpcap installed.
768
769    A: Are you sure pcap.h and bpf.h are installed? The official
770    distribution of libpcap only installs the libpcap.a library file when
771    "make install" is run. To install pcap.h and bpf.h, you must run "make
772    install-incl". If you're running Debian or Redhat, make sure you have
773    the "libpcap-dev" or "libpcap-devel" packages installed.
774
775    It's also possible that pcap.h and bpf.h have been installed in a
776    strange location. If this is the case, you may have to tweak
777    aclocal.m4.
778
779    Q 4.2: Why do I get the error 
780
781      dftest_DEPENDENCIES was already defined in condition TRUE, which
782      implies condition HAVE_PLUGINS_TRUE
783
784    when I try to build Ethereal from CVS or a CVS snapshot?
785
786    A: You probably have automake 1.5 installed on your machine (the
787    command automake --version will report the version of automake on your
788    machine). There is a bug in that version of automake that causes this
789    problem; upgrade to a later version of automake (1.6 or later).
790
791    Q 4.3: The link fails with a number of "Output line too long."
792    messages followed by linker errors. 
793
794    A: The version of the sed command on your system is incapable of
795    handling very long lines. On Solaris, for example, /usr/bin/sed has a
796    line length limit too low to allow libtool to work; /usr/xpg4/bin/sed
797    can handle it, as can GNU sed if you have it installed.
798
799    On Solaris, changing your command search path to search /usr/xpg4/bin
800    before /usr/bin should make the problem go away; on any platform on
801    which you have this problem, installing GNU sed and changing your
802    command path to search the directory in which it is installed before
803    searching the directory with the version of sed that came with the OS
804    should make the problem go away.
805
806    Q 4.4: The link fails on Solaris because plugin_list is undefined. 
807
808    A: This appears to be due to a problem with some versions of the GTK+
809    and GLib packages from www.sunfreeware.org; un-install those packages,
810    and try getting the 1.2.10 versions from that site, or the versions
811    from The Written Word, or the versions from Sun's GNOME distribution,
812    or the versions from the supplemental software CD that comes with the
813    Solaris media kit, or build them from source from the GTK Web site.
814    Then re-run the configuration script, and try rebuilding Ethereal. (If
815    you get the 1.2.10 versions from www.sunfreeware.org, and the problem
816    persists, un-install them and try installing one of the other versions
817    mentioned.)
818
819    Q 4.5: The build fails on Windows because of conflicts between
820    winsock.h and winsock2.h. 
821
822    A: As of Ethereal 0.9.5, you must install WinPcap 2.3 or later, and
823    the corresponding version of the developer's pack, in order to be able
824    to compile Ethereal; it will not compile with older versions of the
825    developer's pack. The symptoms of this failure are conflicts between
826    definitions in winsock.h and in winsock2.h; Ethereal uses winsock2.h,
827    but pre-2.3 versions of the WinPcap developer's packet use winsock.h.
828    (2.3 uses winsock2.h, so if Ethereal were to use winsock.h, it would
829    not be able to build with current versions of the WinPcap developer's
830    pack.)
831
832    Note that the installed version of the developer's pack should be the
833    same version as the version of WinPcap you have installed.
834
835    USING ETHEREAL 
836    Q 5.1: When I use Ethereal to capture packets, I see only packets to
837    and from my machine, or I'm not seeing all the traffic I'm expecting
838    to see from or to the machine I'm trying to monitor.
839
840    A: This might be because the interface on which you're capturing is
841    plugged into a switch; on a switched network, unicast traffic between
842    two ports will not necessarily appear on other ports - only broadcast
843    and multicast traffic will be sent to all ports.
844
845    Note that even if your machine is plugged into a hub, the "hub" may be
846    a switched hub, in which case you're still on a switched network.
847
848    Note also that on the Linksys Web site, they say that their
849    auto-sensing hubs "broadcast the 10Mb packets to the port that operate
850    at 10Mb only and broadcast the 100Mb packets to the ports that operate
851    at 100Mb only", which would indicate that if you sniff on a 10Mb port,
852    you will not see traffic coming sent to a 100Mb port, and vice versa.
853    This problem has also been reported for Netgear dual-speed hubs, and
854    may exist for other "auto-sensing" or "dual-speed" hubs.
855
856    Some switches have the ability to replicate all traffic on all ports
857    to a single port so that you can plug your analyzer into that single
858    port to sniff all traffic. You would have to check the documentation
859    for the switch to see if this is possible and, if so, to see how to do
860    this. See, for example:
861      * this documentation from Cisco on the Switched Port Analyzer (SPAN)
862        feature on Catalyst switches;
863      * documentation from HP on how to set "monitoring"/"mirroring" on
864        ports on the console for HP Advancestack Switch 208 and 224;
865      * the "Network Monitoring Port Features" section of chapter 6 of
866        documentation from HP for HP ProCurve Switches 1600M, 2424M,
867        4000M, and 8000M;
868      * the "Switch Port-Mirroring" section of chapter 6 of documentation
869        from Extreme Networks for their Summit 200 switches;
870      * the documentation on "Configuring Port Mirroring and Monitoring"
871        in Foundry Networks' documentation for their FastIron Edge
872        Switches;
873      * the documentation on "Configuring Port Mirroring and Monitoring"
874        in Foundry Networks' documentation for their BigIron MG8 Layer 3
875        Switches;
876      * the "Port Monitor" subsection of the "Status Monitor and
877        Statistics" section of the documentation from Foundry Networks for
878        their EdgeIron 4802F and 10GC2F switches;
879      * the "Configuring Port Mirroring" section of chapter 3 of the
880        documentation from Foundry Networks for their EdgeIron 24G,
881        2402CF, and 4802CF switches;
882      * the documentation on "Configuring Port Mirroring and Monitoring"
883        in Foundry Networks' documentation for their other switches and
884        metro routers.
885
886    Note also that many firewall/NAT boxes have a switch built into them;
887    this includes many of the "cable/DSL router" boxes. If you have a box
888    of that sort, that has a switch with some number of Ethernet ports
889    into which you plug machines on your network, and another Ethernet
890    port used to connect to a cable or DSL modem, you can, at least, sniff
891    traffic between the machines on your network and the Internet by
892    plugging the Ethernet port on the router going to the modem, the
893    Ethernet port on the modem, and the machine on which you're running
894    Ethereal into a hub (make sure it's not a switching hub, and that, if
895    it's a dual-speed hub, all three of those ports are running at the
896    same speed.
897
898    If your machine is not plugged into a switched network or a dual-speed
899    hub, or it is plugged into a switched network but the port is set up
900    to have all traffic replicated to it, the problem might be that the
901    network interface on which you're capturing doesn't support
902    "promiscuous" mode, or because your OS can't put the interface into
903    promiscuous mode. Normally, network interfaces supply to the host
904    only:
905      * packets sent to one of that host's link-layer addresses;
906      * broadcast packets;
907      * multicast packets sent to a multicast address that the host has
908        configured the interface to accept.
909
910    Most network interfaces can also be put in "promiscuous" mode, in
911    which they supply to the host all network packets they see. Ethereal
912    will try to put the interface on which it's capturing into promiscuous
913    mode unless the "Capture packets in promiscuous mode" option is turned
914    off in the "Capture Options" dialog box, and Tethereal will try to put
915    the interface on which it's capturing into promiscuous mode unless the
916    -p option was specified. However, some network interfaces don't
917    support promiscuous mode, and some OSes might not allow interfaces to
918    be put into promiscuous mode.
919
920    If the interface is not running in promiscuous mode, it won't see any
921    traffic that isn't intended to be seen by your machine. It will see
922    broadcast packets, and multicast packets sent to a multicast MAC
923    address the interface is set up to receive.
924
925    You should ask the vendor of your network interface whether it
926    supports promiscuous mode. If it does, you should ask whoever supplied
927    the driver for the interface (the vendor, or the supplier of the OS
928    you're running on your machine) whether it supports promiscuous mode
929    with that network interface.
930
931    In the case of token ring interfaces, the drivers for some of them, on
932    Windows, may require you to enable promiscuous mode in order to
933    capture in promiscuous mode. Ask the vendor of the card how to do
934    this, or see, for example, this information on promiscuous mode on
935    some Madge token ring adapters (note that those cards can have
936    promiscuous mode disabled permanently, in which case you can't enable
937    it).
938
939    In the case of wireless LAN interfaces, it appears that, when those
940    interfaces are promiscuously sniffing, they're running in a
941    significantly different mode from the mode that they run in when
942    they're just acting as network interfaces (to the extent that it would
943    be a significant effor for those drivers to support for promiscuously
944    sniffing and acting as regular network interfaces at the same time),
945    so it may be that Windows drivers for those interfaces don't support
946    promiscuous mode.
947
948    Q 5.2: I can't see any TCP packets other than packets to and from my
949    machine, even though another analyzer on the network sees those
950    packets.
951
952    A: You're probably not seeing any packets other than unicast packets
953    to or from your machine, and broadcast and multicast packets; a switch
954    will normally send to a port only unicast traffic sent to the MAC
955    address for the interface on that port, and broadcast and multicast
956    traffic - it won't send to that port unicast traffic sent to a MAC
957    address for some other interface - and a network interface not in
958    promiscuous mode will receive only unicast traffic sent to the MAC
959    address for that interface, broadcast traffic, and multicast traffic
960    sent to a multicast MAC address the interface is set up to receive.
961
962    TCP doesn't use broadcast or multicast, so you will only see your own
963    TCP traffic, but UDP services may use broadcast or multicast so you'll
964    see some UDP traffic - however, this is not a problem with TCP
965    traffic, it's a problem with unicast traffic, as you also won't see
966    all UDP traffic between other machines.
967
968    I.e., this is probably the same question as this earlier one; see the
969    response to that question.
970
971    Q 5.3: I'm only seeing ARP packets when I try to capture traffic.
972
973    A: You're probably on a switched network, and running Ethereal on a
974    machine that's not sending traffic to the switch and not being sent
975    any traffic from other machines on the switch. ARP packets are often
976    broadcast packets, which are sent to all switch ports.
977
978    I.e., this is probably the same question as this earlier one; see the
979    response to that question.
980
981    Q 5.4: I'm running Ethereal on Windows; why does some network
982    interface on my machine not show up in the list of interfaces in the
983    "Interface:" field in the dialog box popped up by "Capture->Start",
984    and/or why does Ethereal give me an error if I try to capture on that
985    interface? 
986
987    A: If you are running Ethereal on Windows NT 4.0, Windows 2000,
988    Windows XP, or Windows Server, and this is the first time you have run
989    a WinPcap-based program (such as Ethereal, or Tethereal, or WinDump,
990    or Analyzer, or...) since the machine was rebooted, you need to run
991    that program from an account with administrator privileges; once you
992    have run such a program, you will not need administrator privileges to
993    run any such programs until you reboot.
994
995    If you are running on Windows 95/98/Me, or if you are running on
996    Windows NT 4.0/2000/XP/Server and have administrator privileges or a
997    WinPcap-based program has been run with those privileges since the
998    machine rebooted, then note that Ethereal relies on the WinPcap
999    library, on the WinPcap device driver, and on the facilities that come
1000    with the OS on which it's running in order to do captures.
1001
1002    Therefore, if the OS, the WinPcap library, or the WinPcap driver don't
1003    support capturing on a particular network interface device, Ethereal
1004    won't be able to capture on that device.
1005
1006    Note that:
1007     1. 2.02 and earlier versions of the WinPcap driver and library that
1008        Ethereal uses for packet capture didn't support Token Ring
1009        interfaces; versions 2.1 and later support Token Ring, and the
1010        current version of Ethereal works with (and, in fact, requires)
1011        WinPcap 2.1 or later.
1012        If you are having problems capturing on Token Ring interfaces, and
1013        you have WinPcap 2.02 or an earlier version of WinPcap installed,
1014        you should uninstall WinPcap, download and install the current
1015        version of WinPcap, and then install the latest version of
1016        Ethereal.
1017     2. On Windows 95, 98, or Me, sometimes more than one interface will
1018        be given the same name; if that is the case, you will only be able
1019        to capture on one of those interfaces - it's not clear to which
1020        one the name, when used in a WinPcap-based application, will
1021        refer. For example, if you have a PPP serial interface and a VPN
1022        interface, they might show up with the same name, for example
1023        "ppp-mac", and if you try to capture on "ppp-mac", it might not
1024        capture on the interface you're currently using. In that case, you
1025        might, for example, have to remove the VPN interface from the
1026        system in order to capture on the PPP serial interface.
1027     3. WinPcap doesn't support PPP WAN interfaces on Windows
1028        NT/2000/XP/Server, so Ethereal cannot capture packets on those
1029        devices when running on Windows NT/2000/XP/Server. Regular dial-up
1030        lines, ISDN lines, and various other lines such as T1/E1 lines are
1031        all PPP interfaces. This may cause the interface not to show up on
1032        the list of interfaces in the "Capture Options" dialog.
1033     4. WinPcap prior to 3.0 does not support multiprocessor machines
1034        (note that machines with a single multi-threaded processor, such
1035        as Intel's new multi-threaded x86 processors, are multiprocessor
1036        machines as far as the OS and WinPcap are concerned), and recent
1037        2.x versions of WinPcap refuse to operate if they detect that
1038        they're running on a multiprocessor machine, which means that they
1039        may not show any network interfaces. You will need to use WinPcap
1040        3.0 to capture on a multiprocessor machine.
1041
1042    If an interface doesn't show up in the list of interfaces in the
1043    "Interface:" field, and you know the name of the interface, try
1044    entering that name in the "Interface:" field and capturing on that
1045    device.
1046
1047    If the attempt to capture on it succeeds, the interface is somehow not
1048    being reported by the mechanism Ethereal uses to get a list of
1049    interfaces; please report this to ethereal-dev@ethereal.com giving
1050    full details of the problem, including
1051      * the operating system you're using, and the version of that
1052        operating system;
1053      * the type of network device you're using.
1054
1055    If you are having trouble capturing on a particular network interface,
1056    first try capturing on that device with WinDump; see the WinDump Web
1057    site or the local mirror of the WinDump Web site for information on
1058    using WinDump.
1059
1060    If you can capture on the interface with WinDump, send mail to
1061    ethereal-users@ethereal.com giving full details of the problem,
1062    including
1063      * the operating system you're using, and the version of that
1064        operating system;
1065      * the type of network device you're using;
1066      * the error message you get from Ethereal.
1067
1068    If you cannot capture on the interface with WinDump, this is almost
1069    certainly a problem with one or more of:
1070      * the operating system you're using;
1071      * the device driver for the interface you're using;
1072      * the WinPcap library and/or the WinPcap device driver;
1073
1074    so first check the WinPcap FAQ, the local mirror of that FAQ, or the
1075    Wiretapped.net mirror of that FAQ, to see if your problem is mentioned
1076    there. If not, then see the WinPcap support page (or the local mirror
1077    of that page) - check the "Submitting bugs" section.
1078
1079    You may also want to ask the ethereal-users@ethereal.com and the
1080    winpcap-users@winpcap.polito.it mailing lists to see if anybody
1081    happens to know about the problem and know a workaround or fix for the
1082    problem. (Note that you will have to subscribe to that list in order
1083    to be allowed to mail to it; see the WinPcap support page, or the
1084    local mirror of that page, for information on the mailing list.) In
1085    your mail, please give full details of the problem, as described
1086    above, and also indicate that the problem occurs with WinDump, not
1087    just with Ethereal.
1088
1089    Q 5.5: I'm running on a UNIX-flavored OS; why does some network
1090    interface on my machine not show up in the list of interfaces in the
1091    "Interface:" field in the dialog box popped up by "Capture->Start",
1092    and/or why does Ethereal give me an error if I try to capture on that
1093    interface? 
1094
1095    A: You may need to run Ethereal from an account with sufficient
1096    privileges to capture packets, such as the super-user account. Only
1097    those interfaces that Ethereal can open for capturing show up in that
1098    list; if you don't have sufficient privileges to capture on any
1099    interfaces, no interfaces will show up in the list.
1100
1101    If you are running Ethereal from an account with sufficient
1102    privileges, then note that Ethereal relies on the libpcap library, and
1103    on the facilities that come with the OS on which it's running in order
1104    to do captures.
1105
1106    Therefore, if the OS or the libpcap library don't support capturing on
1107    a particular network interface device, Ethereal won't be able to
1108    capture on that device.
1109
1110    On Linux, note that you need to have "packet socket" support enabled
1111    in your kernel; see the "Packet socket" item in the Linux
1112    "Configure.help" file.
1113
1114    On BSD, note that you need to have BPF support enabled in your kernel;
1115    see the documentation for your system for information on how to enable
1116    BPF support (if it's not enabled by default on your system).
1117
1118    On DEC OSF/1, Digital UNIX, or Tru64 UNIX, note that you need to have
1119    packet filtering support in your kernel; the doconfig command will
1120    allow you to configure and build a new kernel with that option.
1121
1122    On Solaris, note that libpcap 0.6.2 and earlier didn't support Token
1123    Ring interfaces; the current version, 0.7.2, does support Token Ring,
1124    and the current version of Ethereal works with libcap 0.7.2 and later.
1125
1126    If an interface doesn't show up in the list of interfaces in the
1127    "Interface:" field, and you know the name of the interface, try
1128    entering that name in the "Interface:" field and capturing on that
1129    device.
1130
1131    If the attempt to capture on it succeeds, the interface is somehow not
1132    being reported by the mechanism Ethereal uses to get a list of
1133    interfaces; please report this to ethereal-dev@ethereal.com giving
1134    full details of the problem, including
1135      * the operating system you're using, and the version of that
1136        operating system (for Linux, give both the version number of the
1137        kernel and the name and version number of the distribution you're
1138        using);
1139      * the type of network device you're using.
1140
1141    If you are having trouble capturing on a particular network interface,
1142    and you've made sure that (on platforms that require it) you've
1143    arranged that packet capture support is present, as per the above,
1144    first try capturing on that device with tcpdump.
1145
1146    If you can capture on the interface with tcpdump, send mail to
1147    ethereal-users@ethereal.com giving full details of the problem,
1148    including
1149      * the operating system you're using, and the version of that
1150        operating system (for Linux, give both the version number of the
1151        kernel and the name and version number of the distribution you're
1152        using);
1153      * the type of network device you're using;
1154      * the error message you get from Ethereal.
1155
1156    If you cannot capture on the interface with tcpdump, this is almost
1157    certainly a problem with one or more of:
1158      * the operating system you're using;
1159      * the device driver for the interface you're using;
1160      * the libpcap library;
1161
1162    so you should report the problem to the company or organization that
1163    produces the OS (in the case of a Linux distribution, report the
1164    problem to whoever produces the distribution).
1165
1166    You may also want to ask the ethereal-users@ethereal.com and the
1167    tcpdump-workers@tcpdump.org mailing lists to see if anybody happens to
1168    know about the problem and know a workaround or fix for the problem.
1169    In your mail, please give full details of the problem, as described
1170    above, and also indicate that the problem occurs with tcpdump not just
1171    with Ethereal.
1172
1173    Q 5.6: How do I put an interface into promiscuous mode?
1174
1175    A: By not disabling promiscuous mode when running Ethereal or
1176    Tethereal.
1177
1178    Note, however, that:
1179      * the form of promiscuous mode that libpcap (the library that
1180        programs such as tcpdump, Ethereal, etc. use to do packet capture)
1181        turns on will not necessarily be shown if you run ifconfig on the
1182        interface on a UNIX system;
1183      * some network interfaces might not support promiscuous mode, and
1184        some drivers might not allow promiscuous mode to be turned on -
1185        see this earlier question for more information on that;
1186      * the fact that you're not seeing any traffic, or are only seeing
1187        broadcast traffic, or aren't seeing any non-broadcast traffic
1188        other than traffic to or from the machine running Ethereal, does
1189        not mean that promiscuous mode isn't on - see this earlier
1190        question for more information on that.
1191
1192    I.e., this is probably the same question as this earlier one; see the
1193    response to that question.
1194
1195    Q 5.7: I can set a display filter just fine, but capture filters don't
1196    work.
1197
1198    A: Capture filters currently use a different syntax than display
1199    filters. Here's the corresponding section from the ethereal(1) man
1200    page:
1201
1202    "Display filters in Ethereal are very powerful; more fields are
1203    filterable in Ethereal than in other protocol analyzers, and the
1204    syntax you can use to create your filters is richer. As Ethereal
1205    progresses, expect more and more protocol fields to be allowed in
1206    display filters.
1207
1208    Packet capturing is performed with the pcap library. The capture
1209    filter syntax follows the rules of the pcap library. This syntax is
1210    different from the display filter syntax."
1211
1212    The capture filter syntax used by libpcap can be found in the
1213    tcpdump(8) man page.
1214
1215    Q 5.8: I'm entering valid capture filters, but I still get "parse
1216    error" errors.
1217
1218    A: There is a bug in some versions of libpcap/WinPcap that cause it to
1219    report parse errors even for valid expressions if a previous filter
1220    expression was invalid and got a parse error.
1221
1222    Try exiting and restarting Ethereal; if you are using a version of
1223    libpcap/WinPcap with this bug, this will "erase" its memory of the
1224    previous parse error. If the capture filter that got the "parse error"
1225    now works, the earlier error with that filter was probably due to this
1226    bug.
1227
1228    The bug was fixed in libpcap 0.6; 0.4[.x] and 0.5[.x] versions of
1229    libpcap have this bug, but 0.6[.x] and later versions don't.
1230
1231    Versions of WinPcap prior to 2.3 are based on pre-0.6 versions of
1232    libpcap, and have this bug; WinPcap 2.3 is based on libpcap 0.6.2, and
1233    doesn't have this bug.
1234
1235    If you are running Ethereal on a UNIX-flavored platform, run "ethereal
1236    -v", or select "About Ethereal..." from the "Help" menu in Ethereal,
1237    to see what version of libpcap it's using. If it's not 0.6 or later,
1238    you will need either to upgrade your OS to get a later version of
1239    libpcap, or will need to build and install a later version of libpcap
1240    from the tcpdump.org Web site and then recompile Ethereal from source
1241    with that later version of libpcap.
1242
1243    If you are running Ethereal on Windows with a pre-2.3 version of
1244    WinPcap, you will need to un-install WinPcap and then download and
1245    install WinPcap 2.3.
1246
1247    Q 5.9: I saved a filter and tried to use its name to filter the
1248    display, but I got an "Unexpected end of filter string" error.
1249
1250    A: You cannot use the name of a saved display filter as a filter. To
1251    filter the display, you can enter a display filter expression - not
1252    the name of a saved display filter - in the "Filter:" box at the
1253    bottom of the display, and type the key or press the "Apply" button
1254    (that does not require you to have a saved filter), or, if you want to
1255    use a saved filter, you can press the "Filter:" button, select the
1256    filter in the dialog box that pops up, and press the "OK" button.
1257
1258    Q 5.10: Why am I seeing lots of packets with incorrect TCP checksums?
1259
1260    A: If the packets that have incorrect TCP checksums are all being sent
1261    by the machine on which Ethereal is running, this is probably because
1262    the network interface on which you're capturing does TCP checksum
1263    offloading. That means that the TCP checksum is added to the packet by
1264    the network interface, not by the OS's TCP/IP stack; when capturing on
1265    an interface, packets being sent by the host on which you're capturing
1266    are directly handed to the capture interface by the OS, which means
1267    that they are handed to the capture interface without a TCP checksum
1268    being added to them.
1269
1270    The only way to prevent this from happening would be to disable TCP
1271    checksum offloading, but
1272     1. that might not even be possible on some OSes;
1273     2. that could reduce networking performance significantly.
1274
1275    However, you can disable the check that Ethereal does of the TCP
1276    checksum, so that it won't report any packets as having TCP checksum
1277    errors, and so that it won't refuse to do TCP reassembly due to a
1278    packet having an incorrect TCP checksum. That can be set as an
1279    Ethereal preference by selecting "Preferences" from the "Edit" menu,
1280    opening up the "Protocols" list in the left-hand pane of the
1281    "Preferences" dialog box, selecting "TCP", from that list, turning off
1282    the "Check the validity of the TCP checksum when possible" option,
1283    clicking "Save" if you want to save that setting in your preference
1284    file, and clicking "OK".
1285
1286    It can also be set on the Ethereal or Tethereal command line with a -o
1287    tcp.check_checksum:false command-line flag, or manually set in your
1288    preferences file by adding a tcp.check_checksum:false line.
1289
1290    Q 5.11: I've just installed Ethereal, and the traffic on my local LAN
1291    is boring.
1292
1293    A: We have a collection of strange and exotic sample capture files at
1294    http://www.ethereal.com/sample/
1295
1296    Q 5.12: When I run Ethereal on Solaris 8, it dies with a Bus Error
1297    when I start it.
1298
1299    A: Some versions of the GTK+ library from www.sunfreeware.org appear
1300    to be buggy, causing Ethereal to drop core with a Bus Error.
1301    Un-install those packages, and try getting the 1.2.10 version from
1302    that site, or the version from The Written Word, or the version from
1303    Sun's GNOME distribution, or the version from the supplemental
1304    software CD that comes with the Solaris media kit, or build it from
1305    source from the GTK Web site. Update the GLib library to the 1.2.10
1306    version, from the same source, as well. (If you get the 1.2.10
1307    versions from www.sunfreeware.org, and the problem persists,
1308    un-install them and try installing one of the other versions
1309    mentioned.)
1310
1311    Similar problems may exist with older versions of GTK+ for earlier
1312    versions of Solaris.
1313
1314    Q 5.13: When I run Ethereal on Windows NT, it dies with a Dr. Watson
1315    error, reporting an "Integer division by zero" exception, when I start
1316    it.
1317
1318    A: In at least some case, this appears to be due to using the default
1319    VGA driver; if that's not the correct driver for your video card, try
1320    running the correct driver for your video card.
1321
1322    Q 5.14: When I try to run Ethereal, it complains about
1323    sprint_realloc_objid being undefined.
1324
1325    A: Ethereal can only be linked with version 4.2.2 or later of UCD
1326    SNMP. Your version of Ethereal was dynamically linked with such a
1327    version of UCD SNMP; however, you have an older version of UCD SNMP
1328    installed, which means that when Ethereal is run, it tries to link to
1329    the older version, and fails. You will have to replace that version of
1330    UCD SNMP with version 4.2.2 or a later version.
1331
1332    Q 5.15: I'm running Ethereal on Linux; why do my time stamps have only
1333    100ms resolution, rather than 1us resolution?
1334
1335    A: Ethereal gets time stamps from libpcap/WinPcap, and libpcap/WinPcap
1336    get them from the OS kernel, so Ethereal - and any other program using
1337    libpcap, such as tcpdump - is at the mercy of the time stamping code
1338    in the OS for time stamps.
1339
1340    At least on x86-based machines, Linux can get high-resolution time
1341    stamps on newer processors with the Time Stamp Counter (TSC) register;
1342    for example, Intel x86 processors, starting with the Pentium Pro, and
1343    including all x86 processors since then, have had a TSC, and other
1344    vendors probably added the TSC at some point to their families of x86
1345    processors.
1346
1347    The Linux kernel must be configured with the CONFIG_X86_TSC option
1348    enabled in order to use the TSC. Make sure this option is enabled in
1349    your kernel.
1350
1351    In addition, some Linux distributions may have bugs in their versions
1352    of the kernel that cause packets not to be given high-resolution time
1353    stamps even if the TSC is enabled. See, for example, bug 61111 for Red
1354    Hat Linux 7.2. If your distribution has a bug such as this, you may
1355    have to run a standard kernel from kernel.org in order to get
1356    high-resolution time stamps.
1357
1358    Q 5.16: I'm capturing packets on {Windows 95, Windows 98, Windows Me};
1359    why are the time stamps on packets wrong? 
1360
1361    A: This is due to a bug in WinPcap. The bug should be fixed in WinPcap
1362    3.0.
1363
1364    Q 5.17: When I try to run Ethereal on Windows, it fails to run because
1365    it can't find packet.dll.
1366
1367    A: In older versions of Ethereal, there were two binary distributions
1368    available for Windows, one that supported capturing packets, and one
1369    that didn't. The version that supported capturing packets required
1370    that you install the WinPcap driver; if you didn't install it, it
1371    would fail to run because it couldn't find packet.dll.
1372
1373    The current version of Ethereal has only one binary distribution for
1374    Windows; that version will check whether WinPcap is installed and, if
1375    it's not, will disable support for packet capture.
1376
1377    The WinPcap driver and libraries can be downloaded from the WinPcap
1378    Web site, the local mirror of the WinPcap Web site, or the
1379    Wiretapped.net mirror of the WinPcap site.
1380
1381    Q 5.18: I'm running Ethereal on Windows NT/2000/XP/Server; my machine
1382    has a PPP (dial-up POTS, ISDN, etc.) interface, and it shows up in the
1383    "Interface" item in the "Capture Options" dialog box. Why can no
1384    packets be sent on or received from that network while I'm trying to
1385    capture traffic on that interface?
1386
1387    A: WinPcap doesn't support PPP WAN interfaces on Windows
1388    NT/2000/XP/Server; one symptom that may be seen is that attempts to
1389    capture in promiscuous mode on the interface cause the interface to be
1390    incapable of sending or receiving packets. You can disable promiscuous
1391    mode using the -p command-line flag or the item in the "Capture
1392    Preferences" dialog box, but this may mean that outgoing packets, or
1393    incoming packets, won't be seen in the capture.
1394
1395    Q 5.19: I'm running Ethereal on Windows 95/98/Me, on a machine with
1396    more than one network adapter of the same type; Ethereal shows all of
1397    those adapters with the same name, but I can't use any of those
1398    adapters other than the first one.
1399
1400    A: Unfortunately, Windows 95/98/Me gives the same name to multiple
1401    instances of the type of same network adapter. Therefore, WinPcap
1402    cannot distinguish between them, so a WinPcap-based application can
1403    capture only on the first such interface; Ethereal is a
1404    libpcap/WinPcap-based application.
1405
1406    Q 5.20: I'm running Ethereal on Windows, and I'm not seeing any
1407    traffic being sent by the machine running Ethereal.
1408
1409    A: If you are running some form of VPN client software, it might be
1410    causing this problem; people have seen this problem when they have
1411    Check Point's VPN software installed on their machine. If that's the
1412    cause of the problem, you will have to remove the VPN software in
1413    order to have Ethereal (or any other application using WinPcap) see
1414    outgoing packets; unfortunately, neither we nor the WinPcap developers
1415    know any way to make WinPcap and the VPN software work well together.
1416
1417    Also, some drivers for Windows (especially some wireless network
1418    interface drivers) apparently do not, when running in promiscuous
1419    mode, arrange that outgoing packets are delivered to the software that
1420    requested that the interface run promiscuously; try turning
1421    promiscuous mode off.
1422
1423    Q 5.21: I'm trying to capture traffic but I'm not seeing any.
1424
1425    A: Is the machine running Ethereal sending out any traffic on the
1426    network interface on which you're capturing, or receiving any traffic
1427    on that network, or is there any broadcast traffic on the network or
1428    multicast traffic to a multicast group to which the machine running
1429    Ethereal belongs?
1430
1431    If not, this may just be a problem with promiscuous sniffing, either
1432    due to running on a switched network or a dual-speed hub, or due to
1433    problems with the interface not supporting promiscuous mode; see the
1434    response to this earlier question.
1435
1436    Otherwise, on Windows, see the response to this question and, on a
1437    UNIX-flavored OS, see the response to this question.
1438
1439    Q 5.22: I have an XXX network card on my machine; if I try to capture
1440    on it, my machine crashes or resets itself. 
1441
1442    A: This is almost certainly a problem with one or more of:
1443      * the operating system you're using;
1444      * the device driver for the interface you're using;
1445      * the libpcap/WinPcap library and, if this is Windows, the WinPcap
1446        device driver;
1447
1448    so:
1449      * if you are using Windows, see the WinPcap support page (or the
1450        local mirror of that page) - check the "Submitting bugs" section;
1451      * if you are using some Linux distribution, some version of BSD, or
1452        some other UNIX-flavored OS, you should report the problem to the
1453        company or organization that produces the OS (in the case of a
1454        Linux distribution, report the problem to whoever produces the
1455        distribution).
1456
1457    Q 5.23: My machine crashes or resets itself when I select "Start" from
1458    the "Capture" menu or select "Preferences" from the "Edit" menu. 
1459
1460    A: Both of those operations cause Ethereal to try to build a list of
1461    the interfaces that it can open; it does so by getting a list of
1462    interfaces and trying to open them. There is probably an OS, driver,
1463    or, for Windows, WinPcap bug that causes the system to crash when this
1464    happens; see the previous question.
1465
1466    Q 5.24: Does Ethereal work on Windows Me? 
1467
1468    A: Yes, but if you want to capture packets, you will need to install
1469    the latest version of WinPcap, as 2.02 and earlier versions of WinPcap
1470    didn't support Windows Me. You should also install the latest version
1471    of Ethereal as well.
1472
1473    Q 5.25: Does Ethereal work on Windows XP? 
1474
1475    A: Yes, but if you want to capture packets, you will need to install
1476    the latest version of WinPcap, as 2.2 and earlier versions of WinPcap
1477    didn't support Windows XP.
1478
1479    Q 5.26: Why doesn't Ethereal correctly identify RTP packets? It shows
1480    them only as UDP.
1481
1482    A: Ethereal can identify a UDP datagram as containing a packet of a
1483    particular protocol running atop UDP only if
1484     1. The protocol in question has a particular standard port number,
1485        and the UDP source or destination port number is that port
1486     2. Packets of that protocol can be identified by looking for a
1487        "signature" of some type in the packet - i.e., some data that, if
1488        Ethereal finds it in some particular part of a packet, means that
1489        the packet is almost certainly a packet of that type.
1490     3. Some other traffic earlier in the capture indicated that, for
1491        example, UDP traffic between two particular addresses and ports
1492        will be RTP traffic.
1493
1494    RTP doesn't have a standard port number, so 1) doesn't work; it
1495    doesn't, as far as I know, have any "signature", so 2) doesn't work.
1496
1497    That leaves 3). If there's RTSP traffic that sets up an RTP session,
1498    then, at least in some cases, the RTSP dissector will set things up so
1499    that subsequent RTP traffic will be identified. Currently, that's the
1500    only place we do that; there may be other places.
1501
1502    However, there will always be places where Ethereal is simply
1503    incapable of deducing that a given UDP flow is RTP; a mechanism would
1504    be needed to allow the user to specify that a given conversation
1505    should be treated as RTP. As of Ethereal 0.8.16, such a mechanism
1506    exists; if you select a UDP or TCP packet, the right mouse button menu
1507    will have a "Decode As..." menu item, which will pop up a dialog box
1508    letting you specify that the source port, the destination port, or
1509    both the source and destination ports of the packet should be
1510    dissected as some particular protocol.
1511
1512    Q 5.27: Why doesn't Ethereal show Yahoo Messenger packets in captures
1513    that contain Yahoo Messenger traffic?
1514
1515    A: Ethereal only recognizes as Yahoo Messenger traffic packets to or
1516    from TCP port 3050 that begin with "YPNS", "YHOO", or "YMSG". TCP
1517    segments that start with the middle of a Yahoo Messenger packet that
1518    takes more than one TCP segment will not be recognized as Yahoo
1519    Messenger packets (even if the TCP segment also contains the beginning
1520    of another Yahoo Messenger packet).
1521
1522    Q 5.28: Why do I get the error 
1523
1524      Gdk-ERROR **: Palettized display (256-colour) mode not supported on
1525      Windows.
1526      aborting....
1527
1528    when I try to run Ethereal on Windows?
1529
1530    A: Ethereal is built using the GTK+ toolkit, which supports most
1531    UNIX-flavored OSes, and also supports Windows.
1532
1533    Windows versions of Ethereal before 0.9.14 were built with an older
1534    version of that toolkit, which didn't support 256-color mode on
1535    Windows - it required HiColor (16-bit colors) or more.
1536
1537    Windows versions of Ethereal 0.9.14 and later are built with a version
1538    of that toolkit that supports 256-color mode; upgrade to the current
1539    version of Ethereal if you want to run on a display in 256-color mode.
1540
1541    Q 5.29: When I capture on Windows in promiscuous mode, I can see
1542    packets other than those sent to or from my machine; however, those
1543    packets show up with a "Short Frame" indication, unlike packets to or
1544    from my machine. What should I do to arrange that I see those packets
1545    in their entirety? 
1546
1547    A: In at least some cases, this appears to be the result of PGPnet
1548    running on the network interface on which you're capturing; turn it
1549    off on that interface.
1550
1551    Q 5.30: How can I capture raw 802.11 packets, including non-data
1552    (management, beacon) packets? 
1553
1554    A: That would require that your 802.11 interface run in the mode
1555    called "monitor mode" or "RFMON mode". Not all operating systems
1556    support that and, even on operating systems that do support it, not
1557    all drivers, and thus not all cards, support it.
1558
1559    NOTE: an interface running in monitor mode will, on most if not all
1560    platforms, not be able to act as a regular network interface; putting
1561    it into monitor mode will, in effect, take your machine off of
1562    whatever network it's on as long as the interface is in monitor mode,
1563    allowing it only to passively capture packets.
1564
1565    This means that you should disable name resolution when capturing in
1566    monitor mode; otherwise, when Ethereal (or Tethereal, or tcpdump)
1567    tries to display IP addresses as host names, it will probably block
1568    for a long time trying to resolve the name because it will not be able
1569    to communicate with any DNS or NIS servers.
1570
1571    Cisco Aironet cards:
1572
1573    The only platforms that allow Ethereal to capture raw 802.11 packets
1574    on Cisco Aironet cards are:
1575      * Linux, with a 2.4.6 or later kernel;
1576      * FreeBSD 4.6 or later, as the driver in FreeBSD 4.5 has bugs that
1577        cause packets not to be captured correctly, and the driver in
1578        releases prior to 4.5 didn't support capturing raw packets.
1579
1580    On FreeBSD, the ancontrol utility must be used. The command
1581
1582 ancontrol -i anN -M flag
1583
1584    is used to enable or disable monitor mode. If flag is 0, monitor mode
1585    will be turned off; otherwise, flag should be the sum of:
1586      * 1, to turn monitor mode on;
1587      * 2, if you want to capture traffic from any BSS rather than just
1588        the BSS with which the card is associated;
1589      * 4, if you want to see beacon packets (capturing beacon packets
1590        increases the CPU requirements of capturing).
1591
1592    Don't add 8 in; Ethereal currently doesn't support the full Aironet
1593    header.
1594
1595    On Linux with the driver in the 2.4.6 through 2.4.19 kernel, you will
1596    need to do
1597
1598 echo "Mode: rfmon" >/proc/driver/aironet/ethN/Config
1599
1600    if your Aironet card is ethN. To capture traffic from any BSS rather
1601    than just the BSS with which the card is associated, do
1602
1603 echo "Mode: y" >/proc/driver/aironet/ethN/Config
1604
1605    and to return to the normal mode, do
1606
1607 echo "Mode: ess" >/proc/driver/aironet/ethN/Config
1608
1609    On Linux with the driver in the 2.4.20 or later kernel, or with the
1610    CVS drivers from the airo-linux SourceForge site, you will have to
1611    capture on the wifiN interface if your Aironet card is ethN, after
1612    running the commands listed above.
1613
1614    In all of those cases, Ethereal would have to be linked with libpcap
1615    0.7.1 or later; this means that most Ethereal binary packages won't
1616    work unless they're statically linked with libpcap 0.7.1 or later, or
1617    they're dynamically linked with libpcap and your system has a libpcap
1618    0.7.1 or later shared library installed (note that libpcap source
1619    package from tcpdump.org does not build shared libraries). Some binary
1620    packaging mechanisms might make it difficult to install Ethereal
1621    binary packages built to depend on older libpcap binary packages if
1622    you have a newer libpcap binary package installed; the installer
1623    programs for those packaging mechanisms might support disabling
1624    dependency checking so that they will install Ethereal even though a
1625    newer version of libpcap is installed.
1626
1627    Cards using the Prism II chip set (see this page of Linux 802.11
1628    information for details on wireless cards, including information on
1629    the chips they use):
1630
1631    You can capture raw 802.11 packets with Prism II cards on Linux
1632    systems with the 0.1.14-pre6 or later version of the linux-wlan-ng
1633    drivers (see the linux-wlan page, and the linux-wlan-ng tarball
1634    directory).
1635
1636    Those require either Solomon Peachy's patch to libpcap 0.7.1 (see his
1637    libpcap-0.7.1-prism.diff file, or his RPMs of that version of
1638    libpcap), or the current CVS version of libpcap, which includes his
1639    patch (download it from the "Current Tar files" section of the
1640    tcpdump.org Web site). If you apply his patches to libpcap 0.7.1 and
1641    rebuild and install libpcap, or if you build and install the current
1642    CVS version of libpcap, you would have to rebuild Ethereal from
1643    source, linking it with that new version of libpcap; an Ethereal
1644    binary package would not work. Ethereal binary packages might work if
1645    you install the libpcap-0.7.1-1prism.i386.rpm RPM, as it might install
1646    a libpcap shared library in place of the one on your system.
1647
1648    You may have to run a command to put the interface into monitor mode,
1649    or to change other interface settings, and you might have to capture
1650    on a wlanN interface rather than a ethN interface, in order to capture
1651    raw 802.11 packets. The interface settings are available in your
1652    wlan-ng.conf file. See the wlan-ng FAQ for additional information.
1653
1654    On other platforms, capturing raw 802.11 packets on Prism II cards is
1655    not currently supported.
1656
1657    Orinoco Silver and Gold cards:
1658
1659    On Linux systems, there are patches on the Orinoco Monitor Mode Patch
1660    Page that should allow you to do capture raw 802.11 packets. You will
1661    have to determine which version of the driver you have, and select the
1662    appropriate patch.
1663
1664    Note that the page indicates that not all versions of the Orinoco
1665    firmware support this patch. It says, for some versions of the patch,
1666    "This patch should allow monitor mode with v8.10 firmware (untested w/
1667    8.42);" if you have version 8.10 or later firmware on your Orinoco
1668    cards, you might have to use those patches, with the corresponding
1669    versions of the Orinoco driver, in order to run in monitor mode.
1670
1671    That patch is written for the drivers included with the pcmcia-cs
1672    drivers, but works equally well for the Orinoco drivers provided with
1673    Linux kernels up to 2.4.20. To apply a patch to your kernel drivers,
1674    simply copy the orinoco-09b-patch.diff file to the
1675    /usr/src/linux/drivers/net directory and patch according to the
1676    directions on the Orinoco Monitor Mode Patch Page. You can double-
1677    check the version of the Orinoco drivers that shipped with your kernel
1678    by examining the first few lines of the orinoco.c file.
1679
1680    The Orinoco patches require either Solomon Peachy's patch to libpcap
1681    0.7.1 (see his libpcap-0.7.1-prism.diff file, or his RPMs of that
1682    version of libpcap), or the current CVS version of libpcap, which
1683    includes his patch (download it from the "Current Tar files" section
1684    of the tcpdump.org Web site). If you apply his patches to libpcap
1685    0.7.1 and rebuild and install libpcap, or if you build and install the
1686    current CVS version of libpcap, you would have to rebuild Ethereal
1687    from source, linking it with that new version of libpcap; an Ethereal
1688    binary package would not work. Ethereal binary packages might work if
1689    you install the libpcap-0.7.1-1prism.i386.rpm RPM, as it might install
1690    a libpcap shared library in place of the one on your system.
1691
1692    On other platforms, capturing raw 802.11 packets on Orinoco cards is
1693    not currently supported.
1694
1695    Cards with the Atheros Communications AR5000 or AR5001 chipsets:
1696
1697    You can capture raw 802.11 packets with AR5K cards on Linux systems
1698    with the v5_ar5k drivers. You will need the Linux wireless-tools
1699    version 25 or higher to put the card into monitor mode.
1700
1701    Cards with the Texas Instruments ACX100 chipset:
1702
1703    You can capture raw 802.11 packets with ACX100 cards on Linux systems
1704    with the ACX100 OSS drivers available from the ACX100 wireless network
1705    driver project SourceForge site.
1706
1707    Other 802.11 interfaces:
1708
1709    With other 802.11 interfaces, no platform allows Ethereal to capture
1710    raw 802.11 packets, as far as we know. If you know of other 802.11
1711    interfaces that are supported (note that there are many "Prism II
1712    cards", so your card might be a Prism II card), please let us know,
1713    and include URLs for sites containing any necessary patches to add
1714    this support.
1715
1716    On platforms that don't allow Ethereal to capture raw 802.11 packets,
1717    the 802.11 network will appear like an Ethernet to Ethereal.
1718
1719    Q 5.31: I'm trying to capture 802.11 traffic on Windows; why am I not
1720    seeing any packets? 
1721
1722    A: At least some 802.11 card drivers on Windows appear not to see any
1723    packets if they're running in promiscuous mode. Try turning
1724    promiscuous mode off; you'll only be able to see packets sent by and
1725    received by your machine, not third-party traffic, and it'll look like
1726    Ethernet traffic and won't include any management or control frames,
1727    but that's a limitation of the card drivers.
1728
1729    Q 5.32: I'm trying to capture 802.11 traffic on Windows; why am I
1730    seeing packets received by the machine on which I'm capturing traffic,
1731    but not packets sent by that machine? 
1732
1733    A: This appears to be another problem with promiscuous mode; try
1734    turning it off.
1735
1736    Q 5.33: How can I capture packets with CRC errors? 
1737
1738    A: Ethereal can capture only the packets that the packet capture
1739    library - libpcap on UNIX-flavored OSes, and the WinPcap port to
1740    Windows of libpcap on Windows - can capture, and libpcap/WinPcap can
1741    capture only the packets that the OS's raw packet capture mechanism
1742    (or the WinPcap driver, and the underlying OS networking code and
1743    network interface drivers, on Windows) will allow it to capture.
1744
1745    Unless the OS always supplies packets with errors such as invalid CRCs
1746    to the raw packet capture mechanism, or can be configured to do so,
1747    invalid CRCs to the raw packet capture mechanism, Ethereal - and other
1748    programs that capture raw packets, such as tcpdump - cannot capture
1749    those packets. You will have to determine whether your OS needs to be
1750    so configured and, if so, can be so configured, configure it if
1751    necessary and possible, and make whatever changes to libpcap and the
1752    packet capture program you're using are necessary, if any, to support
1753    capturing those packets.
1754
1755    Most OSes probably do not support capturing packets with invalid CRCs
1756    on Ethernet, and probably do not support it on most other link-layer
1757    types. Some drivers on some OSes do support it, such as some Ethernet
1758    drivers on FreeBSD; in those OSes, you might always get those packets,
1759    or you might only get them if you capture in promiscuous mode (you'd
1760    have to determine which is the case).
1761
1762    Note that libpcap does not currently supply to programs that use it an
1763    indication of whether the packet's CRC was invalid (because the
1764    drivers themselves do not supply that information to the raw packet
1765    capture mechanism); therefore, Ethereal will not indicate which
1766    packets had CRC errors unless the FCS was captured (see the next
1767    question) and you're using Ethereal 0.9.15 and later, in which case
1768    Ethereal will check the CRC and indicate whether it's correct or not.
1769
1770    Q 5.34: How can I capture entire frames, including the FCS? 
1771
1772    A: Ethereal can't capture any data that the packet capture library -
1773    libpcap on UNIX-flavored OSes, and the WinPcap port to Windows of
1774    libpcap on Windows - can capture, and libpcap/WinPcap can capture only
1775    the data that the OS's raw packet capture mechanism (or the WinPcap
1776    driver, and the underlying OS networking code and network interface
1777    drivers, on Windows) will allow it to capture.
1778
1779    For any particular link-layer network type, unless the OS supplies the
1780    FCS of a frame as part of the frame, or can be configured to do so,
1781    Ethereal - and other programs that capture raw packets, such as
1782    tcpdump - cannot capture the FCS of a frame. You will have to
1783    determine whether your OS needs to be so configured and, if so, can be
1784    so configured, configure it if necessary and possible, and make
1785    whatever changes to libpcap and the packet capture program you're
1786    using are necessary, if any, to support capturing the FCS of a frame.
1787
1788    Most OSes do not support capturing the FCS of a frame on Ethernet, and
1789    probably do not support it on most other link-layer types. Some
1790    drivres on some OSes do support it, such as some (all?) Ethernet
1791    drivers on NetBSD and possibly the driver for Apple's gigabit Ethernet
1792    interface in Mac OS X; in those OSes, you might always get the FCS, or
1793    you might only get the FCS if you capture in promiscuous mode (you'd
1794    have to determine which is the case).
1795
1796    Versions of Ethereal prior to 0.9.15 will not treat an Ethernet FCS in
1797    a captured packet as an FCS. 0.9.15 and later will attempt to
1798    determine whether there's an FCS at the end of the frame and, if it
1799    thinks there is, will display it as such, and will check whether it's
1800    the correct CRC-32 value or not.
1801
1802    Q 5.35: Ethereal hangs after I stop a capture. 
1803
1804    A: The most likely reason for this is that Ethereal is trying to look
1805    up an IP address in the capture to convert it to a name (so that, for
1806    example, it can display the name in the source address or destination
1807    address columns), and that lookup process is taking a very long time.
1808
1809    Ethereal calls a routine in the OS of the machine on which it's
1810    running to convert of IP addresses to the corresponding names. That
1811    routine probably does one or more of:
1812      * a search of a system file listing IP addresses and names;
1813      * a lookup using DNS;
1814      * on UNIX systems, a lookup using NIS;
1815      * on Windows systems, a NetBIOS-over-TCP query.
1816
1817    If a DNS server that's used in an address lookup is not responding,
1818    the lookup will fail, but will only fail after a timeout while the
1819    system routine waits for a reply.
1820
1821    In addition, on Windows systems, if the DNS lookup of the address
1822    fails, either because the server isn't responding or because there are
1823    no records in the DNS that could be used to map the address to a name,
1824    a NetBIOS-over-TCP query will be made. That query involves sending a
1825    message to the NetBIOS-over-TCP name service on that machine, asking
1826    for the name and other information about the machine. If the machine
1827    isn't running software that responds to those queries - for example,
1828    many non-Windows machines wouldn't be running that software - the
1829    lookup will only fail after a timeout. Those timeouts can cause the
1830    lookup to take a long time.
1831
1832    If you disable network address-to-name translation - for example, by
1833    turning off the "Enable network name resolution" option in the "Name
1834    resolution" options in the dialog box you get by selecting
1835    "Preferences" from the "Edit" menu - the lookups of the address won't
1836    be done, which may speed up the process of reading the capture file
1837    after the capture is stopped. You can make that setting the default by
1838    using the "Save" button in that dialog box; note that this will save
1839    all your current preference settings.
1840
1841    If Ethereal hangs when reading a capture even with network name
1842    resolution turned off, there might, for example, be a bug in one of
1843    Ethereal's dissectors for a protocol causing it to loop infinitely.
1844    The bug should be reported to the Ethereal developers' mailing list at
1845    ethereal-dev@ethereal.com.
1846
1847    On UNIX-flavored OSes, please try to force Ethereal to dump core, by
1848    sending it a SIGABRT signal (usually signal 6) with the kill command,
1849    and then get a stack trace if you have a debugger installed. A stack
1850    trace can be obtained by using your debugger (gdb in this example),
1851    the Ethereal binary, and the resulting core file. Here's an example of
1852    how to use the gdb command backtrace to do so.
1853         $ gdb ethereal core
1854         (gdb) backtrace
1855         ..... prints the stack trace
1856         (gdb) quit
1857         $
1858
1859    The core dump file may be named "ethereal.core" rather than "core" on
1860    some platforms (e.g., BSD systems)
1861
1862    Also, if at all possible, please send a copy of the capture file that
1863    caused the problem; when capturing packets, Ethereal normally writes
1864    captured packets to a temporary file, which will probably be in /tmp
1865    or /var/tmp on UNIX-flavored OSes and \TEMP on Windows, so the capture
1866    file will probably be there. It will have a name beginning with ether,
1867    with some mixture of letters and numbers after that. Please don't send
1868    a trace file greater than 1 MB when compressed. If the trace file
1869    contains sensitive information (e.g., passwords), then please do not
1870    send it.
1871
1872    Q 5.36: How can I search for, or filter, packets that have a
1873    particular string anywhere in them? 
1874
1875    A: If you want to do this when capturing, you can't. That's a feature
1876    that would be hard to implement in capture filters without changes to
1877    the capture filter code, which, on many platforms, is in the OS kernel
1878    and, on other platforms, is in the libpcap library.
1879
1880    In releases prior to 0.9.14, you also can't search for, or filter,
1881    packets containing a particular string even after you've captured
1882    them.
1883
1884    In 0.9.14, you can search for, but not filter, packets that have a
1885    particular string; this has been added to the "Find Frame" dialog
1886    ("Find Frame" under the "Edit" menu, or control-F).
1887
1888    In 0.9.15 and later, you can search for those packets using either the
1889    mechanism introduced in 0.9.14 or using the new "contains" operator in
1890    filter expressions, which lets you search the entire packet or text
1891    string or byte string fields in the packet; the "contains" operator
1892    can also be used in expressions used to filter the display.
1893
1894
1895    Support can be found on the ethereal-users[AT]ethereal.com mailing
1896    list. 
1897    For corrections/additions/suggestions for this page, please send email
1898    to: ethereal-web[AT]ethereal.com
1899    Last modified: Fri, December 12 2003.