home *** CD-ROM | disk | FTP | other *** search
/ PC World 2002 October / PCWorld_2002-10_cd.bin / Software / Topware / ethereal / ethereal-setup-0.9.6.exe / README < prev    next >
Encoding:
Text File  |  2002-08-14  |  11.1 KB  |  268 lines
  1. $Id: README,v 1.59 2002/07/31 19:27:39 guy Exp $
  2.  
  3. General Information
  4. ------- -----------
  5.  
  6. Ethereal is a network traffic analyzer, or "sniffer", for Unix and
  7. Unix-like operating systems.  It uses GTK+, a graphical user interface
  8. library, and libpcap, a packet capture and filtering library.
  9.  
  10. The Ethereal distribution also comes with Tethereal, which is a
  11. line-oriented sniffer (similar to Sun's snoop, or tcpdump) that uses the
  12. same dissection, capture-file reading and writing, and packet filtering
  13. code as Ethereal, and with editcap, which is a program to read capture
  14. files and write the packets from that capture file, possibly in a
  15. different capture file format, and with some packets possibly removed
  16. from the capture.
  17.  
  18. The official home of Ethereal is
  19.  
  20.     http://www.ethereal.com
  21.  
  22. The latest distribution can be found in the subdirectory
  23.  
  24.     http://www.ethereal.com/distribution
  25.  
  26.  
  27. Installation
  28. ------------
  29.  
  30. Ethereal is known to compile and run on the following systems:
  31.  
  32.   - Linux (2.0.x, 2.1.x, 2.2.x, 2.3.x, 2.4.x)
  33.   - Solaris (2.5.1, 2.6, 7)
  34.   - FreeBSD (2.2.5, 2.2.6, 3.1, 3.2, 3.3)
  35.   - Sequent PTX v4.4.5  (Nick Williams <njw@sequent.com>)
  36.   - Tru64 UNIX (formerly Digital UNIX) (3.2, 4.0)
  37.   - Irix (6.5)
  38.   - AIX (4.3.2, with a bit of work)
  39.   - Win32 (NT, 98)
  40.  
  41. It should run on other Unix-ish systems without too much trouble.
  42.  
  43. NOTE: the Makefile appears to depend on GNU "make"; it doesn't appear to
  44. work with the "make" that comes with Solaris 7 nor the BSD "make".
  45. Perl is also needed to create the man page.
  46.  
  47. If you decide to modify the yacc grammar or lex scanner, then
  48. you need "flex" - it cannot be built with vanilla "lex" -
  49. and either "bison" or the Berkeley "yacc". Your flex
  50. version must be 2.5.1 or greater. Check this with 'flex -V'.
  51.  
  52. If you decide to modify the NetWare Core Protocol dissector, you
  53. will need python, as the data for packet types is stored in a python
  54. script, ncp2222.py.
  55.  
  56. You must therefore install Perl, GNU "make", "flex", and either "bison" or
  57. Berkeley "yacc" on systems that lack them.
  58.  
  59. Full installation instructions can be found in the INSTALL file.
  60.          
  61. See also the appropriate README.<OS> files for OS-specific installation
  62. instructions.
  63.  
  64. Usage
  65. -----          
  66.  
  67. In order to capture packets from the network, you need to be running as
  68. root, or have access to the appropriate entry under /dev if your system
  69. is so inclined (BSD-derived systems, and systems such as Solaris and
  70. HP-UX that support DLPI, typically fall into this category).  Although
  71. it might be tempting to make the Ethereal executable setuid root, please
  72. don't - alpha code is by nature not very robust, and liable to contain
  73. security holes.
  74.  
  75. Please consult the man page for a description of each command-line
  76. option and interface feature.
  77.  
  78.  
  79. Multiple File Types
  80. -------------------
  81.  
  82. The wiretap library is a packet-capture library currently under
  83. development parallel to ethereal.  In the future it is hoped that
  84. wiretap will have more features than libpcap, but wiretap is still in
  85. its infancy. However, wiretap is used in ethereal for its ability
  86. to read multiple file types. You can read the following file
  87. formats:
  88.  
  89. libpcap (tcpdump -w, etc.) - this is Ethereal's native format
  90. snoop and atmsnoop
  91. Shomiti/Finisar Surveyor
  92. Novell LANalyzer
  93. Network General/Network Associates DOS-based Sniffer (compressed and
  94.     uncompressed)
  95. Microsoft Network Monitor
  96. AIX's iptrace
  97. Cinco Networks NetXRray
  98. Network Associates Windows-based Sniffer
  99. AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek
  100. RADCOM's WAN/LAN Analyzer
  101. Lucent/Ascend access products
  102. HP-UX's nettl
  103. Toshiba's ISDN routers
  104. ISDN4BSD "i4btrace" utility
  105. Cisco Secure Intrustion Detection System iplogging facility
  106. pppd logs (pppdump-format files)
  107. VMS's TCPIPtrace utility
  108. DBS Etherwatch for VMS
  109. Traffic captures from Visual Networks' Visual UpTime
  110. CoSine L2 debug output
  111.  
  112. In addition, it can read gzipped versions of any of these files
  113. automatically, if you have the zlib library available when compiling
  114. Ethereal. Ethereal needs a modern version of zlib to be able to use
  115. zlib to read gzipped files; version 1.1.3 is known to work.  Versions
  116. prior to 1.0.9 are missing some functions that Ethereal needs and won't
  117. work.  "./configure" should detect if you have the proper zlib version
  118. available and, if you don't, should disable zlib support. You can always
  119. use "./configure --disable-zlib" to explicitly disable zlib support.
  120.  
  121. Although Ethereal can read AIX iptrace files, the documentation on
  122. AIX's iptrace packet-trace command is sparse.  The 'iptrace' command
  123. starts a daemon which you must kill in order to stop the trace. Through
  124. experimentation it appears that sending a HUP signal to that iptrace
  125. daemon causes a graceful shutdown and a complete packet is written
  126. to the trace file. If a partial packet is saved at the end, Ethereal
  127. will complain when reading that file, but you will be able to read all
  128. other packets.  If this occurs, please let the Ethereal developers know
  129. at ethereal-dev@ethereal.com, and be sure to send us a copy of that trace
  130. file if it's small and contains non-sensitive data.
  131.  
  132. Support for Lucent/Ascend products is limited to the debug trace output
  133. generated by the MAX and Pipline series of products.  Ethereal can read
  134. the output of the "wandsession" "wandisplay", "wannext", and "wdd"
  135. commands.  For detailed information on use of these commands, please refer
  136. the following pages:
  137.  
  138. "wandsession", "wandisplay", and "wannext" on the Pipeline series:
  139.   http://aos.ascend.com/aos:/gennavviewer.html?doc_id=0900253d80006c79
  140.  
  141. "wandsession", "wandisplay", and "wannext" on the MAX series:
  142.   http://aos.ascend.com/aos:/gennavviewer.html?doc_id=0900253d80006972
  143.  
  144. "wdd" on the Pipeline series:
  145.   http://aos.ascend.com/aos:/gennavviewer.html?doc_id=0900253d80006877
  146.  
  147. Ethereal can also read dump trace output from the Toshiba "Compact Router"
  148. line of ISDN routers (TR-600 and TR-650). You can telnet to the router
  149. and start a dump session with "snoop dump".
  150.  
  151. CoSine L2 debug output can also be read by Ethereal. To get the L2
  152. debug output, get in the diags mode first and then use
  153. "create-pkt-log-profile" and "apply-pkt-log-profile" commands under
  154. layer-2 category. For more detail how to use these commands, you
  155. should examine the help command by "layer-2 create ?" or "layer-2 apply ?".
  156.  
  157. To use the Lucent/Ascend, Toshiba and CoSine traces with Ethereal, you must 
  158. capture the trace output to a file on disk.  The trace is happening inside 
  159. the router and the router has no way of saving the trace to a file for you.
  160. An easy way of doing this under Unix is to run "telnet <ascend> | tee <outfile>".
  161. Or, if your system has the "script" command installed, you can save
  162. a shell session, including telnet to a file. For example, to a file named
  163. tracefile.out:
  164.  
  165. $ script tracefile.out
  166. Script started on <date/time>
  167. $ telnet router
  168. ..... do your trace, then exit from the router's telnet session.
  169. $ exit
  170. Script done on <date/time>
  171.  
  172.  
  173.  
  174. IPv6
  175. ----
  176. If your operating system includes IPv6 support, ethereal will attempt to
  177. use reverse name resolution capabilities when decoding IPv6 packets.
  178.  
  179. If you want to turn off name resolution while using ethereal, start
  180. ethereal with the "-n" option to turn off all name resolution (including
  181. resolution of MAC addresses and TCP/UDP/SMTP port numbers to names), or
  182. with the "-N mt" option to turn off name resolution for all
  183. network-layer addresses (IPv4, IPv6, IPX).
  184.  
  185. You can make that the default setting by opening the Preferences dialog
  186. box using the Preferences item in the Edit menu, selecting "Name
  187. resolution", turning off the appropriate name resolution options,
  188. clicking "Save", and clicking "OK".
  189.  
  190. If you would like to compile ethereal without support for IPv6 name
  191. resolution, use the "--disable-ipv6" option with "./configure".  If you
  192. compile ethereal without IPv6 name resolution, you will still be able to
  193. decode IPv6 packets, but you'll only see IPv6 addresses, not host names.
  194.  
  195.  
  196. SNMP
  197. ----
  198. Ethereal can do some basic decoding of SNMP packets; it can also use the
  199. UCD SNMP library, version 4.2.2 or later, to do more sophisticated
  200. decoding, by reading MIB files and using the information in those files
  201. to display OIDs and variable binding values in a friendlier fashion. 
  202. The configure script will automatically determine whether you have the
  203. UCD SNMP library on your system, and will use it if it's version 4.2.2
  204. or later.  If you have an SNMP library but _do not_ want to have
  205. ethereal use it, you can run configure with the "--without-ucdsnmp"
  206. option.
  207.  
  208. If you have an earlier version of the UCD SNMP library on your system,
  209. the configure script will stop, reporting that it can't find the
  210. "sprint_realloc_objid()" routine; you should either upgrade to version
  211. 4.2.4 or later, as UCD SNMP 4.2.4 fixes some potential buffer overflow
  212. problems, or should configure with "--without-ucdsnmp".
  213.  
  214.  
  215. How to Report a Bug
  216. -------------------
  217. Ethereal is still under constant development, so it is possible that you will
  218. encounter a bug while using it. Please report bugs to ethereal-dev@ethereal.com.
  219. Be sure you tell us:
  220.  
  221.     1) Operating System and version (the command 'uname -sr' may
  222.        tell you this, although on Linux systems it will probably
  223.        tell you only the version number of the Linux kernel, not of
  224.        the distribution as a whole; on Linux systems, please tell us
  225.        both the version number of the kernel, and which version of
  226.        which distribution you're running)
  227.     2) Version of GTK+ (the command 'gtk-config --version' will tell you)
  228.     3) Version of Ethereal (the command 'ethereal -v' will tell you,
  229.        unless the bug is so severe as to prevent that from working,
  230.        and should also tell you the versions of libraries with which
  231.        it was built)
  232.     4) The command you used to invoke Ethereal, and the sequence of
  233.        operations you performed that caused the bug to appear
  234.  
  235. If the bug is produced by a particular trace file, please be sure to send
  236. a trace file along with your bug description. Please don't send a trace file
  237. greater than 1 MB when compressed. If the trace file contains sensitive
  238. information (e.g., passwords), then please do not send it.
  239.  
  240. If Ethereal died on you with a 'segmentation violation', 'bus error',
  241. 'abort', or other error that produces a UNIX core dump file, you can
  242. help the developers a lot if you have a debugger installed.  A stack
  243. trace can be obtained by using your debugger ('gdb' in this example),
  244. the ethereal binary, and the resulting core file.  Here's an example of
  245. how to use the gdb command 'backtrace' to do so.
  246.  
  247. $ gdb ethereal core
  248. (gdb) backtrace
  249. ..... prints the stack trace
  250. (gdb) quit
  251. $
  252.  
  253. The core dump file may be named "ethereal.core" rather than "core" on
  254. some platforms (e.g., BSD systems).  If you got a core dump with
  255. Tethereal rather than Ethereal, use "tethereal" as the first argument to
  256. the debugger; the core dump may be named "tethereal.core".
  257.  
  258. Disclaimer
  259. ----------
  260.  
  261. There is no warranty, expressed or implied, associated with this product.
  262. Use at your own risk.
  263.  
  264.  
  265. Gerald Combs <gerald@ethereal.com>
  266. Gilbert Ramirez <gram@alumni.rice.edu>
  267. Guy Harris <guy@alum.mit.edu>
  268.