home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2011 November / CHIP_2011_11.iso / Programy / Narzedzia / Aplikacje_64-bitowe / Wireshark / wireshark-win64-1.6.1.exe / README.txt

< prev

next >

Wrap

Text File  |  2011-07-18  |  11KB  |  265 lines

---

1. $Id: README 25606 2008-06-25 23:07:40Z gerald $
2.  
3. General Information
4. ------- -----------
5.  
6. Wireshark is a network traffic analyzer, or "sniffer", for Unix and
7. Unix-like operating systems.  It uses GTK+, a graphical user interface
8. library, and libpcap, a packet capture and filtering library.
9.  
10. The Wireshark distribution also comes with TShark, which is a
11. line-oriented sniffer (similar to Sun's snoop, or tcpdump) that uses the
12. same dissection, capture-file reading and writing, and packet filtering
13. code as Wireshark, and with editcap, which is a program to read capture
14. files and write the packets from that capture file, possibly in a
15. different capture file format, and with some packets possibly removed
16. from the capture.
17.  
18. The official home of Wireshark is
19.  
20.     http://www.wireshark.org
21.  
22. The latest distribution can be found in the subdirectory
23.  
24.     http://www.wireshark.org/download
25.  
26.  
27. Installation
28. ------------
29.  
30. Wireshark is known to compile and run on the following systems:
31.  
32.   - Linux (2.0 and later kernels, various distributions)
33.   - Solaris (2.5.1 and later)
34.   - FreeBSD (2.2.5 and later)
35.   - NetBSD
36.   - OpenBSD
37.   - Mac OS X (10.2 and later)
38.   - HP-UX (10.20, 11.00, 11.11)
39.   - Sequent PTX v4.4.5  (Nick Williams <njw@sequent.com>)
40.   - Tru64 UNIX (formerly Digital UNIX) (3.2 and later)
41.   - Irix (6.5)
42.   - AIX (4.3.2, with a bit of work)
43.   - Windows (2000, 2003, XP, Vista)
44.  
45. and possibly on other versions of those OSes.  It should run on other
46. Unix-ish systems without too much trouble.
47.  
48. If you have an older version of the operating systems listed above, it
49. might be supported by an older version of Wireshark. In particular,
50. Windows NT 4.0 is supported by Wireshark 0.99.4, and Windows 95, 98, and
51. ME are supported by Ethereal 0.99.0.
52.  
53. NOTE: the Makefile appears to depend on GNU "make"; it doesn't appear to
54. work with the "make" that comes with Solaris 7 nor the BSD "make".
55. Perl is also needed to create the man page.
56.  
57. If you decide to modify the yacc grammar or lex scanner, then
58. you need "flex" - it cannot be built with vanilla "lex" -
59. and either "bison" or the Berkeley "yacc". Your flex
60. version must be 2.5.1 or greater. Check this with 'flex -V'.
61.  
62. If you decide to modify the NetWare Core Protocol dissector, you
63. will need python, as the data for packet types is stored in a python
64. script, ncp2222.py.
65.  
66. You must therefore install Perl, GNU "make", "flex", and either "bison" or
67. Berkeley "yacc" on systems that lack them.
68.  
69. Full installation instructions can be found in the INSTALL file.
70.          
71. See also the appropriate README.<OS> files for OS-specific installation
72. instructions.
73.  
74. Usage
75. -----          
76.  
77. In order to capture packets from the network, you need to make the
78. dumpcap program set-UID to root, or you need to have access to the
79. appropriate entry under /dev if your system is so inclined (BSD-derived
80. systems, and systems such as Solaris and HP-UX that support DLPI,
81. typically fall into this category).  Although it might be tempting to
82. make the Wireshark and TShark executables setuid root, or to run them as
83. root please don't.  The capture process has been isolated in dumpcap;
84. this simple program is less likely to contain security holes, and thus
85. safer to run as root.
86.  
87. Please consult the man page for a description of each command-line
88. option and interface feature.
89.  
90.  
91. Multiple File Types
92. -------------------
93.  
94. The wiretap library is a packet-capture library currently under
95. development parallel to wireshark.  In the future it is hoped that
96. wiretap will have more features than libpcap, but wiretap is still in
97. its infancy. However, wiretap is used in wireshark for its ability
98. to read multiple file types. You can read the following file
99. formats:
100.  
101. libpcap (tcpdump -w, etc.) - this is Wireshark's native format
102. snoop and atmsnoop
103. Shomiti/Finisar Surveyor
104. Novell LANalyzer
105. Network General/Network Associates DOS-based Sniffer (compressed and
106.     uncompressed)
107. Microsoft Network Monitor
108. AIX's iptrace
109. Cinco Networks NetXRray
110. Network Associates Windows-based Sniffer
111. AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/EtherHelp
112. RADCOM's WAN/LAN Analyzer
113. Lucent/Ascend access products
114. HP-UX's nettl
115. Toshiba's ISDN routers
116. ISDN4BSD "i4btrace" utility
117. Cisco Secure Intrustion Detection System iplogging facility
118. pppd logs (pppdump-format files)
119. VMS's TCPIPtrace utility
120. DBS Etherwatch for VMS
121. Traffic captures from Visual Networks' Visual UpTime
122. CoSine L2 debug output
123. Output from Accellent's 5Views LAN agents
124. Endace Measurement Systems' ERF format
125. Linux Bluez Bluetooth stack "hcidump -w" traces
126. Network Instruments Observer version 9
127. Trace files for the EyeSDN USB S0
128.  
129. In addition, it can read gzipped versions of any of these files
130. automatically, if you have the zlib library available when compiling
131. Wireshark. Wireshark needs a modern version of zlib to be able to use
132. zlib to read gzipped files; version 1.1.3 is known to work.  Versions
133. prior to 1.0.9 are missing some functions that Wireshark needs and won't
134. work.  "./configure" should detect if you have the proper zlib version
135. available and, if you don't, should disable zlib support. You can always
136. use "./configure --disable-zlib" to explicitly disable zlib support.
137.  
138. Although Wireshark can read AIX iptrace files, the documentation on
139. AIX's iptrace packet-trace command is sparse.  The 'iptrace' command
140. starts a daemon which you must kill in order to stop the trace. Through
141. experimentation it appears that sending a HUP signal to that iptrace
142. daemon causes a graceful shutdown and a complete packet is written
143. to the trace file. If a partial packet is saved at the end, Wireshark
144. will complain when reading that file, but you will be able to read all
145. other packets.  If this occurs, please let the Wireshark developers know
146. at wireshark-dev@wireshark.org, and be sure to send us a copy of that trace
147. file if it's small and contains non-sensitive data.
148.  
149. Support for Lucent/Ascend products is limited to the debug trace output
150. generated by the MAX and Pipline series of products.  Wireshark can read
151. the output of the "wandsession" "wandisplay", "wannext", and "wdd"
152. commands. 
153.  
154. Wireshark can also read dump trace output from the Toshiba "Compact Router"
155. line of ISDN routers (TR-600 and TR-650). You can telnet to the router
156. and start a dump session with "snoop dump".
157.  
158. CoSine L2 debug output can also be read by Wireshark. To get the L2
159. debug output, get in the diags mode first and then use
160. "create-pkt-log-profile" and "apply-pkt-log-profile" commands under
161. layer-2 category. For more detail how to use these commands, you
162. should examine the help command by "layer-2 create ?" or "layer-2 apply ?".
163.  
164. To use the Lucent/Ascend, Toshiba and CoSine traces with Wireshark, you must 
165. capture the trace output to a file on disk.  The trace is happening inside 
166. the router and the router has no way of saving the trace to a file for you.
167. An easy way of doing this under Unix is to run "telnet <ascend> | tee <outfile>".
168. Or, if your system has the "script" command installed, you can save
169. a shell session, including telnet to a file. For example, to a file named
170. tracefile.out:
171.  
172. $ script tracefile.out
173. Script started on <date/time>
174. $ telnet router
175. ..... do your trace, then exit from the router's telnet session.
176. $ exit
177. Script done on <date/time>
178.  
179.  
180.  
181. IPv6
182. ----
183. If your operating system includes IPv6 support, wireshark will attempt to
184. use reverse name resolution capabilities when decoding IPv6 packets.
185.  
186. If you want to turn off name resolution while using wireshark, start
187. wireshark with the "-n" option to turn off all name resolution (including
188. resolution of MAC addresses and TCP/UDP/SMTP port numbers to names), or
189. with the "-N mt" option to turn off name resolution for all
190. network-layer addresses (IPv4, IPv6, IPX).
191.  
192. You can make that the default setting by opening the Preferences dialog
193. box using the Preferences item in the Edit menu, selecting "Name
194. resolution", turning off the appropriate name resolution options,
195. clicking "Save", and clicking "OK".
196.  
197. If you would like to compile wireshark without support for IPv6 name
198. resolution, use the "--disable-ipv6" option with "./configure".  If you
199. compile wireshark without IPv6 name resolution, you will still be able to
200. decode IPv6 packets, but you'll only see IPv6 addresses, not host names.
201.  
202.  
203. SNMP
204. ----
205. Wireshark can do some basic decoding of SNMP packets; it can also use
206. the libsmi library to do more sophisticated decoding, by reading MIB
207. files and using the information in those files to display OIDs and
208. variable binding values in a friendlier fashion.  The configure script
209. will automatically determine whether you have the libsmi library on
210. your system.  If you have the libsmi library but _do not_ want to have
211. Wireshark use it, you can run configure with the "--without-libsmi"
212. option.
213.  
214. How to Report a Bug
215. -------------------
216. Wireshark is still under constant development, so it is possible that you will
217. encounter a bug while using it. Please report bugs at http://bugs.wireshark.org.
218. Be sure you enter into the bug:
219.  
220.     1) the complete build information from the "About Wireshark"
221.        item in the Help menu or the output of "wireshark -v" for
222.        Wireshark bugs and the output of "tshark -v" for TShark bugs;
223.  
224.     2) if the bug happened on Linux, the Linux distribution you were
225.        using, and the version of that distribution;
226.  
227.     3) the command you used to invoke Wireshark, if you ran
228.        Wireshark from the command line, or TShark, if you ran
229.        TShark, and the sequence of operations you performed that
230.        caused the bug to appear.
231.  
232. If the bug is produced by a particular trace file, please be sure to
233. attach to the bug a trace file along with your bug description.  If the
234. trace file contains sensitive information (e.g., passwords), then please
235. do not send it.
236.  
237. If Wireshark died on you with a 'segmentation violation', 'bus error',
238. 'abort', or other error that produces a UNIX core dump file, you can
239. help the developers a lot if you have a debugger installed.  A stack
240. trace can be obtained by using your debugger ('gdb' in this example),
241. the wireshark binary, and the resulting core file.  Here's an example of
242. how to use the gdb command 'backtrace' to do so.
243.  
244. $ gdb wireshark core
245. (gdb) backtrace
246. ..... prints the stack trace
247. (gdb) quit
248. $
249.  
250. The core dump file may be named "wireshark.core" rather than "core" on
251. some platforms (e.g., BSD systems).  If you got a core dump with
252. TShark rather than Wireshark, use "tshark" as the first argument to
253. the debugger; the core dump may be named "tshark.core".
254.  
255. Disclaimer
256. ----------
257.  
258. There is no warranty, expressed or implied, associated with this product.
259. Use at your own risk.
260.  
261.  
262. Gerald Combs <gerald@wireshark.org>
263. Gilbert Ramirez <gram@alumni.rice.edu>
264. Guy Harris <guy@alum.mit.edu>
265.