MANUAL DE ETHEREALINSTALACIÓN Y USO

Ricardo Díez Antequera

L&M Data Communications 2005

MANUAL DE ETHEREALINSTALACIÓN Y USO

Copyright (c) 2005 L&M Data Communications S. A.

Permission is granted to copy, distribute and/or modify this document under the terms of theGNU Free Documentation License, Version 1.2 or any later version published by the Free SoftwareFoundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copyof the license is included in the section entitled "GNU Free Documentation License".

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 3

Tabla de contenidos

1. INTRODUCCIÓN 41.1 ¿Qué es Ethereal? 41.2 El Estado de Ethereal 121.3 Desarrollo y Mantenimiento de Ethereal 121.4 Plataformas sobre las que corre Ethereal 121.5 Dónde conseguir Ethereal 121.6 Informando de problemas y Consiguiendo ayuda 13

2 COMPILANDO E INSTALANDO ETHEREAL 132.1 Introducción 132.2 Obteniendo las distribuciones fuente y binaria 142.3 Antes de compilar Ethereal 142.4 Compilando desde el Fuente bajo UNIX 162.5 Instalando los binarios bajo UNIX 172.6 Instalando desde RPMs bajo Linux 172.7 Instalando desde debs bajo Debian 172.8 Instalando Ethereal bajo Windows 17

3 USANDO ETHEREAL 183.1 Introducción 183.2 Iniciar Ethereal 183.3 Los menus de Ethereal 223.4 El menú File de Ethereal 233.5 El menú Edit de Ethereal 253.6 El menú View de Ethereal 263.7 El menú Go de Ethereal 293.8 El menú Capture de Ethereal 303.9 El menú Analyze de Ethereal 313.10 El menú Statistics de Ethereal 333.11 El menú Help de Ethereal 373.12 Capturando paquetes con Ethereal 37

Cuadro de diálogo Preferencias de Captura 383.13 Filtrando mientras se captura 403.14 Viendo los paquetes que se han capturado 413.15 Guardando los paquetes capturados 45

Cuadro de diálogo Guardar Fichero de captura Como 453.16 Leyendo ficheros de captura 47

El cuadro de diálogo Abrir Fichero 483.17 Filtrando paquetes mientras se ven 49

Construyendo expresiones de filtro 503.18 Coloreado de paquetes 533.19 Encontrando paquetes 553.20 Siguiendo flujos TCP 563.21 Definiendo y guardando filtros 573.22 El cuadro de diálogo Añadir Expresión 583.23 Imprimiendo paquetes 603.24 Preferencias de Ethereal 61

4 GNU FREE DOCUMENTATION LICENSE 63

MANUAL DE ETHEREAL

4 © L&M Data Communications www.LMdata.es

1. Introducción

1.1 ¿Qué es Ethereal?Todos los administradores de red necesitan tarde o temprano una herramienta que pueda

capturar paquetes de la red y analizarlos. En el pasado, estas herramientas eran muy caras,propietarias, o ambas cosas. Sin embargo, con la lleagada de Ethereal, todo eso ha cambiado.

Ethereal es quizá uno de los mejores sniffers open source disponibles hoy en día. Algunas de suscaracterísticas son:

• Disponible para UNIX y para Windows.

• Captura y muestra paquetes desde cualquier interface en un sistema UNIX.

• Muestra paquetes capturados por otros programas de captura, como:o tcpdump (libpcap/WinPcap)

o Cinco Networks NetXRay

o Sniffer y Sniffer Pro de Network Associates

! Para DOS o Windows

! Comprimido o no

o NetXray

o LANalyzer de Novell

o Shomiti/Finesar Surveyor

o iptrace de AIX

o AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek

o WAN/LAN Analyzer de RADCOM

o Productos de acceso Lucent/Ascend

o nettl de HP-UX

o Salida en formato IPLog del Cisco Secure Intrusion Detection System

o Logs pppd (formato pppdump)

o Utilidad TCPIPtrace de VMS

o Salida de texto de la utilidad DBS Etherwatch VMS

o Ficheros de capura de tráfico de Visual UpTime de Visual Networks

o Salida debug de CoSine L2

o Routers ISDN de Toshiba

o Utilidad i4btrace de ISDN4BSD

o Microsoft Network Monitor

o snoop y atmsnoop de Sun

• Guarda las capturas en varios formatos:o libpcap (tcpdump)

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 5

o Sun snoop

o Microsoft Network Monitor

o Network Associates Sniffer

• Filtra paquetes por muchos criterios.

• Busca paquetes usando filtros.

• Colorea paquetes basándose en filtrosSin embargo, para apreciar realmente su potencia, lo mejor es empezar a utilizarlo.

La Figura 1-1 muestra Ethereal habiendo capturado algunos paquetes y esperando que el usuarioexamine los paquetes.

Figura 1-1. Ethereal captura paquetes y permite examinar su contenido.

Además, como todo el código fuente de Ethereal está gratuitamente disponible, es muy fácilañadir nuevos protocolos a Ethereal, así como módulos, o modificar el código fuente.

Hay actualmente decodificadores de protocolo (o disectores, como se les llama en Ethereal),para un gran número de protocolos, incluyendo:

• 802.1q Virtual LAN• 802.1x Authentication• AOL Instant Messenger• ATM• ATM LAN Emulation• Ad hoc On-demand Distance Vector Routing Protocol• Ad hoc On-demand Distance Vector Routing Protocol v6• Address Resolution Protocol• Aggregate Server Access Protocol

MANUAL DE ETHEREAL

6 © L&M Data Communications www.LMdata.es

• Andrew File System (AFS)• Apache JServ Protocol v1.3• AppleTalk Filing Protocol• AppleTalk Session Protocol• AppleTalk Transaction Protocol packet• Appletalk Address Resolution Protocol• Async data over ISDN (V.120)• Authentication Header• BACnet Virtual Link Control• Banyan Vines• Banyan Vines Fragmentation Protocol• Banyan Vines SPP• Blocks Extensible Exchange Protocol• Parámetros Boot• Bootstrap Protocol• Border Gateway Protocol• Building Automation and Control Network APDU• Building Automation and Control Network NPDU• Checkpoint FW-1• Cisco Auto-RP• Cisco Discovery Protocol• Cisco Group Management Protocol• Cisco HDLC• Cisco Hot Standby Router Protocol• Cisco ISL• Cisco Interior Gateway Routing Protocol• Cisco SLARP• CoSine IPNOS L2 debug output• Common Open Policy Service• Common Unix Printing System (CUPS) Browsing Protocol• DCE RPC• DCE/RPC Conversation Manager• DCE/RPC Endpoint Mapper• DCE/RPC Remote Management• DCOM OXID Resolver• DCOM Remote Activation• DEC Spanning Tree Protocol• DHCPv6• Data• Data Link SWitching• Data Stream Interface• Datagram Delivery Protocol• Diameter Protocol• Distance Vector Multicast Routing Protocol• Distributed Checksum Clearinghouse Prototocl• Domain Name Service• Dynamic DNS Tools Protocol

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 7

• Encapsulating Security Payload• Enhanced Interior Gateway Routing Protocol• Ethernet• Extensible Authentication Protocol• Datos FTP• Fiber Distributed Data Interface• File Transfer Protocol (FTP)• Trama• Frame Relay• GARP Multicast Registration Protocol• GARP VLAN Registration Protocol• GPRS Tunneling Protocol• GPRS Tunnelling Protocol v0• GPRS Tunnelling Protocol v1• General Inter-ORB Protocol• Generic Routing Encapsulation• Gnutella Protocol• Hummingbird NFS Daemon• Hypertext Transfer Protocol• ICQ Protocol• IEEE 802.11 wireless LAN• Trama IEEE 802.11 wireless LAN management• ILMI• IP Payload Compression• IPX Message• IPX Routing Information Protocol• ISDN Q.921-User Adaptation Layer• ISDN User Part• ISO 10589 ISIS InTRA Domain Routeing Information Exchange Protocol• ISO 8073 COTP Connection-Oriented Transport Protocol• ISO 8473 CLNP ConnectionLess Network Protocol• ISO 8602 CLTP ConnectionLess Transport Protocol• ISO 9542 ESIS Routeing Information Exchange Protocol• ITU-T Recommendation H.261• Inter-Access-Point Protocol• Internet Cache Protocol• Internet Content Adaptation Protocol• Internet Control Message Protocol• Internet Control Message Protocol v6• Internet Group Management Protocol• Internet Message Access Protocol• Internet Printing Protocol• Internet Protocol• Internet Protocol Version 6• Internet Relay Chat• Internet Security Association and Key Management Protocol• Internetwork Packet eXchange

MANUAL DE ETHEREAL

8 © L&M Data Communications www.LMdata.es

• Java RMI• Java Serialization• Kerberos• Kernel Lock Manager• Label Distribution Protocol• Layer 2 Tunneling Protocol• Lightweight Directory Access Protocol• Line Printer Daemon Protocol• Link Access Procedure Balanced (LAPB)• Link Access Procedure Balanced Ethernet (LAPBETHER)• Link Access Procedure, Channel D (LAPD)• Link Aggregation Control Protocol• Link Management Protocol (LMP)• Captura Linux cooked-mode• Local Management Interface• LocalTalk Link Access Protocol• Logical-Link Control• Lucent/Ascend debug output• MMS Message Encapsulation• MS Proxy Protocol• MSNIP: Multicast Source Notification of Interest Protocol• MTP 2 Transparent Proxy• MTP 2 User Adaptation Layer• MTP 3 User Adaptation Layer• MTP2 Peer Adaptation Layer• Malformed Packet• Message Transfer Part Level 2• Message Transfer Part Level 3• Microsoft Distributed File System• Microsoft Exchange MAPI• Microsoft Local Security Architecture• Microsoft Network Logon• Microsoft Registry• Microsoft Security Account Manager• Microsoft Server Service• Microsoft Spool Subsystem• Microsoft Telephony API Service• Microsoft Windows Browser Protocol• Microsoft Windows Lanman Remote API Protocol• Microsoft Windows Logon Protocol• Microsoft Workstation Service• Mobile IP• Modbus/TCP• Mount Service• MultiProtocol Label Switching Header• Multicast Router DISCovery protocol• Multicast Source Discovery Protocol

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 9

• NFSACL• NFSAUTH• NIS+• NIS+ Callback• NSPI• NTLM Secure Service Provider• Name Binding Protocol• Name Management Protocol over IPX• NetBIOS• NetBIOS Datagram Service• NetBIOS Name Service• NetBIOS Session Service• NetBIOS over IPX• NetWare Core Protocol• Network Data Management Protocol• Network File System• Network Lock Manager Protocol• Network News Transfer Protocol• Network Status Monitor CallBack Protocol• Network Status Monitor Protocol• Network Time Protocol• Null/Loopback• Open Shortest Path First• Fichero log de OpenBSD Packet Filter• PC NFS• PPP Bandwidth Allocation Control Protocol• PPP Bandwidth Allocation Protocol• PPP Callback Control Protocol• PPP Challenge Handshake Authentication Protocol• PPP Compressed Datagram• PPP Compression Control Protocol• PPP IP Control Protocol• PPP Link Control Protocol• PPP Multilink Protocol• PPP Multiplexing• PPP Password Authentication Protocol• PPP VJ Compression• PPP-over-Ethernet Discovery• PPP-over-Ethernet Session• PPPMux Control Protocol• Point-to-Point Protocol• Point-to-Point Tunnelling Protocol• Portmap• Post Office Protocol• Pragmatic General Multicast• Prism• Protocol Independent Multicast

MANUAL DE ETHEREAL

10 © L&M Data Communications www.LMdata.es

• Q.2931• Q.931• Quake II Network Protocol• Quake III Arena Network Protocol• Quake Network Protocol• QuakeWorld Network Protocol• Qualified Logical Link Control• RFC 2250 MPEG1• RIPng• RPC Browser• RSTAT• RX Protocol• Radio Access Network Application Part• Radius Protocol• Raw packet data• Real Time Streaming Protocol• Real-Time Transport Protocol• Real-time Transport Control Protocol• Remote Procedure Call• Remote Quota• Remote Shell• Remote Wall protocol• Resource ReserVation Protocol (RSVP)• Rlogin Protocol• Routing Information Protocol• Routing Table Maintenance Protocol• SADMIND• SCSI• SMB (Server Message Block Protocol)• SMB MailSlot Protocol• SMB Pipe Protocol• SNA-over-Ethernet• SNMP Multiplex Protocol• SPRAY• SS7 SCCP-User Adaptation Layer• SSCOP• Secure Socket Layer• Sequenced Packet eXchange• Service Advertisement Protocol• Service Location Protocol• Session Announcement Protocol• Session Description Protocol• Session Initiation Protocol• Short Frame• Short Message Peer to Peer• Signalling Connection Control Part• Simple Mail Transfer Protocol

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 11

• Simple Network Management Protocol• Sinec H1 Protocol• Skinny Client Control Protocol• SliMP3 Communication Protocol• Socks Protocol• Spanning Tree Protocol• Stream Control Transmission Protocol• Syslog message• Systems Network Architecture• TACACS• TACACS+• TPKT• Telnet• Time Protocol• Time Synchronization Protocol• Token-Ring• Token-Ring Media Access Control• Transmission Control Protocol• Transparent Network Substrate Protocol• Trivial File Transfer Protocol• Universal Computer Protocol• Unreassembled Fragmented Packet• User Datagram Protocol• Virtual Router Redundancy Protocol• Virtual Trunking Protocol• Web Cache Coordination Protocol• Wellfleet Compression• Who• Wireless Session Protocol• Wireless Transaction Protocol• Wireless Transport Layer Security• X Display Manager Control Protocol• X.25• X.25 over TCP• X11• Xyplex• Yahoo Messenger Protocol• Yellow Pages Bind• Yellow Pages Passwd• Yellow Pages Service• Yellow Pages Transfer• Zebra Protocol• Zone Information Protocol• iSCSI

MANUAL DE ETHEREAL

12 © L&M Data Communications www.LMdata.es

1.2 El Estado de EtherealEthereal es un proyecto de software open source, liberado bajo la Licencia Pública GNU (GPL).

Todo el código fuente está gratuitamente disponible bajo la GPL. Se puede modificar Ethereal paraadecuarlo a las propias necesidades.

El código fuente de Ethereal y los kits binarios para algunas plataformas están disponibles en elweb de Ethereal: http://www.ethereal.com.

1.3 Desarrollo y Mantenimiento de EtherealEthereal fue inicialmente desarrollado por Gerald Combs. El desarrollo y mantenimiento actual

de Ethereal lo lleva el equipo Ethereal, un grupo que arregla bugs y proporciona nuevasfuncionalidades.

Hay también un gran número de gente que ha contribuido con disectores de protocolo paraEthereal, y se espera que esto continuará. Se puede encontrar una lista de la gente que hacontribuido al código de Ethereal en el enlace “Authors” en el web.

1.4 Plataformas sobre las que corre EtherealEthereal actualmente funciona en la mayoría de las plataformas UNIX y las distintas plataformas

Windows.

Necesita GTK+, GLIB y libpcap para funcionar.

Hay paquetes binarios disponibles al menos para las siguientes plataformas:

• AIX

• Tru64 UNIX (formerly Digital UNIX)

• Debian GNU/Linux

• Slackware Linux

• Red Hat Linux

• FreeBSD

• NetBSD

• OpenBSD

• HP/UX

• Sparc/Solaris 8

• Windows 2000, Windows NT y Windows Me/98/95Si no hay un paquete binario para una plataforma, se puede descargar el código fuente e intentar

compilarlo.

1.5 Dónde conseguir EtherealSe puede conseguir la última version de Ethereal en el web de Ethereal:

http://www.ethereal.com/. El web te permite escoger entre varios espejos para la descarga.

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 13

1.6 Informando de problemas y Consiguiendo ayudaSi tiene problemas, o necesita ayuda con Ethereal, hay varias listas de mailing que pueden ser de

su interés:

Ethereal UsersEsta lista es para usuarios de Ethereal. La gente deja preguntas sobre la compilación y uso deEthereal. Otros proporcionan respuestas.

Ethereal AnnounceEsta lista es para los que desean recibir anuncios sobre Ethereal.

Ethereal DevEsta lista es para desarrolladores de Ethereal. Si desea empezar a desarrollar un disector deprotocolo, únase a esta lista.

Puede suscribirse a cada una de estas listas desde el web de Ethereal: http://www.ethereal.com/.Simplemente seleccione el enlace a las listas de mailing en la parte izquierda del sitio web. Laslistas se archivan también en el web de Ethereal.

Cuando se informa de fallos con Ethereal, es de utilidad proporcionar la siguiente información:

1. El número de versión de Ethereal con que se produjo el problema, p. ej. Ethereal 0.9.10.

2. El número de versión de cualquier otro software relacionado con Ethereal, p. ej. GTK+, etc.Se puede obtener esta información con el comando ethereal -v.

3. Un traceback si Ethereal falló. Se puede obtener con los siguientes comandos:$ gdb `whereis ethereal | cut -f2 -d: | cut -f’ ’ -d2` core >& backtrace.txtbacktrace^D$Nota: ¡Teclee los caracteres de la primera línea tal como aparecen! ¡Hay apóstrofes directos e inversos!

Nota: backtrace es un comando gdb. Se deben introducer tal como aparecen después de la primera líneamostrada arriba. El ^D (Control-D, esto es, presione la tecla Control y la tecla D juntas) hará que finalicegdb. Esto dejará un fichero llamado backtrace.txt en el directorio actual. Incluya el fichero con suinforme de error.

Nota: Si gdb no está disponible, habrá que comprobar el depurador del sistema operativo. Los usuarios deWindows podrían verse incapaces de conseguir un traceback.

Se debería enviar el traceback a la lista de mailing ethereal-dev.

2 Compilando e Instalando Ethereal

2.1 IntroducciónComo con todas las cosas, debe haber un comienza, y así es con Ethereal. Para usar Ethereal, se

debet:

• Obtener un paquete binario para su sistema operativo, o

• Obtener el código fuente y compilar Ethereal para su sistema operativo.Actualmente, solo dos o tres Distribuciones de Linux incluyen Ethereal, y normalmente incluyen

una versión desactualizada. Ninguna otra versión de UNIX incluye Ethereal hasta ahora, y

MANUAL DE ETHEREAL

14 © L&M Data Communications www.LMdata.es

Microsoft no lo incluye en ninguna versión de Windows. Por esta razón, es necesario saber dóndeconseguir la última versión de Ethereal y cómo instalarlo.

La versión actual de Ethereal es la 0.10.9.

Este capítulo muestra cómo obtener los paquetes fuente y binario, y cómo compilar Etherealdesde el código fuente, aconsejable sobre todo en entornos UNIX.

En general, se deberían seguir los pasos siguientes:

1. Descargue el paquete relevante para sus necesidades, por ejemplo, la distribución fuente obinaria.

2. Compilar el código fuente a un binario, si se ha descargado el fuente. Esto puede implicarcompilar y/o instalar cualquier otro paquete necesario.

3. Instalar los binarios en sus destinos finales.

2.2 Obteniendo las distribuciones fuente y binariaSe pueden obtener tanto la distribución fuente como la binaria desde el web de Ethereal:

http://www.ethereal.com/. Simplemente pulse el enlace “download”, y a continuación seleccione elpaquete fuente o binario de su elección desde el web espejo más cercano.

Descargue todos los archivos necesarios: En general, a menos que se haya descargado Etherealanteriormente, probablemente sea necesario descargar varios paquetes fuente si se está compilandoEthereal desde el fuente. Esto se cubre con más detalle más abajo.

Una vez que se hayan descargado los archivos relevantes, se puede ir al siguiente paso.Nota: A pesar de que hay varios paquetes binarios disponibles en el web de Ethereal, podría no encontraruno para su plataforma, y a menudo tienden a ser de versiones anteriores a la actualmente distribuida, yaque son proporcionados por gente que tiene las plataformas para las que están compilados.

Por esta razón, es possible que prefiera descargar la distribución y compilarla, ya que el proceso esrelativamente simple.

2.3 Antes de compilar EtherealAntes de compilar Ethereal de los fuentes, o instalar un paquete binario, se debe asegurar de que

tiene los siguientes paquetes instalados:

• GTK+, El Kit de Heramientas GIMP.También se puede necesitar Glib. Ambos se pueden obtener de www.gtk.org

• libpcap, el software de captura de paquetes que usa Ethereal.Se puede obtener libpcap de www.tcpdump.org

Dependiendo de su sistema, puede ser posible instalarlos desde binarios, p. ej. RPMs, o puedeser necesario obtenerlos en forma de código fuente y compilarlos.

Si se ha descargado el fuente para GTK+, las instrucciones mostradas en el Ejemplo 2-1 puedenproporcionarle alguna ayuda para compilarlo:

Ejemplo 2-1. Compilando GTK+ desde el fuente

gzip -dc gtk+-1.2.8.tar.gz | tar xvf

<mucha salida borrada>

cd gtk+-1.2.8

./configure

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 15

<mucha salida borrada>

make

<mucha salida borrada>

make install

<mucha salida borrada>

¡Nota!: Puede ser necesario cambiar el número de versión de gtk+ en el Ejemplo 2-1 para que coincidacon la versión de GTK+ que se ha descargado. El directorio al que se vaya cambiará si la versión deGTK+ cambia, y en todos los casos, tar xvf – mostrará el nombre del directorio al que se debería ir.

¡Nota!: Si usa Linux, o tiene GNU tar instalado, puede usar tar zxvf gtk+-1.2.8.tar.gz. También esposible usar gunzip -c o gzcat mejor que gzip -dc en muchos sistemas UNIX.

¡Nota!: Si se descargó gtk+ o cualquier otro archivo tar usando Windows, se puede encontrar un archivollamado gtk+-1_2_8_tar.gz.

Se debería consultar el web de GTK+ si ocurren errores siguiendo las instrucciones del Ejemplo2-1.

Si se ha descargado el fuente para libpcap, las instrucciones generales mostradas en el Ejemplo2-2 le ayudarán a compilarlo. Además, si su sistema operativo no soporta tcpdump, también puededescargarlo del web de tcpdump e instalarlo.

Ejemplo 2-2. Compilando e instalando libpcap

gzip -dc libpcap-0.5.tar.Z | tar xvf

<mucha salida borrada>

cd libpcap_0_5rel2

./configure

<mucha salida borrada>

make

<mucha salida borrada>

make install

<mucha salida borrada>

make install-incl

<mucha salida borrada>

¡Nota!: El directorio al que se vaya a cambiar dependerá de la versión de libpcap que se haya descargado.En todos los casos, tar xvf – mostrará el nombre del directorio donde ha sido desempaquetado.

Cuando se instalan los archivos include, se podría obtener el error del Ejemplo 2-3 cuande seejecuta el comando make install-incl.

Ejemplo 2-3. Errores mientras se instalan los archivos include de libpcap

/usr/local/include/pcap.h

/usr/bin/install -c -m 444 -o bin -g bin ./pcap-namedb.h \

/usr/local/include/pcap-namedb.h

/usr/bin/install -c -m 444 -o bin -g bin ./net/bpf.h \

/usr/local/include/net/bpf.h

MANUAL DE ETHEREAL

16 © L&M Data Communications www.LMdata.es

/usr/bin/install: cannot create regular file \

‘/usr/local/include/net/bpf.h’: No such file or directory

make: *** [install-incl] Error 1

Si es así, simplemente cree el directoro que falta con el siguiente comando:mkdir /usr/local/include/net

y reejecute el comando make install-incl.Bajo RedHat 6.x o anterior (y distribuciones basadas en él, como Mandrake) se puede

simplemente instalar cada uno de los paquetes necesarios de RPMs. La mayoría de los sistemasLinux instalarán GTK+ y Glib en cualquier caso, sin embargo, probablemente se necesite instalarlas versiones devel de cada uno de estos paquetes. Los comandos del Ejemplo 2-4 instalarán todoslos RPMs necesarios si aún no lo están.

Ejemplo 2-4. Instalando los RPMs necesarios bajo RedHat Linux 6.2 o anterior

cd /mnt/cdrom/RedHat/RPMS

rpm -ivh glib-1.2.6-3.i386.rpm

rpm -ivh glib-devel-1.2.6-3.i386.rpm

rpm -ivh gtk+-1.2.6-7.i386.rpm

rpm -ivh gtk+-devel-1.2.6-7.i386.rpm

rpm -ivh libpcap-0.4-19.i386.rpm

Nota: Si se está usando una version de RedHat posterior a la 6.2, los RPMs requeridos probablementehayan cambiado. Simplemente use los RPMs correctos de su distribución.

Bajo Debian se puede instalar Ethereal usando apt-get. apt-get manejará cualquier problema dedependencias por usted. El Ejemplo 2-5 muestra cómo hacer esto.

Ejemplo 2-5. Installing debs under Debian

apt-get install ethereal

2.4 Compilando desde el Fuente bajo UNIXUse los siguientes pasos generales si está compilando Ethereal desde el fuente bajo un sistema

operativo UNIX:

1. Desempaquete el fuente de su archivo tar gzip. Si está usando Linux, o su versión deUNIX usa GNU tar, puede usar el siguiente comando:

tar zxvf ethereal-0.10.9-tar.gz

Para otras versiones de UNIX, use los siguientes comandos:gzip -d ethereal-0.10.9-tar.gz

tar xvf ethereal-0.10.9-tar

¡Nota!: El pipeline gzip -dc ethereal-0.10.9-tar.gz | tar xvf – funcionará aquí también.

2. Cambie al directorio fuente de ethereal.

3. Configure su fuente para que se compile correctamente para su versión de UNIX. Sepuede hacer esto con el siguiente comando:./configure

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 17

Si falla este paso, tendrá que rectificar los problemas y reejecutar configure.

4. Compile los Fuentes a un binario, con el comando make. Por ejemplo:make

5. Instale el software en su destino final, usando el comando:make install

Una vez que haya instalado Ethereal con make install, debería ser capaz de ejecutarlointroduciendo ethereal.

2.5 Instalando los binarios bajo UNIXEn general, instalar el binario bajo su versión de UNIX será específico a los métodos de

instalación usados con su versión de UNIX. Por ejemplo, bajo AIX, debería usar smit para instalarel paquete binario de Ethereal, mientras que bajo Tru64 UNIX (anteriormente Digital UNIX)debería usar setld.

2.6 Instalando desde RPMs bajo LinuxUse el siguiente comando para instalar el RPM de Ethereal que ha descargado del web de

Ethereal:rpm -ivh ethereal-0.10.9-1.i386.rpm

Si el paso de arriba falla debido a que faltan dependencias, instale las dependencias primero, yentonces reintente el paso anterior. Vea el Ejemplo 2-4 para información sobre los RPMs que senecesitarán tener instalados.

2.7 Instalando desde debs bajo DebianUse el siguiente comando para instalar Ethereal bajo Debian:

apt-get install ethereal

apt-get debería encargarse de todos los problemas de dependencias por usted.

2.8 Instalando Ethereal bajo WindowsEn esta sección se explora la instalación de Ethereal bajo Windows desde los paquetes binarios.

Se deben seguir dos pasos:

1. Instale WinPcap. Hay instrucciones en el web de WinPcap para instalarlo bajo Windows9X, Windows NT y Windows 2000. Estas se encuentran en:http://netgroup-serv.polito.it/winpcap/install/Default.htm

2. Instale Ethereal. Se puede adquirir un binario instalable de Ethereal en la URLhttp://www.ethereal.com/download.html#binaries. Descargue el instalador (después deinstalar WinPcap) y ejecútelo.

MANUAL DE ETHEREAL

18 © L&M Data Communications www.LMdata.es

3 Usando Ethereal

3.1 IntroducciónHasta ahora has instalado Ethereal y es el momento de irse iniciando capturando los primeros

paquetes. En este capítulo se verá:

• Cómo iniciar Ethereal

• Cómo capturar paquetes en Ethereal

• Cómo ver los paquetes en Ethereal

• Cómo filtrar paquetes en EtherealEn realidad, la mayor parte de laas funcionalidades de Ethereal se ven en este capítulo.

3.2 Iniciar EtherealSe puede iniciar Ethereal desde la línea de comandos en UNIX, así como desde la mayoría de

gestores de ventanas. En esta sección veremos como se inicia desde la línea de comandos.

Antes de ver los parámetros de línea de comandos que admite Ethereal, veamos el aspecto de lapropia aplicación. La figura 3-1 muestra cómo es Ethereal en su vista habitual.

Figura 3-1. Ethereal se compone de tres ventanas principales

Ethereal se compone de tres ventanas principales, o paneles.

1. El panel superior es el panel de la lista de paquetes. Muestra un resumen de cada paquetecapturado. Pulsando en los paquetes de este panel se controla lo que se muestra en losotros dos paneles.

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 19

2. El panel intermedio es el panel de vista en árbol. Muestra el paquete seleccionado en elpanel superior en más detalle.

3. El panel inferior es el panel de vista de datos. Muestra los datos del paquete seleccionadoen el panel superior, y resalta el campo seleccionado en el panel de vista en árbol.

Además de los tres paneles principales, hay seis elementos de interés en la barra de filtros,situada en la parte inferior de la ventana principal de Ethereal.

A. El botón inferior situado más a la izquierda, etiquetado "Filter:", se puede pulsar para queaparezca la ventana de construcción de filtros.

B. El cuadro de texto de la parte izquierda proporciona un área para introducir o editarexpresiones de filtro. Es también donde se muestra el filtro que está actualmente en efecto. Sepuede pulsar en la flecha desplegable para seleccionar expresiones de filtro anteriores de una lista.Hay más información disponible sobre mostrar expresiones de filtrado en la sección “Filtrandopaquetes mientras se visualizan”.

C. El botón del medio etiquetado "Add Expresión...", lanza el esistente para crear expresiones defiltro.

D. El botón del medio a la derecha, etiquetado "Clear", borra el filtro actual.

E. El botón del medio a la derecha, etiquetado "Apply", aplica el filtro tecleado en el cuadro detexto anterior.

F. El cuadro de texto de la derecha muestra mensajes informativos. Estos mensajes puedenindicar si se está capturando o no, qué fichero se ha leído en el panel de lista de paquetes si no seestá capturando. Si se ha seleccionado un campo de protocolo del panel de vista de árbol y esposible filtrar por ese campo entonces la etiqueta de filtro para ese campo de protocolo se mostrará.

Ethereal soporta un gran número de parámetros de línea de comandos. Para ver cuáles son,simplemente hay que ejecutar el comando ethereal -h y se mostrará la información de ayuda que semuestra en el Ejemplo 3-1.

Ejemplo 3-1. Información de ayuda disponible en Ethereal

Este es GNU ethereal 0.10.9, compilado con GTK+ 1.2.10, conGLib 1.2.10, con libpcap 0.6, con libz 1.1.3, con UCD SNMP4.2.1

ethereal [-vh] [-klpQS] [-b <fuente negrita>] [-B <alturade vista de byte>] [-c <cuenta>] [-f <filtro de captura>] [-i<interface>] [-m <fuente media>] [-n] [-N <resolver>] [-o<ajuste de preferencia>] ... [-P <altura de la lista depaquetes>] [-r <infile>] [-R <filtro de lectura>] [-s<snaplen>] [-t <formato de marca de tiempo>] [-T <altura devista de árbol>] [-w <savefile>]

Examinaremos cada una de estas opciones de línea de comandos por orden alfabético:

-B <altura de vista de byte>Esta opción establece la altura inicial del panel de vista de byte. Este panel es el panel inferiorde la pantalla de Ethereal.

-b <fuente negrita>Esta opción establece el nombre de la fuente negrita que Ethereal utiliza para los datos en elpanel de vista de byte cuando está realzado (es decir, seleccionado en el panel de protocolo)

MANUAL DE ETHEREAL

20 © L&M Data Communications www.LMdata.es

-c <cuenta>Esta opción especifica el número de paquetes a capturar cuando se capturan datos en vivo.

Se debería usar junto a la opción -k.

-DEsta opción cambia el modo con el que Ethereal trata con el campo TOS original del IPv4, demodo que en vez de considerarlo como el Campo Differentiated Services, lo trata como uncampo Type of Service.

-f <filtro de captura>Esta opción establece la expresión inicial de filtro de captura que se usará cuando se capturenpaquetes.

-hLa opción -h solicita a Ethereal que imprima su versión e instrucciones de uso y salga.

-i <interface>La opción -i permite especificar, desde la línea de comandos, por qué interface se deberíancapturar los paquetes.

Un ejemplo sería: ethereal -i eth0.

Para obtener un listado de todos los interfaces en los que se puede capturar, use el comandoifconfig -a o netstat -i. Desafortunadamente, algunas versiones de UNIX no soportan ifconfig-a, por lo que habrá que usar netstat -i en estos casos.

-kLa opción -k especifica que Ethereal debería empezar a capturar paquetes inmediatamente.Esta opción requiere el uso del parámetro -i para especificar el interface desde el que secapturarán los paquetes

-lEsta opción activa el scrolling automático del panel de lista paquetes si éste se actualizaautomáticamente según van llegando los paquetes durante una captura (como especifica laopción -S).

-m <fuente media>Esta opción establece el nombre de la fuente media que se utiliza para la mayor parte del textomostrado por Ethereal.

-nEsta opción le indica a Ethereal que no realice la traducción de dirección a nombre ni traduzcalos puertos TCP y UDP a nombres.

-N <resolver>Activa la resolución de nombres para tipos particulares de direcciones y números de puerta; elargumento es una cadena que puede contener las letras m para habilitar la resolución dedirecciones MAC, n para habilitar la resolución de direcciones de red, y t para habilitar laresolución de números de puerta de nivel de transporte. Esta opción invalida a la -n si ambasestán presentes.

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 21

-o <ajustes de preferencia>Establece un valor de preferencia, invalidando el valor por defecto y cualquier otro valor leídode un fichero de preferencia. El argumento es una cadena con la forma prefname:value, dondeprefname es el nombre de la preferencia (que es el mismo nombre que aparecería en el ficherode preferencia), y value es el valor que se le debería establecer. Se pueden dar múltiplesinstancias de -o <ajustes de preferencia > en una única línea de comandos.

Un ejemplo de ajuste de una única preferencia sería:

ethereal -o mgcp.display_dissect_tree:TRUE

Un ejemplo de ajuste de múltiples preferencias sería:

ethereal -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627

-pNo poner el interface en modo promiscuo. Tenga en cuenta que el interface podría estar enmodo promiscuo por alguna otra razón; por lo tanto, -p no se puede utilizar para asegurar queel único tráfico que se capture sea tráfico enviado a desde la máquina en la que se estáejecutando Ethereal is running, tráfico broadcast, y tráfico multicast a direcciones recibidaspor esa máquina.

-P <altura de la lista de paquetes>Esta opción establece la altura inicial del panel de la lista de paquetes, es decir, el panelsuperior.

-QEsta opción fuerza a Ethereal a salir cuando la captura está completa. Se puede usar con laopción -c. Se debe usar junto con las opciones -i y -w.

-r <infile>Esta opción proporciona el nombre de un fichero de captura para que Ethereal lea y muestre.Este fichero de captura puede ser de uno de los formatos que Ethereal entiende, incluyendo:

• libpcap

• Net Mon

• Snoop

• NetXrayPara una lista completa, vea las páginas man de Ethereal (man ethereal).

-R <filtro de lectura>Esta opción especifica un filtro de captura para ser aplicado cuando se leen paquetes de unfichero de captura. La sintaxis de este filtro es la de los filtros de visualización discutidos enla sección llamada Filtrando paquetes durante la visuelización. Los paquetes que no secumplan el filtro se descartan.

-s <snaplen>Esta opción especifica la longitud de muestra usada cuando se capturan paquetes. Etherealsólo capturará <snaplen> bytes de datos de cada paquete.

MANUAL DE ETHEREAL

22 © L&M Data Communications www.LMdata.es

-SEsta opción indica que Ethereal mostrará los paquetes según los capture. Esto se hacecapturando en un proceso y mostrándolos en un proceso aparte.

-t <formato de marca de tiempo>Esta opción establece el formato de marcas de tiempo de paquetes que se muestra en laventana de lista de paquetes. El formato puede ser uno de:

• r, que especifica que las marcas de tiempo se muestran relativas al primer paquetecapturado.

• a, que especifica que se muestra la fecha y hora real para todos los paquetes.

• d, que especifica que las marcas de tiempo son relativas al paquete anterior.

-T <altura de vista de árbol>Esta opción establece la altura inicial del panel de vista de árbol.

-vLa - opción v solicita a Ethereal que imprima su información de versión y salga.

-w <savefile>Esta opción establece el nombre del fichero a utilizar cuando se guarde un fichero de captura.

3.3 Los menus de EtherealEl menú de Ethereal descansa a lo largo de la parte superior de la ventana de Ethereal, como se

muestra en el ejemplo de la Figura 3-2.Figura 3-2. El Menú de Ethereal

Contiene los siguientes elementos:

FileEste menú contiene elementos de menú para abrir y releer ficheros de captura, guardarficheros de captura, exportar bytes, imprimir ficheros de captura, y salir de Ethereal.

EditEste menú contiene elementos de menú para encontrar una trama, marcar una o más tramas,establecer referencias de tiempo y establecer las preferencias (cortar, copiar y pegar no estánactualmente implementados).

ViewEste menú contiene elementos de menú para modificar opciones de visualización,ampliar/reducir la fuente de los paneles, colorear tramas, expandir todas las tramas, colapsartodas las tramas, mostrar un paquete en una ventana aparte, y recargar el fichero de capturaactual.

GoEste menú contiene elementos de menú para desplazarse entre las tramas.

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 23

CaptureThis menu permite iniciar y detener capturas, y crear filtros de captura.

AnalyzeEste menú contiene elementos de menú para seleccionar y filtrar paquetes coincidentes, seguiruna sesión TCP, crear filtros de visualización, habilitar o deshabilitar la disección deprotocolos, y configurar decodificadores especificados por el usuario.

StatisticsEste menú contiene elementos de menú para obtener un resumen de los paquetes que han sidocapturados, mostrar estadísticas de jerarquía de protocolos, gráficos de entrada/salida, listasde conversaciones y hosts, tiempos de respuestas y distintos análisis de protocolosparticulares.

HelpEste menú permite mostrar los plugins cargados, contiene el elemento de menú AboutEthereal... y acceso a alguna Ayuda básica.

Cada uno de ellos se describen con más detalle en las secciones que siguen.

3.4 El menú File de EtherealEl menú File (Archivo) de Ethereal contiene los campos que se muestran en la Tabla 3-1.

Figura 3-3. Menú File de Ethereal

MANUAL DE ETHEREAL

24 © L&M Data Communications www.LMdata.es

Tabla 3-1. Menú File

Elemento Acelerador Descripción

Open... Ctrl-O Este elemento abre el cuadro de diálogo abrir archivo que permitecargar un fichero de captura para su visualización. Se discute en másdetalle en la sección llamada El cuadro de diálogo Abrir Archivo.

Open Recent Permite volver a abrir los últimos archivos abiertos

Merge… Este elemento permite anexar un archivo de captura al actual

Close Ctrl-W Este elemento cierra la captura actual. Si no se ha guardado la captura,se pierde.

Save Ctrl-S Este elemento guarda la captura actual. Si no se ha establecido unnombre de fichero de captura por defecto (quizás con la opción -w<capfile>), Ethereal lanza el cuadro de diálogo Guardar Fichero decaptura Como (que se describe más adelante en la sección El cuadro dediálogo Guardar Fichero de captura Como).

¡Nota!: Si ya ha guardado la captura actual, este menú estarádeshabilitado.

¡Nota!: No se puede guardar una captura mientras está en progreso.Hay que detener la captura para poder guardarla.

Save As... Mayús-Ctrl-S

Este elemento permite guardar el fichero de captura actual a cualquierfichero que se desee. Lanza el cuadro de diálogo Guardar Fichero decaptura Como (que se describe más adelante en la sección El cuadro dediálogo Guardar Fichero de captura Como)

Export Este elemento permite exportar los bytes seleccionados de un paquete aun archivo binario de su elección

Print... Este elemento permite imprimir todos o una selección de los paquetesdel fichero de captura. Lanza el cuadro de diálogo Imprimir deEthereal (que se describe más adelante en la sección Imprimiendopaquetes).

Quit Ctrl-Q Este elemento permite salir de Ethereal. Si no se ha guardado elfichero de captura actual, pregunta si se desea hacerlo antes de salir.

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 25

3.5 El menú Edit de EtherealEl menú Edit (Editar) de Ethereal contiene los campos que se muestran en la Tabla 3-2.

Figura 3-4. Menú Edit de Ethereal

Tabla 3-2. Menú Edit

Elemento Acelerador Descripción

Find Packet... Ctrl-F Este elemento muestra un cuadro de diálogo que permite encontraruna trama introduciendo un filtro de visualización de Ethereal. Haymás información sobre encontrar tramas en la sección Encontrandopaquetes.

Find Next Ctrl-N Continúa la última búsqueda hacia delante

Find Previous Ctrl-B Continúa la última búsqueda hacia atrás

Time Reference Esta opción permite fijar referencias de tiempo en la captura actual(opción Set Time Referente (toggle)). En estas referencias se ponea 0 el contador de tiempos del formato “Segundos desde elcomienzo de la captura” (ver la sección El menú View). Tambiénpermite desplazarse entre referencias de tiempo (con las opcionesFind Next y Find Previous)

Mark Packet Ctrl-M Este elemento "marca" la trama actualmente seleccionada. Vea lasección El cuadro de diálogo Guardar Fichero de captura Como

MANUAL DE ETHEREAL

26 © L&M Data Communications www.LMdata.es

Elemento Acelerador Descripciónpara más información sobre guardar tramas marcadas.

Mark AllPackets

Este elemento "marca" todas las tramas. Vea la sección El cuadrode diálogo Guardar Fichero de captura Como para más informaciónsobre guardar tramas marcadas.

Unmark AllPackets

Este elemento "desmarca" todas las tramas marcadas.

Preferences... Mayús-Ctrl-P

Este elemento muestra un cuadro de diálogo que permite establecerlas preferencias para muchos parámetros que controlan Ethereal.También se pueden guardar las preferencias de modo que Ethereallas use la próxima vez que se inicie. Más detalles en la secciónPreferencias de Ethereal

3.6 El menú View de EtherealEl menú View (Ver) de Ethereal contiene los campos que se muestran en la Tabla 3-3.

Figura 3-5. Menú View de Ethereal

Tabla 3-5. Menú View

Elemento Acelerador Descripción

Main Toolbar Permite mostrar u ocultar la barra de herramientas principal.

Filter Toolbar Permite mostrar u ocultar la barra de herramientas de filtros.

Statusbar Este elemento permite mostrar u ocultar la barra de estado.

Packet List Este elemento permite mostrar u ocultar el panel de lista de paquetes.

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 27

Elemento Acelerador Descripción

Packet Details Permite mostrar u ocultar el panel de detalles de paquete.

Packet Bytes Este elemento permite mostrar u ocultar el panel de bytes de paquete.

Time DisplayFormat

Este elemento controla el modo en que Ethereal muestra las marcas detiempo. Ofrece la siguientes opciones:

Time of daySeleccionando este botón de radio se indica a Ethereal quemuestre las marcas de tiempo en formato Hora del día. Estecampo, "Date and time of day", "Seconds since beginning ofcapture" y "Seconds since previous frame" son mutuamenteexclusivos.

Date and time of daySeleccionando este botón de radio se indica a Ethereal quemuestre las marcas de tiempo tiempo en formato Fecha y hora."Time of day", este campo, "Seconds since beginning ofcapture" y "Seconds since previous frame" son mutuamenteexclusivos.

Seconds since beginning of captureSeleccionando este botón de radio se indica a Ethereal quemuestre las marcas de tiempo en formato Segundos desde elcomienzo de la captura. "Time of day", "Date and time of day",este campo y "Seconds since previous frame" son mutuamenteexclusivos.

Seconds since previous packetEste botón de radio indica a Ethereal que muestre marcas detiempo tiempo en formato Segundos desde la trama anterior."Time of day", "Date and time of day", "Seconds sincebeginning of capture" y este campo son mutuamente exclusivos.

NameResolution

Este elemento controla el modo en que Ethereal muestra algunainformación sobre los paquetes. En concreto, si las direcciones y otrosnúmeros son traducidos. Ofrece la siguientes opciones:

Resolve NameEste campo activa la resolución de nombres mientras sevisualizan paquetes.

Enable for MAC LayerEste campo, cuando se selecciona, le indica a Ethereal quetraduzca los primeros tres octetos de las direcciones MAC (elidentificador de fabricante) a nombres (cuando pueda).

Enable for Network LayerEste campo, cuando se selecciona, le indica a Ethereal quetraduzca direcciones IP a nombres de dominio (cuando pueda).

MANUAL DE ETHEREAL

28 © L&M Data Communications www.LMdata.es

Elemento Acelerador DescripciónNota: Si se selecciona esta opción y el servidor DNS no estádisponible ethereal será muy lento ya que espera a que venza eltemporizador para respuestas del servidor DNS.

Enable for Transport LayerCuando se selecciona, le indica a Ethereal que traduzca lasdirecciones del nivel de transporte (números de puertaTCP/UDP) a nombres de servicios well-known (donde pueda).

Auto Scroll inLive Capture

Este elemento, cuando se selecciona, le indica a Ethereal que hagascrolling del panel de lista de paquetes cuando se capturen nuevospaquetes.

Zoom In Ctrl-+ Agranda la fuente en la que se visualizan los datos de los distintospaneles.

Zoom Out Ctrl-- Disminuye la fuente en la que se visualizan los datos de los distintospaneles.

Normal Size Ctrl-= Reestablece la fuente en la que se visualizan los datos de los distintospaneles a su tamaño original establecido en las Preferencias deEthereal. Más detalles en la sección Preferencias de Ethereal.

Collapse All Ethereal mantiene un lista de todos los subárboles de protocolo que seexpanden, y la utiliza para asegurar que los subárboles correctos seexpanden cuando se muestra un paquete. Este elemento contrae lavista de árbol de todos los paquetes en la lista de captura.

Expand All Este elemento expande todos los subárboles de todos los paquetes dela captura.

Expand Tree Este elemento expande el árbol actualmente seleccionado.

ColoringRules

Este elemento muestra un cuadro de diálogo que permite colorearpaquetes en el panel de lista de paquetes en función de las expresionesde filtro que se escojan. Puede ser muy útil para distinguir ciertos tiposde paquetes.

Show Packetin NewWindow

Este elemento muestra el paquete seleccionado en una ventana aparte.Esta ventana sólo muestra los paneles de vista de árbo y de vista debyte.

Reload Ctrl-R Este elemento permite recargar el fichero de captura actual. Esteelemento ya no es necesario, y puede ser eliminado en futurasversiones de Ethereal

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 29

3.7 El menú Go de EtherealEl menú Go (Ir) de Ethereal contiene los campos que se muestran en la Tabla 3-2.

Figura 3-4. Menú Go de Ethereal

Tabla 3-2. Menú Go

Elemento Acelerador Descripción

Back Alt-Left Va a la trama anterior

Forward Alt-Right Va a la siguiente trama

Go to FirstPacket

Va al primer paquete de la lista

Go to LastPacket

Va al último paquete de la lista

Go to Packet… Ctrl-G Este elemento muestra un cuadro de diálogo que permiteespecificar una trama a la que ir por número de trama.

MANUAL DE ETHEREAL

30 © L&M Data Communications www.LMdata.es

3.8 El menú Capture de EtherealEl menú Capture (Capturar) de Ethereal contiene los campos que se muestran en la Tabla 3-4.

Figura 3-6. Menú Capture de Ethereal

Tabla 3-4. Menú Capture

Elemento Acelerador Descripción

Start... Ctrl-K Este elemento muestra el cuadro de diálogo Preferencias de Captura(descrito más adelante en la sección Capturando paquetes con Ethereal) ypermite empezar a capturar paquetes.

Stop Ctrl-E Este elemento detiene la captura actualmente en curso.

Interfaces Muestra los interfaces de captura disponibles y su tráfico actual.

CaptureFilters...

Este elemento muestra un cuadro de diálogo que permite crear y editarfiltros de captura. Se puede dar nombre a los filtros, y se pueden guardarpara uso futuro. Hay más detalles sobre este tema en la sección Definiendoy guardando filtros

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 31

3.9 El menú Analyze de EtherealEl menú Analyze (Analizar) de Ethereal contiene los campos que se muestran en la Tabla 3-5.

Figura 3-7. Menú Analyze de Ethereal

Tabla 3-5. Menú Analyze

Elemento Acelerador Descripción

DisplayFilters...

Este elemento muestra un cuadro de diálogo que permite crear yeditar filtros de visualización. Se puede dar nombre a los filtros, y sepueden guardar para uso futuro. Hay más detalles sobre este tema enla sección Definiendo y guardando filtros

Apply as Filter Este elemento permite seleccionar todos los paquetes que tienen unvalor coincidente en el campo seleccionado en el panel de vista deárbol (panel central), componer la expresión de filtro para ellos yhacerla, añadirla o excluirla de la expresión de filtro actual. Estaopción aplica el filtro resultante inmediatamente

Prepare a Filter Este elemento es igual al anterior, sólo que no aplica

EnabledProtocols...

Mayús-Ctrl-R

Este elemento muestra un cuadro de diálogo que permite habilitar odeshabilitar la disección de protocolos individuales.

Decode As... Permite forzar a Ethereal a decodificar o no los protocolos indicadosen el nivel de enlace (ethertype), de red (protocolo IP) o de transporte

MANUAL DE ETHEREAL

32 © L&M Data Communications www.LMdata.es

Elemento Acelerador Descripción(puerta origen, destino o ambas) como un protocolo particular

User SpecifiedDecodes...

Este elemento permite al usuario ver la lista de asociaciones deprotocolos definidas por el usuario con el elemento anterior.

Follow TCPStream

Este elemento abre una ventana aparte (ver Figura 3.8) y muestratodos los segmentos TCP capturados que están en la misma conexiónTCP que el paquete seleccionado. Los datos en el flujo TCP seordena, y los segmentos duplicados se borran, y es entoncesmostrado en ascii. Se puede cambiar el formato si se desea o mostrarsólo un sentido de la conversación, así como guardar, imprimir ofiltrar el flujo TCP.

Figura 3.8. Ventana Follow TCP Stream

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 33

3.10 El menú Statistics de EtherealEl menú Statistics (Estadísticas) de Ethereal contiene los campos mostrados en la Tabla 3-6.

Figura 3-9. Menú Statistics de Ethereal

Tabla 3-6. Menú Statistics

Elemento Descripción

Summary Este elemento muestra una ventana de estadísticas con información sobre lospaquetes capturados. Vea la Figura 3-10.

ProtocolHierarchyStatistics

Este elemento muestra un árbol jerárquico de estadísticas de paquetes Vea laFigura 3-11.

Conversations Este elemento muestra un resumen de todas las conversaciones existentes. Losprootcolos pueden ser Ethernet, FDDI, Fibre Channel, IPX, IPv4, TCP (IPv4 yIPv6), Token Ring o UDP (IPv4 y IPv6).

Endpoints Este elemento muestra un resumen de todos los nodos (hosts) existentes. Losprotocolos pueden ser Ethernet, FDDI, Fibre Channel, IPX, IPv4, TCP (IPv4 yIPv6), Token Ring o UDP (IPv4 y IPv6).

IO Graphs Este elemento muestra una gráfica de las tramas capturadas en función deltiempo. Vea la Figura 3-12.

MANUAL DE ETHEREAL

34 © L&M Data Communications www.LMdata.es

Elemento Descripción

ConversationList

Este elemento muestra una lista de todas las conversaciones existentes y eltráfico en uno y otro sentido según un protocolo concreto. Los prootcolospueden ser Ethernet, FDDI, Fibre Channel, IPX, IPv4, TCP (IPv4 y IPv6),Token Ring o UDP(IPv4 y IPv6).

Endpoint List Este elemento muestra una lista de todos los nodos (hosts) existentes y el tráficoentrante y saliente según un protocolo concreto. Los protocolos pueden serEthernet, FDDI, Fibre Channel, IPX, IPv4, TCP (IPv4 y IPv6), Token Ring oUDP(IPv4 y IPv6).

ServiceResponse Time

Este elemento muestra estadísticas de tiempos de respuesta ante distintosservicios. Los servicios pueden ser DCE-RPC, Fibre Channel, ITU-T H.225RAS, LDAP, ONE-RPC o SMB.

ANSI Este elemento lleva la cuenta de las llamadas a las distintas funciones dedistintos protocolos ANSI. Incluye A-Interface BSMAP, A-Interface DTAP y laoperación MAP.

BOOTP-DHCP Este elemento lleva la cuenta de los distintos tipos de mensajes DHCP.

GSM Este elemento lleva la cuenta de las llamadas a las distintas funciones delprotocolo GSM. Incluye A-Interface BSSMAP, A-Interface DTAP (incluyendoel control de llamada; la gestión de la movilidad GPRS, de la sesión GPRS, de lamovilidad y de los recursos de radio; el servicio de mensajes cortos; y losservicios suplementarios) y la operación MAP.

H.225 Lleva la cuenta de los distintos tipos o razones de mensajes ITU-T H.225.

H.223Conversations

Lleva la cuenta y analiza las conversaciones ITU-T H.223.

HTTP Este elemento lleva la cuenta de las solicitudes HTTP y las distintas respuestasobtenidas (informativas, éxito, etc.).

ISUP MessageTypes

Este elemento lleva la cuenta de los distintos tipos de mensajes ISUP.

MTP3 Este elemento analiza el tráfico MTP3.

ONC-RPCPrograms

Este elemento lleva la cuenta de las llamadas a los distintos programas ONE-RPC y sus tiempos de respuesta.

RTP Este elemento muestra las estadísticas de los flujos RTP de la captura o analizaun flujo RTP concreto.

SIP Este elemento lleva la cuenta de los distintos tipos de mensajes SIP.

TCP StreamGraph

Este Elemento Analiza Gráficamente Flujos TCP. Permite representar el RTT,el throughput o la secuencia de tiempos (estilo Stevens o tcptrace). Vea unejemplo en la Figura 3-13.

WAP-WSP Este elemento lleva la cuenta de los distintos tipos de PDU y códigos de estado.

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 35

Figura 3-10. Ventana Summary

Figura 3-11. Ventana Protocol Hierarchy Statistics

MANUAL DE ETHEREAL

36 © L&M Data Communications www.LMdata.es

Figura 3-12. Ventana IO Graphs

Figura 3-13. Gráficos TCP

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 37

3.11 El menú Help de EtherealEl menú Help (Herramientas) de Ethereal contiene los campos que se muestran en la Tabla 3-7.

Figura 3-13. Menú Help de Ethereal

Tabla 3-7. Menú Help

Elemento Acelerador Descripción

Contents Este elemento muestra un sistema de ayuda básico.

SupportedProtocols…

Este elemento muestra una lista de los protocolos soportados porEthereal y los campos disponibles para crear filtros de visualización.

Manual Pages Este elemento muestra la ayuda HTML de Ethereal.Ethereal online Este elemento conecta con el web de Ethereal.

AboutEthereal...

Este elemento muestra una ventana con información simple sobreEthereal.

3.12 Capturando paquetes con EtherealHay dos métodos que se pueden usar para capturar paquetes con Ethereal:

1. Desde la línea de comandos introduciendo:

ethereal -i eth0 -k

MANUAL DE ETHEREAL

38 © L&M Data Communications www.LMdata.es

2. Iniciando Ethereal y seleccionando Start... desde el menú Capture. Esta muestra el cuadro dediálogo Preferencias de Captura y se tratará en más detalle en la sección Cuadro de diálogoPreferencias de Captura.

Cuadro de diálogo Preferencias de CapturaCuando se selecciona Start... desde el menú Capture, Ethereal muestra cuadro de diálogo

Preferencias de Captura como muestra la Figura 3-14.Figura 3-14. El cuadro de diálogo Preferencias de Captura

Se pueden establecer los siguientes campos en este cuadro de diálogo:

InterfaceEste campo especifica el interface sobre el que se desea capturar. Sólo se puede capturar enun interface, y sólo se puede capturar en los interfaces que Ethereal ha encontrado en elsistema. Es una lista desplegable, por tanto sólo hay que pulsar el botón del lado derecho yseleccionar el interface que se desee. Por defecto es el primer interface no loopback quesoporta capturas, y si no hay ninguno, el primer. En algunos sistemas, los interfaces loopbackno se pueden utilizar para capturas. Este campo realiza la misma función que la opción delínea de comandos -i <interface>.

Capture limitsAquí se especifica el número de paquetes que se quieren capturar. Se puede poner el límite dela captura por número de paquetes, por volumen de datos o por tiempo transcurrido.

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 39

FilterEste campo permite especificar un filtro de captura. Los filtros de captura se discuten en másdetalle en la sección Filtrando mientras se Captura. Por defecto está vacío, o sin filtro.

También se puede pulsar el botón/etiqueta Filter, y Ethereal mostrará el cuadro de diálogoFiltros y permitirá crear o seleccionar un filtro. Vea la sección Definiendo y guardando filtros

FileEste campo permite especificar el nombre de archivo que se usará para la captura cuando mástarde se escoja Save... o Save As... del menú File de Ethereal. No hay valor por defecto paraeste campo.

Capture lengthEste campo permite especificar la cantidad máxima de datos que se capturarán para cadapaquete, y es a lo que algunas veces se llama snaplen. Por defecto es 65535, que serásuficiente para la mayoría de los protocolos. Debería ser al menos la MTU del interface en elque se está capturando.

Capture packets in promiscuous modeEste botón de radio permite especificar que Ethereal debería poner el interface en modopromiscuo durante la captura. Si no se especifica, Ethereal sólo capturará los paquetes quevan desde y hacia su ordenador (no todos los paquetes que pasan por el interface).

Nota: Si algún otro proceso ha puesto el interface en modo promiscuo se puede estar capturando en modopromiscuo incluso si se desmarca esta opción

Update list of packets in real timeThis botón de radio permite especificar que Ethereal debería actualizar el panel de lista depaquetes en tiempo real. Si no se especifica, Ethereal no muestra ningún paquete hasta que secancele la captura. Cuando se pulsa este botón de radio, Ethereal captura en un proceso apartey envía las capturas al proceso de visualización.

Nota: A veces esta opción no funciona correctamente en Windows

Automatic scrolling in live captureThis botón de radio permite especificar que Ethereal debería hacer scrolling del panel de listade paquetes según llegan nuevos paquetes, de modo que siempre se vea el último paquete. Sino se especifica, Ethereal simplemente añade nuevos paquetes al final de la lista, pero no hacescrolling del panel de lista de paquetes.

Enable MAC name resolutionThis botón de radio permite controlar si Ethereal traduce o no los primeros tres octetos de lasdirecciones MAC al nombre del fabricante al que le ha asignado ese prefijo el IETF.

Enable network name resolutionThis botón de radio permite controlar si Ethereal traduce o no las direcciones IP a nombres dedominio DNS. Pulsando este botón de radio, el panel de lista de paquetes tendrá másinformación útil, pero también ocasionará que se produzcan solicitudes de búsqueda denombres, lo que podría interferir con la captura.

Nota: Si no se puede alcanzar el servidor de nombres, puede suceder que Ethereal tarde mucho tiempo enactualizar el panel de lista de paquetes ya que espera a que venza el tiempo de traducción del nombre.

MANUAL DE ETHEREAL

40 © L&M Data Communications www.LMdata.es

Enable transport name resolutionThis botón de radio permite controlar si Ethereal traduce o no los números de puerta aprotocolos.

Una vez que se han establecido los valores deseados y seleccionado los botones de radio que senecesitan, pulse simplemente en OK para comenzar la captura, o Cancel para cancelarla. Si seinicia una captura, Ethereal abre un cuadro de diálogo que muestra el progreso de la captura ypermite detener la captura cuando se tienen suficientes paquetes capturados.

3.13 Filtrando mientras se capturaEthereal utiliza el lenguaje de filtros libpcap para los filtros de captura. Este se explica en la

página man de tcpdump.

Se introduce el filtro de captura en el campo Filter field del sección Cuadro de diálogoPreferencias de Captura de Ethereal, como se muestra en la Figura 3-14. A continuación hay unresumen de la sintaxis del lenguaje de filtros de captura de tcpdump.

Un filtro de captura toma la forma de una serie de primitivas de expresión conectadas porconjunciones y opcionalmente precedidas por not:

[not] primitiva [and|or [not] primitiva ...]

Se muestra un ejemplo en el Ejemplo 3-2.Ejemplo 3-2. Un filtro de captura para telnet que captura tráfico hacia y desde un host en particular

tcp port 23 and host 10.0.0.5

Este ejemplo captura tráfico telnet hacia y desde el host 10.0.0.5, y muestra cómo utilizar dosprimitivas y la conjunción and. Otro ejemplo se muestra en el Ejemplo 3-3, y muestra cómocapturar todo el tráfico telnet excepto el que viene de 10.0.0.5.

Ejemplo 3-3. Capturando todo el tráfico telnet que no viene de 10.0.0.5

tcp port 23 and not host 10.0.0.5

Una primitiva es simplemente una de las siguientes:

[src|dst] host <host>Esta primitiva permite filtrar por una dirección IP o nombre de host. Opcionalmente se puedepreceder la primitiva con la palabra clave src|dst para especificar que sólo se está interesadoen direcciones origen o destino. Si no están presentes, se selecionaran los paquetes donde ladirección especificada aparezca como dirección tanto origen como destino.

ether [src|dst] host <ehost>Esta primitiva permite filtrar por direcciones de host Ethernet. Opcionalmente se puedeincluir la palabra clave src|dst entre las palabras clave ether y host para especificar que sólose está interesado en direcciones origen o destino. Si no están presentes, se selecionaran lospaquetes donde la dirección especificada aparezca como dirección tanto origen como destino.

gateway host <host>Esta primitiva permite filtrar los paquetes que utilizan host como un gateway. Es decir, dondeel origen o destino Ethernet es host pero ni la dirección IP origen ni destino son host.

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 41

[src|dst] net <red> [{mask <máscara>}|{len <longitud>}]Esta primitiva permite filtrar por números de red. Opcionalmente se puede preceder laprimitiva con la palabra clave src|dst para especificar que sólo se está interesado en redesorigen o destino. Si no están presentes, se selecionaran los paquetes que tengan la redespecificada en la dirección tanto origen como destino. Además, se puede especificar tanto lamáscara de red como el prefijo CIDR para la red si son diferentes de los propios.

[tcp|udp] [src|dst] port <puerta>This primitiva permite filtrar por números de puerta TCP y UDP. . Opcionalmente se puedepreceder la primitiva con las palabras clave src|dst y tcp|udp para especificar que sólo se estáinteresado en puertas origen o destino y en paquetes TCP o UDP respectivamente. laspalabras clave tcp|udp deben aparecer antes que src|dst.Si no se especifican, se selecionaran los paquetes para ambos protocolos TCP y UDP, y dondela puerta especificada aparezca en elcampo puerta tanto origen como destino.

less|greater <longitud>Esta primitiva permite filtrar paquetes cuya longitud sea menor o igual que la longitudespecificada, o mayor o igual que la longitud especificada, respectivamente.

ip|ether proto <protocolo>Esta primitiva permite filtrar por el protocolo especificado tanto en el nivel Ethernet como enel nivel IP.

ether|ip broadcast|multicastEsta primitiva permite filtrar broadcasts o multicasts tanto Ethernet como IP.

<expr> relop <expr>Esta primitiva permite crear expresiones de filtro complejas que seleccionen bytes o rangos debytes en los paquetes. Cea las páginas man de tcpdump para más detalles.

3.14 Viendo los paquetes que se han capturadoUna vez que se han capturado algunos paquetes, o se ha abierto un fichero de captura

previamente guardado, se pueden ver los paquetes que se muestran en el panel de lista de paquetessimplemente pulsando en ese paquete en el panel de lista de paquetes, lo que llevará el paqueteseleccionado a los paneles de vista de árbol y de vista de byte.

Se puede entonces expandir cualquier parte de la vista de árbol pulsando en el signo más a laizquierda de esa parte del paquete, y se pueden seleccionar campos individuales pulsando en ellosen el panel de vista de árbol. Se muestra un ejemplo con un segmento TCP seleccionado en laFigura 3-15. También tiene el número de Acknowledgment en el cabecero TCP seleccionado, quese muestra en la vista de byte como bytes seleccionados.

MANUAL DE ETHEREAL

42 © L&M Data Communications www.LMdata.es

Figura 3-15. Ethereal con un segmento TCP seleccionado para visualización

También se pueden seleccionar y ver paquetes cuando Ethereal está capturando si se seleccionó"Actualizar lista of paquetes en tiempo real" en el cuadro de diálogo Preferencias de Captura deEthereal.

Además, se pueden ver paquetes individuales en una ventana aparte como se muestra en laFigura 3-16. Esto se hace seleccionando el paquete en el que se está interestado en el panel de listade paquetes, y a continuación "Show Packet in New Window" en el menú View. Esto permitecomparar fácilmente dos o más paquetes.

Figura 3-16. Viendo un paquete en una ventana aparte

Finalmente, se puede abrir un menú contextual tanto en el panel de lista de paquetes como en elpanel de vista de árbol pulsando el botón derecho del ratón. Los menus que aparecen contienen,entre otros, los siguientes elementos:

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 43

Figura 3-17. Menú contextual del Panel de Paquetes

Follow TCP StreamEste elemento es el mismo que el elemento del menú View del mismo nombre. Permite vertodos los datos en un flujo TCP entre una pareja de nodos.

Decode As...Este elemento es el mismo que el elemento del menú View del mismo nombre.

Display filters...Este elemento es el mismo que el elemento del menú Edit del mismo nombre. Permiteespecificar y gestionar filtros.

Mark PacketEste elemento es el mismo que el elemento del menú Edit del mismo nombre.

Time ReferenceEste elemento es el mismo que el elemento del menú Edit del mismo nombre.

MatchEste elemento es el mismo que el elemento del menú Analyze del mismo nombre.

PrepareEste elemento es el mismo que el elemento del menú Analyze del mismo nombre.

MANUAL DE ETHEREAL

44 © L&M Data Communications www.LMdata.es

Coloring Rules...Este elemento es el mismo que el elemento del menú View del mismo nombre. Permitecolorear paquetes en el panel de lista de paquetes.

Print...Este elemento es el mismo que el elemento del menú File del mismo nombre. Permiteimprimir paquetes.

Show Packet in New WindowEste elemento es el mismo que el elemento del menú View del mismo nombre. Permitemostrar el paquete seleccionado en otra ventana.

Figura 3-18. Menú contextual del Panel de Vista de Árbol

Follow TCP StreamEste elemento es el mismo que el elemento del menú View del mismo nombre. Permite vertodos los datos en un flujo TCP entre una pareja de nodos.

Decode As...Este elemento es el mismo que el elemento del menú View del mismo nombre.

Display filters...Este elemento es el mismo que el elemento del menú Edit del mismo nombre. Permiteespecificar y gestionar filtros.

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 45

Resolve NameEste elemento hace que se realice la resolución de nombre para el paquete seleccionado, peroNO para cada paquete dela captura.

Export Selected Packet Bytes...Este elemento exporta los bytes seleccionados del paquete actual a un fichero binario. Hace lomismo que la opción Export del menú File.

Protocol Preferences...Este elemento lleva al cuadro de diálogo de preferencias de protocolo si hay propiedadesasociadas con los campos resaltados. Se puede encontrar más información sobre laspreferencias en la Figura 3-33.

Apply as filter…Este elemento es el mismo que el elemento del menú Analyze del mismo nombre.

Prepare a filter…Este elemento es el mismo que el elemento del menú Analyze del mismo nombre.

Collapse AllEthereal mantiene un lista de todos los subárboles de protocolo que se expanden, y la utilizapara asegurar que los subárboles correctos se expanden cuando se muestra un paquete. Esteelemento contrae la vista de árbol de todos los paquetes en la lista de captura.

Expand AllEste elemento expande todos los subárboles de todos los paquetes de la captura.

Expand TreeEste elemento expande el árbol actual.

3.15 Guardando los paquetes capturadosSe pueden guardar los paquetes capturados simplemente usando el elemento de menú Save As...

del menú File de Ethereal. Se puede elegir guardar todos los paquetes capturados o sólo lospaquetes que están visualizándose.

Cuadro de diálogo Guardar Fichero de captura ComoEl cuadro de diálogo Guardar Fichero de captura Como permite guardar la captura actual a un

fichero. La Figura 3-19 muestra un ejemplo de éste cuadro de diálogo.

MANUAL DE ETHEREAL

46 © L&M Data Communications www.LMdata.es

Figura 3-19. El cuadro de diálogo Guardar Fichero de captura Como

Con este cuadro de diálogo, se pueden realizar las siguientes acciones:

1. Seleccionar ficheros y directorios con las listas "Name" y "Save in folder" y la listadesplegable "Browse for other folders".

2. Guardar sólo los paquetes que están siendo actualmente visualizados (en contraposición atodos los paquetes capturados) pulsando en el botón de radio "Save only packets currentlybeing displayed".

3. Guardar sólo los paquetes marcados (en contraposición a todos los paquetes capturados)pulsando en el botón de radio "Save only marked packets". Se puede encontrar másinformación sobre Marcar paquetes en la sección El menú Edit de Ethereal.

4. Especificar el formato del fichero de captura guardado pulsando en la lista desplegable"File type". Se puede escoger entre los siguientes tipos:

a. libpcap (tcpdump, Ethereal, etc.)

b. libpcap modificado (tcpdump)

c. RedHat Linux libpcap (tcpdump)

d. Network Associates Sniffer (basado en DOS)

e. Sun Snoop

f. Microsoft Network Monitor 1.x

g. Network Associates Sniffer (basado en Windows) 1.1¡Nota!: Algunos formatos de captura pueden no estar disponibles, dependiendo de los tipos de tramacapturados.

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 47

¡Nota!: Se pueden convertir ficheros de captura de un formato a otro leyendo un fichero de captura yguardándolo con otro nombre usando un formato diferente.

5. Teclear el nombre del fichero en el que se desean guardar los paquetes capturados, comoun nombre de fichero estándar del sistema de ficheros.

6. Pulsar OK para aceptar el fichero seleccionado y guardarlo. Si Ethereal tiene algúnproblema guardando los paquetes capturados al fichero que se especificó, se mostrará uncuadro de diálogo de error. Después de pulsar OK, se puede probar con otro fichero.

7. Pulsar Cancel para volver a Ethereal sin guardar los paquetes capturados.

3.16 Leyendo ficheros de capturaEthereal puede leer ficheros de captura guardados previamente, y además, debido a que está

compilado con una librería de subrutinas llamada libwiretap, puede leer ficheros de captura de otrosvariosr programas de captura paquetes también. A continuación está la lista de formatos de capturaque entiende:

• tcpdump y Ethereal

• snoop (incluyendo Shomiti) y atmsnoop

• LanAlyzer

• Sniffer (comprimido o no comprimido) y Sniffer Pro para DOS o Windows

• Microsoft Network Monitor

• NetXray

• El analizador WAN/LAN de RADCOM

• La salida dump de los routers ISDN de Toshiba

• Cinco Networks NetXRay

• iptrace de AIX

• AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek

• Productos de acceso Lucent/Ascend

• nettl de HP-UX

• Salida en formato IPLog del Cisco Secure Intrusion Detection System

• Logs pppd (formato pppdump)

• Utilidad TCPIPtrace de VMS

• Salida de texto de la utilidad DBS Etherwatch VMS

• Ficheros de capura de tráfico de Visual UpTime de Visual Networks

• Salida debug de CoSine L2

• Utilidad i4btrace de ISDN4BSDSólo se necesita tener estos ficheros en el sistema y Ethereal podrá leerlos. Para leerlos,

simplemente selecciona el elemento de menú Open del menú File. Ethereal lanzará el cuadro dediálogo Abrir Fichero, que se discute en más detalle en la sección el cuadro de diálogo AbrirFichero

MANUAL DE ETHEREAL

48 © L&M Data Communications www.LMdata.es

El cuadro de diálogo Abrir FicheroEl cuadro de diálogo Abrir Fichero de Ethereal permite buscar un fichero de captura que

contenga paquetes previamente capturados para visualizarlo en Ethereal. La Figura 3-20 muestra unejemplo del cuadro de diálogo Abrir Fichero de Ethereal.

Figura 3-20. El cuadro de diálogo Abrir Fichero

Con este cuadro de diálogo, se pueden realizar las siguientes acciones:

1. Seleccionar ficheros y directorios con las listas de unidads, directorios y ficheros.

2. Especificar un filtro de visualización con el botón "Filter" y el campo "filter". Al pulsar elbotón "Filter" Ethereal lanza el cuadro de diálogo Filtros (que se discute más adelante enla sección Filtrando paquetes mientras se ven).

3. Especificar que se realice la resolución de nombres MAC para todas las direcciones MACen paquetes marcando la casilla de verificación "Enable MAC name resolution".

4. Especificar que se realice la resolución de nombres DNS para todas las direcciones IP enpaquetes marcando la casilla de verificación "Enable network name resolution".

Nota: Enabling network name resolution when your DNS server is unavailable may significantly slowethereal while it waits for all of the DNS requests to time out

5. Especificar que se realice la resolución de nombres de transporte para todas lasdirecciones de transporte (puertas TCP/UDP) en paquetes marcando la casilla deverificación "Enable transport name resolution".

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 49

6. Pulsar OK para aceptar el fichero seleccionado y abrirlo. Si Ethereal reconoce el formatode captura, mostrará los paquetes leídos del fichero de captura en el panel de lista depaquetes. Si no reconoce el formato de captura, mostrará un cuadro de diálogo de error.Después de pulsar OK, se puede probar con otro fichero.

7. Pulsar Cancel para volver a Ethereal sin cargar un fichero de captura.

3.17 Filtrando paquetes mientras se venEthereal tiene dos lenguajes de filtrado: Uno utilizado cuando se capturan paquetes, y el otro

cuando se visualizan paquetes. En esta sección se explora este segundo tipo de filtros: los filtros devisualización. El primer tipo ya ha sido tratado en la sección Filtrando mientras se captura.

Los filtros de visualización permiten concentrarse en los paquetes en que se está interesado.Permiten seleccionar paquetes por:

• Protocolo

• La presencia de un campo

• Los valores de campos

• Una comparación entre camposPara seleccionar paquetes basándose en el tipo de protocolo, simplemente hay que teclear el

protocolo en que se está interesado en el campo Filter: de la esquina inferior izquierda d la ventanade Ethereal y presionar enter para iniciar el filtro. La Figura 3-21 muestra un ejemplo de lo quesucede cuando se teclea smb en el campo filtro.

¡Nota!: Todas las expresiones de filtro se introducen en minúsculas. Además, no hay que olvidarpresionar enter después de introducir la expresión de filtro.

MANUAL DE ETHEREAL

50 © L&M Data Communications www.LMdata.es

Figura 3-21. Filtrando por el protocolo SMB

¡Nota!: Los paquetes seleccionados en la Figura 3-21 aparecen todos como paquetes BROWSER peroson transportados en paquetes SMB.

Se puede filtrar por cualquier protocolo que Ethereal entienda. Sin embargo, también se puedefiltrar por cualquier campo que un disector añada a la vista de árbol, pero sólo si el disector haañadido una abreviatura para el campo. Una lista de estos campos está disponible en Ethereal en elcuadro de diálogo Añadir Expresión.... Se puede encontrar más información sobre el cuadro dediálogo Añadir Expresión... en la sección El Diálogo Añadir Expresión.

Por ejemplo, para reducer la lista de paquetes sólo a aquellos paquetes que vaya desde o hacia10.0.0.5, use ip.addr==10.0.0.5.

¡Nota!: Para borrar el filtro, pulse en el botón Reset a la derecha del campo filtro.

Construyendo expresiones de filtroEthereal proporciona un lenguaje de filtros de visualización sencillo con el que se pueden

construir expresiones de filtrado bastante complejas. Se pueden comparar valores en paquetes asícomo combinar expresiones en expresiones más específicas. Las siguientes secciones proporcionanmás información sobre como hacer esto.

Comparando valoresSe pueden construir filtros de visualización que comparen valores usando varios operadores de

comparación diferentes. Estos se muestran en la Tabla 3-8.

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 51

Tabla 3-8. Operadores de comparación de filtros de visualización

Inglés Tipo C Descripción y ejemplo

eq == Igualip.addr==10.0.0.5

ne != Distintoip.addr!=10.0.0.5

gt > Mayor que.pkt_len > 10

lt < Menor queframe.pkt_len < 128

ge >= Mayor o igual queframe.pkt_len ge 0x100

le <= Menor o igual queframe.pkt_len <= 0x20

is present Está presente

contains Contiene

matches Cumple o encaja

Además, todos los campos de protocolo tienen tipo. La tabla 3-9 proporciona una lista de lostipos y un ejemplo de como expresarlos.

Tabla 3-9. Tipos de Campo

Tipo Ejemplo

Entero sin signo(8-bit, 16-bit, 24-bit,32-bit)

Se pueden expresar enteros en formato decimal, octal o hexadecimal. Lossiguientes filtros de visualización son equivalentes:

ip.len le 1500

ip.len le 02734

ip.len le 0x436

Entero con signo (8-bit, 16-bit, 24-bit, 32-bit)

Booleano o lógico Un campo lógico está presente en la decodificación de protocolo sólo si suvalor es true.

Por ejemplo, tcp.flags.syn está presente, y por lo tanto es true, sólo si el flagSYN está presente en el cabecero del segmento TCP.

Por lo tanto la expresión de filtro tcp.flags.syn seleccionará solo aquellospaquetes para los que este flag existe, esto es, los segmentos TCP donde elcabecero del segmento contiene el flag SYN. Similarmente, para encontrarpaquetes token ring con source-routing, use una expresión de filtro de tr.sr.

Dirección Ethernet (6bytes)

MANUAL DE ETHEREAL

52 © L&M Data Communications www.LMdata.es

Tipo Ejemplo

Dirección IPv4

Dirección IPv6

Número de Red IPX

String (texto)

Número de comaflotante de dobleprecisión

Combinando expresionesSe pueden combinar expresiones de filtro en Ethereal usando los operadores lógicos mostrados

en la Tabla 3-10Tabla 3-10. Operaciones lógicas de filtros de visualización

Inglés Tipo C Descripción y ejemplo

and && Y lógicoip.addr==10.0.0.5 and tcp.flags.fin

or || O lógicoip.addr==10.0.0.5 or ip.addr==192.1.1.1

xor ^^ XOR (O exclusivo) lógicotr.dst[0:3] == 0.6.29 xor tr.src[0:3] == 0.6.30

not ! NO lógiconot llc

[...] Operador de subcadenaEthereal permite seleccionar subsecuencias de una secuencia de formas bastanteelaboradas. Después de una etiqueta se pueden colocar un par de corchetes []conteniendo una lista separada por comas de especificadotes de rango.

eth.src[0:3] == 00:00:83

El ejemplo anterior usa el formato n:m para especificar un rango sencillo. En estecaso n es el offset inicial y m es la longitud del rango que está sendo especificado.

eth.src[1-2] == 00:83

El ejemplo anterior usa el formato n-m para especificar un rango sencillo. En estecaso n es el offset inicial y m es el offset final.

eth.src[:4] == 00:00:83:00

El ejemplo anterior usa el formato:m, que toma todo desde el comienzo de unasecuencia hasta el offset m. Es equivalente a 0:m

eth.src[4:] == 20:20

El ejemplo anterior usa el formato n:, que toma todo desde el offset n hasta el fin

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 53

Inglés Tipo C Descripción y ejemplode la secuencia.

eth.src[2] == 83

El ejemplo anterior usa el formato n para especificar un rango sencillo. En estecaso se selecciona el elemento de la secuence con el offset n. Es equivalente a n:1.

eth.src[0:3,1-2,:4,4:,2] == 00:00:83:00:83:00:00:83:00:20:20:83

Este último ejemplo muestra como concatenar varios rangos separando la lista derangos con comas

3.18 Coloreado de paquetesUn mecanismo muy útil disponible en Ethereal e el coloreado de paquetes. Se puede configurar

Ethereal de modo que coloree paquetes de acuerdo con un filtro. Esto permite emfatizar lospaquetes en que se está interesado.

Para colorear paquetes, seleccione el elemento de menú Coloring Rules... del menú View, yEthereal lanzará el cuadro de diálogo Añadir Color a Protocolos como se muestra en la Figura 3-22.

Figura 3-22. El cuadro de diálogo Añadir Color a Protocolos de Ethereal

Una vez que el cuadro de diálogo Añadir Color a Protocolos aparece, hay varios botones que sepueden utilizar, dependiendo de si ya se han instalado o no filtros de color. Si es la primera vez quese utiliza Añadir Color a Protocolos, pulse en New para mostrar el cuadro de diálogo Editar filtrode color como se muestra en la Figura 3-23.

MANUAL DE ETHEREAL

54 © L&M Data Communications www.LMdata.es

Figura 3-23. El cuadro de diálogo Editar filtro de color de Ethereal

En el cuadro de diálogo Editar filtro de color, simplemente introduzca un nombre para el filtrode color, e introduzaca una expresión de filtro en el campote texto Filter. La Figura 3-23 muestralos valores smb y smb lo que significa que el nombre del filtro de color es smb y el filtroseleccionará protocolos de tipo smb.

Una vez que se han introducido estos valores, se pueden elegir un color de texto y un color defondo para los paquetes que cumplan la expresión de filtro. Pulse en Choose background color oChoose foreground color para conseguir esto y Ethereal lanzará el cuadro de diálogo Elegir colorde texto/fondo para protocolo como se muestra en la Figura 3-24.

Figura 3-24. El cuadro de diálogo Elegir color de Ethereal

Seleccione el color deseado para los paquetes seleccionados y pulse OK.¡Nota!: Se debe seleccionar un color en la barra de color próxima a la rueda de color para cargar valoresen los deslizadores RGB. Como alternativa, se pueden usar los deslizadores para seleccionar el color quese desea.

Es necesario seleccionar cuidadosamente el orden en que se listan los filtros (y por lo tanto seaplican) ya que éstos se aplican en orden. Por lo tanto, los filtros más específicos se deben listarantes que los filtros más generales. Por ejemplo, si se tiene un filtro de color para UDP antes queuno para DNS, el filtro de color para DNS nunca se aplicará.

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 55

La Figura 3-25 muestra un ejemplo de varios filtros de color siendo usados en Ethereal.Figura 3-25. Usando filtros de color con Ethereal

3.19 Encontrando paquetesSe pueden encontrar tramas fácilmente una vez que se han capturado algunos paquetes o se ha

leído un fichero de captura previamente guardado. Simplemente seleccione el elemento de menúFind Packet... del menú Edit. Ethereal lanzará el cuadro de diálogo mostrado en la Figura 3-26.

Figura 3-26. El cuadro de diálogo Find Packet de Ethereal

Simplemente introduzca una expresión de filtro de visualización en el campo Filter:, seleccioneuna dirección, y pulse OK.

MANUAL DE ETHEREAL

56 © L&M Data Communications www.LMdata.es

Por ejemplo, para encontrar el three way handshake para una conexión desde el host 10.0.0.5,use la siguiente expresión de filtro:

ip.addr==10.0.0.5 and tcp.flags.syn

Para más detalles sobre filtros de visualización, vea la sección Filtrando paquetes mientras svisualizan.

3.20 Siguiendo flujos TCPHabrá ocasiones en las que se deseen ver los datos de una sesión TCP en el orden en que el nivel

de aplicación los vería. Quizá se están buscando passwords en un flujo Telnet, o quizá se estáintentando dar sentido a un flujo de datos. Si es así, la habilidad de Ethereal de seguir un flujo TCPserá útil para conseguirlo.

Simplemente seleccione un segmento TCP del flujo/conexión que le interese y seleccione elelemento de menú Follow TCP Stream del menú Analyze de Ethereal. Ethereal lanzará una ventanaaparte con todos los datos del flujo TCP clasificados en orden, como muestra la Figura 3-27.

Figura 3-27. Siguiendo un Flujo TCP

Se pueden elegir cuatro formatos para ver los datos:

1. ASCII. En esta vista se ven los datos de cada extremo en ASCII, pero alternados enfunción de cuando envió los datos cada extremo. Desafortunadamente, los caracteres noimprimibles no se imprimen.

2. EBCDIC. Antiguo sistema de codificación de caracteres ya en desuso.

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 57

3. HEX Dump. Permite ver todos los datos, pero se pierde la capacidad de leerlos en ASCII.

4. C Arrays. Permite ver los datos en formato de vectores C.¡Nota!: Merece la pena destacar que Follow TCP Stream instala un filtro para seleccionar todos lospaquetes del flujo TCP que se ha seleccionado.

También permite optar por mostrar sólo un sentido de la conversación (lista Entireconversation), así como guardar (botón Save As), imprimir (botón Print) o filtrar el flujo TCP(botón Filter out this stream).

3.21 Definiendo y guardando filtrosSe pueden definir filtros con Ethereal y darles etiquetas para su uso posterior. Esto puede ahorrar

tiempo para recordar y volver a teclear algunos de los filtros más complejos que se utilicen.

Para definir un nuevo filtro o editar uno existente, seleccione el elemento de menú Filters... delmenú Edit. Ethereal lanzará entonces el cuadro de diálogo Filtros como muestra la Figura 3-28.

Figura 3-28. El cuadro de diálogo Filtros de Ethereal

Se debe introducir un nombre de filtro en el campo Filter name, y una expresión de filtro en elcampo Filter string. Sin embargo, para la mayoría de las otras acciones, hay que seleccionar unfiltro del cuadro de lista (que rellenará el nombre y la expresión en los campos de la parte inferiordel cuadro de diálogo), y hacer cualquier cambio que se desee. Entonces se debería elegir uno delos botones de la parte izquierda del cuadro de diálogo. Los botones tienen los siguientessignificados:

NewEste botón añade la expresión de filtro introducida en el campo Filter string con el nombreproporcionado en el campo Filter name.

MANUAL DE ETHEREAL

58 © L&M Data Communications www.LMdata.es

¡Nota!: Se pueden añadir múltiples filtros con el mismo nombre. Esto no es muy útil.

DeleteEste botón borra el filtro seleccionado.

ApplyEste botón aplica el filtro seleccionado a la vista actual.

Add Expression...Este botón lanza el cuadro de diálogo Añadir Expresión que asiste en la construcción deexpresiones de filtro. Se puede encontrar más información sobre el cuadro de diálogo AñadirExpresión en la sección El cuadro de diálogo Añadir Expresión.

3.22 El cuadro de diálogo Añadir ExpresiónCuando se está acostumbrado al sistema de filtrado de Ethereal y se conocen las etiquetas que se

desean utilizar en los filtros puede ser muy rápido teclear simplemente una expresión de filtro. Sinembargo, si se es nuevo en Ethereal o se está trabajando con un protocolo ligeramente poco familiarpuede ser muy confuso intentar averiguar que teclear. El cuadro de diálogo Añadir Expresión ayudaa hacerlo.

Figura 3-29. El cuadro de diálogo Añadir Expresión

Cuando se abre por primera vez el cuadro de diálogo Añadir Expresión se muestra una lista deárbol de nombres de campo, organizados por protocolo, y un cuadro para seleccionar una relación.

Field NameSeleccione un campo de protocolo del árbol de campos de protocolos. Cada protocolo concampos filtrables se lista en el nivel máximo. Pulsando en el "+" próximo al nombre de

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 59

protocolo se puede obtener una lista de los nombres de campo disponibles para filtrado paraese protocolo.

RelationSeleccione una relación de la lista de relaciones disponibles. is present es una relación unariaque es cierta si el campo seleccionado está presente en un paquete. Todas las demásrelaciones listadas son relaciones binarias y requieren datos adicionales (es decir, un valor acumplir) para completarlas.

Cuando se selecciona un campo de la lista field name y una relación binaria (como la relación deigualdad ==) se dará la oportunidad de introducir un valor, y posiblemente alguna información derango.

ValueSe puede introducir un valor apropiado en el cuadro de texto Value. Value también indicaráel tipo de valor para el nombre de campo que se ha seleccionado (como cadena de caracteres).

AcceptCuando se ha compuesto una expresión satisfactoria pulse Accept y la expresión de filtro seconstruirá para usted.

CloseSe puede dejar el cuadro de diálogo Add Expression... sin ningún efecto pulsando el botónClose

Figura 3-31. Resultado de contruir una expresión de filtro usando el cuadro de diálogo Añadir Expresión.

MANUAL DE ETHEREAL

60 © L&M Data Communications www.LMdata.es

El cuadro de diálogo Añadir Expresión es un modo excelente de aprender a escribir expresionesde filtro de visualización en Ethereal.

3.23 Imprimiendo paquetesPara imprimir paquetes de una captura, seleccione el elemento de menú Print... del menú File.

Cuando se hace esto, Ethereal lanza el cuadro de diálogo Imprimir como muestra la Figura 3-32.Figura 3-32. El cuadro de diálogo Imprimir de Ethereal

Los siguientes campos están disponibles en el cuadro de diálogo Imprimir:

PrinterEste campo contiene un par de botones de radio mutuamente excluyentes:

• Plain Text, que especifica que la impresión del paquete debería ser en texto plano.

• PostScript, que especifica que el proceso de impresión del paquete debería usarPostscript para generar una mejor impresión.

Output to FileEste campo especifica la impresión se redirija al fichero especificado en el cuadro de texto asu derecha. Pulse Browse para elegir el directorio y archivo deseado

Packet rangeAquí se especifica si se desean imprimir todos los paquetes, sólo el seleccionado, sólo losmarcados, del primer al último paquete marcado, o un rango de paquetes especificado. Sepueden elegir estas opciones tanto para la captura total como para los paquetes que estánsiendo visualizados en el momento.

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 61

Packet detailsEsta casilla de verificación selecciona si Ethereal imprime o no un resumen o los detalles paracada paquete impreso.

All dissections collapsed, Dissections as displayed y All dissections expandedEstos botones de radio mutuamente excluyentes selecciona si Ethereal expande o no todos losdetalles para todos los paquetes impresos, o los imprime como se visualizan (es decir,expandiendo sólo los árboles de protocolo actualmente expandidos.

Packet hex dataEsta casilla de verificación controla si Ethereal imprime o no los datos hexadecimales paracada paquete seleccionado.

3.24 Preferencias de EtherealHay varias preferencias que se pueden configurar desde un único lugar. Simplemente seleccione

el elemento de menú Preferences... del menú Edit, y Ethereal lanzará el cuadro de diálogoPreferencias como se muestra en la Figura 3-33.

Figura 3-33. El cuadro de diálogo Preferencias de Ethereal

MANUAL DE ETHEREAL

62 © L&M Data Communications www.LMdata.es

El cuadro de diálogo Preferencias de Ethereal es un cuadro de diálogo con varias categorías quepermite establecer preferencias para cada uno de los siguientes elementos:

PrintingEsta categoría permite definir el comando de impresión por defecto que Ethereal utilizará asícomo el nombre por defecto del fichero de salida cuando se imprema a un fichero. Estosparámetros se discuten en más detalle en la sección Imprimiendo paquetes

ColumnsEsta categoría permite seleccionar que columnas aparecen en el Panel de Lista de Paquetes.

FontsEsta categoría permite seleccionar las fuentes a utilizar en Ethereal.

ColorsEsta categoría permite cambiar los colores de texto y de fondo usados en la ventana FollowTCP Stream descrita en la sección Siguiendo flujos TCP.

Name resolutionEsta pestaña permite configurar varias opciones de resolución automática de nombres.

Otras categoríasLas restantes categorías permiten configurar varias preferencias para la disección de variosprotocolos de red.

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 63

4 GNU Free Documentation LicenseVersion 1.2, November 2002

Copyright (C) 2000,2001,2002 Free Software Foundation, Inc.59 Temple Place, Suite 330, Boston, MA 02111-1307 USAEveryone is permitted to copy and distribute verbatim copiesof this license document, but changing it is not allowed.

0. PREAMBLEThe purpose of this License is to make a manual, textbook, or other functional and useful

document "free" in the sense of freedom: to assure everyone the effective freedom to copy andredistribute it, with or without modifying it, either commercially or noncommercially. Secondarily,this License preserves for the author and publisher a way to get credit for their work, while notbeing considered responsible for modifications made by others.

This License is a kind of "copyleft", which means that derivative works of the document mustthemselves be free in the same sense. It complements the GNU General Public License, which is acopyleft license designed for free software.

We have designed this License in order to use it for manuals for free software, because freesoftware needs free documentation: a free program should come with manuals providing the samefreedoms that the software does. But this License is not limited to software manuals; it can be usedfor any textual work, regardless of subject matter or whether it is published as a printed book. Werecommend this License principally for works whose purpose is instruction or reference.

1. APPLICABILITY AND DEFINITIONSThis License applies to any manual or other work, in any medium, that contains a notice placed

by the copyright holder saying it can be distributed under the terms of this License. Such a noticegrants a world-wide, royalty-free license, unlimited in duration, to use that work under theconditions stated herein. The "Document", below, refers to any such manual or work. Any memberof the public is a licensee, and is addressed as "you". You accept the license if you copy, modify ordistribute the work in a way requiring permission under copyright law.

A "Modified Version" of the Document means any work containing the Document or a portionof it, either copied verbatim, or with modifications and/or translated into another language.

A "Secondary Section" is a named appendix or a front-matter section of the Document that dealsexclusively with the relationship of the publishers or authors of the Document to the Document'soverall subject (or to related matters) and contains nothing that could fall directly within thatoverall subject. (Thus, if the Document is in part a textbook of mathematics, a Secondary Sectionmay not explain any mathematics.) The relationship could be a matter of historical connection withthe subject or with related matters, or of legal, commercial, philosophical, ethical or politicalposition regarding them.

The "Invariant Sections" are certain Secondary Sections whose titles are designated, as beingthose of Invariant Sections, in the notice that says that the Document is released under this License.If a section does not fit the above definition of Secondary then it is not allowed to be designated asInvariant. The Document may contain zero Invariant Sections. If the Document does not identifyany Invariant Sections then there are none.

MANUAL DE ETHEREAL

64 © L&M Data Communications www.LMdata.es

The "Cover Texts" are certain short passages of text that are listed, as Front-Cover Texts orBack-Cover Texts, in the notice that says that the Document is released under this License. AFront-Cover Text may be at most 5 words, and a Back-Cover Text may be at most 25 words.

A "Transparent" copy of the Document means a machine-readable copy, represented in a formatwhose specification is available to the general public, that is suitable for revising the documentstraightforwardly with generic text editors or (for images composed of pixels) generic paintprograms or (for drawings) some widely available drawing editor, and that is suitable for input totext formatters or for automatic translation to a variety of formats suitable for input to textformatters. A copy made in an otherwise Transparent file format whose markup, or absence ofmarkup, has been arranged to thwart or discourage subsequent modification by readers is notTransparent. An image format is not Transparent if used for any substantial amount of text. A copythat is not "Transparent" is called "Opaque".

Examples of suitable formats for Transparent copies include plain ASCII without markup,Texinfo input format, LaTeX input format, SGML or XML using a publicly available DTD, andstandard-conforming simple HTML, PostScript or PDF designed for human modification.Examples of transparent image formats include PNG, XCF and JPG. Opaque formats includeproprietary formats that can be read and edited only by proprietary word processors, SGML orXML for which the DTD and/or processing tools are not generally available, and the machine-generated HTML, PostScript or PDF produced by some word processors for output purposes only.

The "Title Page" means, for a printed book, the title page itself, plus such following pages as areneeded to hold, legibly, the material this License requires to appear in the title page. For works informats which do not have any title page as such, "Title Page" means the text near the mostprominent appearance of the work's title, preceding the beginning of the body of the text.

A section "Entitled XYZ" means a named subunit of the Document whose title either isprecisely XYZ or contains XYZ in parentheses following text that translates XYZ in anotherlanguage. (Here XYZ stands for a specific section name mentioned below, such as"Acknowledgements", "Dedications", "Endorsements", or "History".) To "Preserve the Title" ofsuch a section when you modify the Document means that it remains a section "Entitled XYZ"according to this definition.

The Document may include Warranty Disclaimers next to the notice which states that thisLicense applies to the Document. These Warranty Disclaimers are considered to be included byreference in this License, but only as regards disclaiming warranties: any other implication thatthese Warranty Disclaimers may have is void and has no effect on the meaning of this License.

2. VERBATIM COPYINGYou may copy and distribute the Document in any medium, either commercially or

noncommercially, provided that this License, the copyright notices, and the license notice sayingthis License applies to the Document are reproduced in all copies, and that you add no otherconditions whatsoever to those of this License. You may not use technical measures to obstruct orcontrol the reading or further copying of the copies you make or distribute. However, you mayaccept compensation in exchange for copies. If you distribute a large enough number of copies youmust also follow the conditions in section 3.

You may also lend copies, under the same conditions stated above, and you may publiclydisplay copies.

3. COPYING IN QUANTITYIf you publish printed copies (or copies in media that commonly have printed covers) of the

Document, numbering more than 100, and the Document's license notice requires Cover Texts, you

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 65

must enclose the copies in covers that carry, clearly and legibly, all these Cover Texts: Front-CoverTexts on the front cover, and Back-Cover Texts on the back cover. Both covers must also clearlyand legibly identify you as the publisher of these copies. The front cover must present the full titlewith all words of the title equally prominent and visible. You may add other material on the coversin addition. Copying with changes limited to the covers, as long as they preserve the title of theDocument and satisfy these conditions, can be treated as verbatim copying in other respects.

If the required texts for either cover are too voluminous to fit legibly, you should put the firstones listed (as many as fit reasonably) on the actual cover, and continue the rest onto adjacentpages.

If you publish or distribute Opaque copies of the Document numbering more than 100, you musteither include a machine-readable Transparent copy along with each Opaque copy, or state in orwith each Opaque copy a computer-network location from which the general network-using publichas access to download using public-standard network protocols a complete Transparent copy ofthe Document, free of added material. If you use the latter option, you must take reasonably prudentsteps, when you begin distribution of Opaque copies in quantity, to ensure that this Transparentcopy will remain thus accessible at the stated location until at least one year after the last time youdistribute an Opaque copy (directly or through your agents or retailers) of that edition to the public.

It is requested, but not required, that you contact the authors of the Document well beforeredistributing any large number of copies, to give them a chance to provide you with an updatedversion of the Document.

4. MODIFICATIONSYou may copy and distribute a Modified Version of the Document under the conditions of

sections 2 and 3 above, provided that you release the Modified Version under precisely thisLicense, with the Modified Version filling the role of the Document, thus licensing distribution andmodification of the Modified Version to whoever possesses a copy of it. In addition, you must dothese things in the Modified Version:

• A. Use in the Title Page (and on the covers, if any) a title distinct from that of theDocument, and from those of previous versions (which should, if there were any, be listedin the History section of the Document). You may use the same title as a previous version ifthe original publisher of that version gives permission.

• B. List on the Title Page, as authors, one or more persons or entities responsible forauthorship of the modifications in the Modified Version, together with at least five of theprincipal authors of the Document (all of its principal authors, if it has fewer than five),unless they release you from this requirement.

• C. State on the Title page the name of the publisher of the Modified Version, as thepublisher.

• D. Preserve all the copyright notices of the Document.

• E. Add an appropriate copyright notice for your modifications adjacent to the othercopyright notices.

• F. Include, immediately after the copyright notices, a license notice giving the publicpermission to use the Modified Version under the terms of this License, in the form shownin the Addendum below.

• G. Preserve in that license notice the full lists of Invariant Sections and required CoverTexts given in the Document's license notice.

MANUAL DE ETHEREAL

66 © L&M Data Communications www.LMdata.es

• H. Include an unaltered copy of this License.

• I. Preserve the section Entitled "History", Preserve its Title, and add to it an item stating atleast the title, year, new authors, and publisher of the Modified Version as given on the TitlePage. If there is no section Entitled "History" in the Document, create one stating the title,year, authors, and publisher of the Document as given on its Title Page, then add an itemdescribing the Modified Version as stated in the previous sentence.

• J. Preserve the network location, if any, given in the Document for public access to aTransparent copy of the Document, and likewise the network locations given in theDocument for previous versions it was based on. These may be placed in the "History"section. You may omit a network location for a work that was published at least four yearsbefore the Document itself, or if the original publisher of the version it refers to givespermission.

• K. For any section Entitled "Acknowledgements" or "Dedications", Preserve the Title of thesection, and preserve in the section all the substance and tone of each of the contributoracknowledgements and/or dedications given therein.

• L. Preserve all the Invariant Sections of the Document, unaltered in their text and in theirtitles. Section numbers or the equivalent are not considered part of the section titles.

• M. Delete any section Entitled "Endorsements". Such a section may not be included in theModified Version.

• N. Do not retitle any existing section to be Entitled "Endorsements" or to conflict in titlewith any Invariant Section.

• O. Preserve any Warranty Disclaimers.If the Modified Version includes new front-matter sections or appendices that qualify as

Secondary Sections and contain no material copied from the Document, you may at your optiondesignate some or all of these sections as invariant. To do this, add their titles to the list of InvariantSections in the Modified Version's license notice. These titles must be distinct from any othersection titles.

You may add a section Entitled "Endorsements", provided it contains nothing but endorsementsof your Modified Version by various parties--for example, statements of peer review or that the texthas been approved by an organization as the authoritative definition of a standard.

You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25words as a Back-Cover Text, to the end of the list of Cover Texts in the Modified Version. Onlyone passage of Front-Cover Text and one of Back-Cover Text may be added by (or througharrangements made by) any one entity. If the Document already includes a cover text for the samecover, previously added by you or by arrangement made by the same entity you are acting onbehalf of, you may not add another; but you may replace the old one, on explicit permission fromthe previous publisher that added the old one.

The author(s) and publisher(s) of the Document do not by this License give permission to usetheir names for publicity for or to assert or imply endorsement of any Modified Version.

5. COMBINING DOCUMENTSYou may combine the Document with other documents released under this License, under the

terms defined in section 4 above for modified versions, provided that you include in thecombination all of the Invariant Sections of all of the original documents, unmodified, and list them

MANUAL DE ETHEREAL

© L&M Data Communications www.LMdata.es 67

all as Invariant Sections of your combined work in its license notice, and that you preserve all theirWarranty Disclaimers.

The combined work need only contain one copy of this License, and multiple identical InvariantSections may be replaced with a single copy. If there are multiple Invariant Sections with the samename but different contents, make the title of each such section unique by adding at the end of it, inparentheses, the name of the original author or publisher of that section if known, or else a uniquenumber. Make the same adjustment to the section titles in the list of Invariant Sections in thelicense notice of the combined work.

In the combination, you must combine any sections Entitled "History" in the various originaldocuments, forming one section Entitled "History"; likewise combine any sections Entitled"Acknowledgements", and any sections Entitled "Dedications". You must delete all sectionsEntitled "Endorsements."

6. COLLECTIONS OF DOCUMENTSYou may make a collection consisting of the Document and other documents released under this

License, and replace the individual copies of this License in the various documents with a singlecopy that is included in the collection, provided that you follow the rules of this License forverbatim copying of each of the documents in all other respects.

You may extract a single document from such a collection, and distribute it individually underthis License, provided you insert a copy of this License into the extracted document, and follow thisLicense in all other respects regarding verbatim copying of that document.

7. AGGREGATION WITH INDEPENDENT WORKSA compilation of the Document or its derivatives with other separate and independent

documents or works, in or on a volume of a storage or distribution medium, is called an "aggregate"if the copyright resulting from the compilation is not used to limit the legal rights of thecompilation's users beyond what the individual works permit. When the Document is included in anaggregate, this License does not apply to the other works in the aggregate which are not themselvesderivative works of the Document.

If the Cover Text requirement of section 3 is applicable to these copies of the Document, then ifthe Document is less than one half of the entire aggregate, the Document's Cover Texts may beplaced on covers that bracket the Document within the aggregate, or the electronic equivalent ofcovers if the Document is in electronic form. Otherwise they must appear on printed covers thatbracket the whole aggregate.

8. TRANSLATIONTranslation is considered a kind of modification, so you may distribute translations of the

Document under the terms of section 4. Replacing Invariant Sections with translations requiresspecial permission from their copyright holders, but you may include translations of some or allInvariant Sections in addition to the original versions of these Invariant Sections. You may includea translation of this License, and all the license notices in the Document, and any WarrantyDisclaimers, provided that you also include the original English version of this License and theoriginal versions of those notices and disclaimers. In case of a disagreement between the translationand the original version of this License or a notice or disclaimer, the original version will prevail.

If a section in the Document is Entitled "Acknowledgements", "Dedications", or "History", therequirement (section 4) to Preserve its Title (section 1) will typically require changing the actualtitle.

9. TERMINATION

MANUAL DE ETHEREAL

68 © L&M Data Communications www.LMdata.es

You may not copy, modify, sublicense, or distribute the Document except as expressly providedfor under this License. Any other attempt to copy, modify, sublicense or distribute the Document isvoid, and will automatically terminate your rights under this License. However, parties who havereceived copies, or rights, from you under this License will not have their licenses terminated solong as such parties remain in full compliance.

10. FUTURE REVISIONS OF THIS LICENSEThe Free Software Foundation may publish new, revised versions of the GNU Free

Documentation License from time to time. Such new versions will be similar in spirit to the presentversion, but may differ in detail to address new problems or concerns. Seehttp://www.gnu.org/copyleft/.

Each version of the License is given a distinguishing version number. If the Document specifiesthat a particular numbered version of this License "or any later version" applies to it, you have theoption of following the terms and conditions either of that specified version or of any later versionthat has been published (not as a draft) by the Free Software Foundation. If the Document does notspecify a version number of this License, you may choose any version ever published (not as adraft) by the Free Software Foundation.

FILTROS DE VISUALIZACIÓNNOMBRES DE CAMPOS DE PROTOCOLOS

L&M Data Communications 2005

Home | Introduction | Download | Documentation | Lists | FAQ | Development

Display Filter Reference

FRAME Protocol field name: frame Versions: 0.9.0 to 0.10.3

ETHERNET Protocol field name: eth Versions: 0.9.0 to 0.10.9

IEEE 802.11 WIRELESS LAN Protocol field name: wlan Versions: 0.9.0 to 0.10.9

Ethereal Ethereal: Display Filter Reference: Frame, Ethernet, IEEE 802.11 WLAN

Search:

Field name Type Description Versions

frame.cap_len Unsigned 32-bit integer Capture Frame Length 0.9.0 to 0.10.9

frame.file_off Signed 32-bit integer File Offset 0.9.0 to 0.10.9

frame.marked Boolean Frame is marked 0.9.4 to 0.10.9

frame.number Unsigned 32-bit integer Frame Number 0.9.0 to 0.10.9

frame.p2p_dir Unsigned 8-bit integer Point-to-Point Direction 0.9.0 to 0.10.9

frame.pkt_len Unsigned 32-bit integer Total Frame Length 0.9.0 to 0.10.9

frame.ref_time None This is a Ref Time frame 0.9.16 to 0.10.9

frame.time Date/Time stamp Arrival Time 0.9.0 to 0.10.9

frame.time_delta Time duration Time delta from previous packet 0.9.0 to 0.10.9

frame.time_relative Time duration Time since reference or first frame 0.9.0 to 0.10.9

Field name Type Description Versions

eth.addr 6-byte Hardware (MAC) Address Source or Destination Address 0.9.0 to 0.10.9

eth.dst 6-byte Hardware (MAC) Address Destination 0.9.0 to 0.10.9

eth.len Unsigned 16-bit integer Length 0.9.0 to 0.10.9

eth.src 6-byte Hardware (MAC) Address Source 0.9.0 to 0.10.9

eth.trailer Byte array Trailer 0.9.0 to 0.10.9

eth.type Unsigned 16-bit integer Type 0.9.0 to 0.10.9

Field name Type Description Versions

wlan.addr 6-byte Hardware (MAC) Address Source or Destination address 0.9.0 to 0.10.9

wlan.aid Unsigned 16-bit integer Association ID 0.9.0 to 0.10.9

wlan.bssid 6-byte Hardware (MAC) Address BSS Id 0.9.0 to 0.10.9

wlan.ccmp.extiv String CCMP Ext. Initialization Vector 0.10.5 to 0.10.9

wlan.channel Unsigned 8-bit integer Channel 0.9.4 to 0.10.9

wlan.da 6-byte Hardware (MAC) Address Destination address 0.9.0 to 0.10.9

wlan.data_rate Unsigned 8-bit integer Data Rate 0.9.4 to 0.10.9

wlan.duration Unsigned 16-bit integer Duration 0.9.0 to 0.10.9

wlan.fc Unsigned 16-bit integer Frame Control Field 0.9.0 to 0.10.9

wlan.fc.ds Unsigned 8-bit integer DS status 0.9.0 to 0.10.9

wlan.fc.frag Boolean More Fragments 0.9.0 to 0.10.9

wlan.fc.fromds Boolean From DS 0.9.0 to 0.10.9

wlan.fc.moredata Boolean More Data 0.9.0 to 0.10.9

IEEE 802.11 WIRELESS LAN (CONT.) Protocol field name: wlan Versions: 0.9.0 to 0.10.9

Please send support questions about Ethereal to the ethereal-users[AT]ethereal.com mailing list.

For corrections/additions/suggestions for this web page (and not Ethereal support questions), please send email to ethereal-web[AT]ethereal.com .

Last modified: Thu, January 20 2005.

wlan.fc.order Boolean Order flag 0.9.0 to 0.10.9

wlan.fc.pwrmgt Boolean PWR MGT 0.9.0 to 0.10.9

wlan.fc.retry Boolean Retry 0.9.0 to 0.10.9

wlan.fc.subtype Unsigned 8-bit integer Subtype 0.9.0 to 0.10.9

wlan.fc.tods Boolean To DS 0.9.0 to 0.10.9

wlan.fc.type Unsigned 8-bit integer Type 0.9.0 to 0.10.9

wlan.fc.type_subtype Unsigned 16-bit integer Type/Subtype 0.9.0 to 0.10.9

wlan.fc.version Unsigned 8-bit integer Version 0.9.0 to 0.10.9

wlan.fc.wep Boolean WEP flag 0.9.0 to 0.10.9

wlan.fcs Unsigned 32-bit integer Frame check sequence 0.9.0 to 0.10.9

wlan.flags Unsigned 8-bit integer Protocol Flags 0.9.0 to 0.10.9

wlan.frag Unsigned 16-bit integer Fragment number 0.9.0 to 0.10.9

wlan.fragment Frame number 802.11 Fragment 0.9.4 to 0.10.9

wlan.fragment.error Frame number Defragmentation error 0.9.4 to 0.10.9

wlan.fragment.multipletails Boolean Multiple tail fragments found 0.9.4 to 0.10.9

wlan.fragment.overlap Boolean Fragment overlap 0.9.4 to 0.10.9

wlan.fragment.overlap.conflict BooleanConflicting data in fragment overlap 0.9.4 to 0.10.9

wlan.fragment.toolongfragment Boolean Fragment too long 0.9.4 to 0.10.9

wlan.fragments None 802.11 Fragments 0.9.4 to 0.10.9

wlan.qos.ack Unsigned 16-bit integer Ack Policy 0.10.5 to 0.10.9

wlan.qos.priority Unsigned 16-bit integer Priority 0.10.5 to 0.10.9

wlan.ra6-byte Hardware (MAC) Address Receiver address 0.9.0 to 0.10.9

wlan.reassembled_in Frame number Reassembled 802.11 in frame 0.9.12 to 0.10.9

wlan.sa6-byte Hardware (MAC) Address Source address 0.9.0 to 0.10.9

wlan.seq Unsigned 16-bit integer Sequence number 0.9.0 to 0.10.9

wlan.signal_strength Unsigned 8-bit integer Signal Strength 0.9.4 to 0.10.9

wlan.ta 6-byte Hardware (MAC) Address

Transmitter address 0.9.0 to 0.10.9

wlan.tkip.extiv String TKIP Ext. Initialization Vector 0.10.5 to 0.10.9

wlan.wep.crc Unsigned 32-bit integer WEP CRC (not verified) 0.9.0 to 0.9.5

wlan.wep.icv Unsigned 32-bit integer WEP ICV 0.9.5 to 0.10.9

wlan.wep.iv Unsigned 24-bit integer Initialization Vector 0.9.0 to 0.10.9

wlan.wep.key Unsigned 8-bit integer Key 0.9.0 to 0.10.9

wlan.wep.weakiv Boolean Weak IV 0.10.9

Home | Introduction | Download | Documentation | Lists | FAQ | Development | Wiki

Display Filter Reference

INTERNET PROTOCOL Protocol field name: ip Versions: 0.9.0 to 0.10.9

Please send support questions about Ethereal to the ethereal-users[AT]ethereal.com mailing list. For corrections/additions/suggestions for this web page (and not Ethereal support questions), please send email to ethereal-web[AT]

ethereal.com .

Last modified: Thu, January 20 2005.

Ethereal Display Filter Reference: Internet Protocol

Search:

IP Routing Software RIP, OSPF, IS-IS, BGP, CSPF, VPNs, MPLS for Switches and Routers

Network Protocol Handbook All active protocol fully explained Well illustrated with charts & maps

Ads by Goooooogle

Field name Type Description Versions

ip.addr IPv4 address Source or Destination Address 0.9.0 to 0.10.9

ip.checksum Unsigned 16-bit integer Header checksum 0.9.0 to 0.10.9

ip.checksum_bad Boolean Bad Header checksum 0.9.0 to 0.10.9

ip.dsfield Unsigned 8-bit integer Differentiated Services field 0.9.0 to 0.10.9

ip.dsfield.ce Unsigned 8-bit integer ECN-CE 0.9.0 to 0.10.9

ip.dsfield.dscp Unsigned 8-bit integer Differentiated Services Codepoint 0.9.0 to 0.10.9

ip.dsfield.ect Unsigned 8-bit integer ECN-Capable Transport (ECT) 0.9.0 to 0.10.9

ip.dst IPv4 address Destination 0.9.0 to 0.10.9

ip.flags Unsigned 8-bit integer Flags 0.9.0 to 0.10.9

ip.flags.df Boolean Don't fragment 0.9.0 to 0.10.9

ip.flags.mf Boolean More fragments 0.9.0 to 0.10.9

ip.flags.rb Boolean Reserved bit 0.10.1 to 0.10.9

ip.frag_offset Unsigned 16-bit integer Fragment offset 0.9.0 to 0.10.9

ip.fragment Frame number IP Fragment 0.9.0 to 0.10.9

ip.fragment.error Frame number Defragmentation error 0.9.0 to 0.10.9

ip.fragment.multipletails Boolean Multiple tail fragments found 0.9.0 to 0.10.9

ip.fragment.overlap Boolean Fragment overlap 0.9.0 to 0.10.9

ip.fragment.overlap.conflict Boolean Conflicting data in fragment overlap 0.9.0 to 0.10.9

ip.fragment.toolongfragment Boolean Fragment too long 0.9.0 to 0.10.9

ip.fragments None IP Fragments 0.9.0 to 0.10.9

ip.hdr_len Unsigned 8-bit integer Header Length 0.9.0 to 0.10.9

ip.id Unsigned 16-bit integer Identification 0.9.0 to 0.10.9

ip.len Unsigned 16-bit integer Total Length 0.9.0 to 0.10.9

ip.proto Unsigned 8-bit integer Protocol 0.9.0 to 0.10.9

ip.reassembled_in Frame number Reassembled IP in frame 0.9.12 to 0.10.9

ip.src IPv4 address Source 0.9.0 to 0.10.9

ip.tos Unsigned 8-bit integer Type of Service 0.9.0 to 0.10.9

ip.tos.cost Boolean Cost 0.9.0 to 0.10.9

ip.tos.delay Boolean Delay 0.9.0 to 0.10.9

ip.tos.precedence Unsigned 8-bit integer Precedence 0.9.0 to 0.10.9

ip.tos.reliability Boolean Reliability 0.9.0 to 0.10.9

ip.tos.throughput Boolean Throughput 0.9.0 to 0.10.9

ip.ttl Unsigned 8-bit integer Time to live 0.9.0 to 0.10.9

ip.version Unsigned 8-bit integer Version 0.9.0 to 0.10.9

Home | Introduction | Download | Documentation | Lists | FAQ | Development | Wiki

Display Filter Reference

INTERNET PROTOCOL VERSION 6 Protocol field name: ipv6 Versions: 0.9.0 to 0.10.9

Please send support questions about Ethereal to the ethereal-users[AT]ethereal.com mailing list.

For corrections/additions/suggestions for this web page (and not Ethereal support questions), please send email to ethereal-web[AT]ethereal.com .

Ethereal Display Filter Reference: Internet Protocol Version 6

Search:

IPv6 Training Advanced IP Version 6 Training 2-Day IPv6 vClasses for CCIE Prep

IPv6 Training Customized, hands-on IPv6 training programs delivered onsite

Ads by Goooooogle

Field name Type Description Versions

ipv6.addr IPv6 address Address 0.9.0 to 0.10.9

ipv6.class Unsigned 8-bit integer Traffic class 0.9.0 to 0.10.9

ipv6.dst IPv6 address Destination 0.9.0 to 0.10.9

ipv6.flow Unsigned 32-bit integer Flowlabel 0.9.0 to 0.10.9

ipv6.fragment Frame number IPv6 Fragment 0.9.0 to 0.10.9

ipv6.fragment.error Frame number Defragmentation error 0.9.0 to 0.10.9

ipv6.fragment.multipletails Boolean Multiple tail fragments found 0.9.0 to 0.10.9

ipv6.fragment.overlap Boolean Fragment overlap 0.9.0 to 0.10.9

ipv6.fragment.overlap.conflict Boolean Conflicting data in fragment overlap 0.9.0 to 0.10.9

ipv6.fragment.toolongfragment Boolean Fragment too long 0.9.0 to 0.10.9

ipv6.fragments None IPv6 Fragments 0.9.0 to 0.10.9

ipv6.hlim Unsigned 8-bit integer Hop limit 0.9.0 to 0.10.9

ipv6.mipv6_a_flag Boolean Acknowledge (A) 0.9.0 to 0.9.10

ipv6.mipv6_b_flag Boolean Bicasting all (B) 0.9.0 to 0.9.10

ipv6.mipv6_d_flag Boolean Duplicate Address Detection (D) 0.9.0 to 0.9.10

ipv6.mipv6_h_flag Boolean Home Registration (H) 0.9.0 to 0.9.10

ipv6.mipv6_home_address IPv6 address Home Address 0.9.0 to 0.10.9

ipv6.mipv6_length Unsigned 8-bit integer Option Length 0.9.0 to 0.10.9

ipv6.mipv6_life_time Unsigned 32-bit integer Life Time 0.9.0 to 0.9.10

ipv6.mipv6_m_flag Boolean MAP Registration (M) 0.9.0 to 0.9.10

ipv6.mipv6_prefix_length Unsigned 8-bit integer Prefix Length 0.9.0 to 0.9.10

ipv6.mipv6_r_flag Boolean Router (R) 0.9.0 to 0.9.10

ipv6.mipv6_refresh Unsigned 32-bit integer Refresh 0.9.0 to 0.9.10

ipv6.mipv6_sequence_number Unsigned 16-bit integer Sequence Number 0.9.0 to 0.9.10

ipv6.mipv6_status Unsigned 8-bit integer Status 0.9.0 to 0.9.10

ipv6.mipv6_sub_alternative_COA IPv6 address Alternative Care of Address 0.9.0 to 0.9.10

ipv6.mipv6_sub_length Unsigned 8-bit integer Sub-Option Length 0.9.0 to 0.9.10

ipv6.mipv6_sub_type Unsigned 8-bit integer Sub-Option Type 0.9.0 to 0.9.10

ipv6.mipv6_sub_unique_ID Unsigned 16-bit integer Unique Identifier 0.9.0 to 0.9.10

ipv6.mipv6_type Unsigned 8-bit integer Option Type 0.9.0 to 0.10.9

ipv6.nxt Unsigned 8-bit integer Next header 0.9.0 to 0.10.9

ipv6.plen Unsigned 16-bit integer Payload length 0.9.0 to 0.10.9

ipv6.reassembled_in Frame number Reassembled IPv6 in frame 0.9.12 to 0.10.9

ipv6.src IPv6 address Source 0.9.0 to 0.10.9

ipv6.version Unsigned 8-bit integer Version 0.9.0 to 0.10.9

Home | Introduction | Download | Documentation | Lists | FAQ | Development | Wiki

Display Filter Reference

ADDRESS RESOLUTION PROTOCOL Protocol field name: arp Versions: 0.9.0 to 0.10.9

Please send support questions about Ethereal to the ethereal-users[AT]ethereal.com mailing list. For corrections/additions/suggestions for this web page (and not Ethereal support questions), please send email to ethereal-web[AT]

ethereal.com .

Last modified: Thu, January 20 2005.

Ethereal Display Filter Reference: Address Resolution Protocol

Search:

Ethernet Pocket Reference Free Handy Slide Chart with Essential Specs & Definitions

Ethernet Protocols Papers Free White Papers and in depth Reports on Ethernet Protocols.

Ads by Goooooogle

Field name Type Description Versions

arp.dst.atm_num_e164 String Target ATM number (E.164) 0.9.0 to 0.10.9

arp.dst.atm_num_nsap Byte array Target ATM number (NSAP) 0.9.0 to 0.10.9

arp.dst.atm_subaddr Byte array Target ATM subaddress 0.9.0 to 0.10.9

arp.dst.hlen Unsigned 8-bit integer Target ATM number length 0.9.0 to 0.10.9

arp.dst.htype Boolean Target ATM number type 0.9.0 to 0.10.9

arp.dst.hw Byte array Target hardware address 0.9.0 to 0.10.9

arp.dst.hw_mac 6-byte Hardware (MAC) Address Target MAC address 0.9.2 to 0.10.9

arp.dst.pln Unsigned 8-bit integer Target protocol size 0.9.0 to 0.10.9

arp.dst.proto Byte array Target protocol address 0.9.0 to 0.10.9

arp.dst.proto_ipv4 IPv4 address Target IP address 0.9.2 to 0.10.9

arp.dst.slen Unsigned 8-bit integer Target ATM subaddress length 0.9.0 to 0.10.9

arp.dst.stype Boolean Target ATM subaddress type 0.9.0 to 0.10.9

arp.hw.size Unsigned 8-bit integer Hardware size 0.9.0 to 0.10.9

arp.hw.type Unsigned 16-bit integer Hardware type 0.9.0 to 0.10.9

arp.opcode Unsigned 16-bit integer Opcode 0.9.0 to 0.10.9

arp.proto.size Unsigned 8-bit integer Protocol size 0.9.0 to 0.10.9

arp.proto.type Unsigned 16-bit integer Protocol type 0.9.0 to 0.10.9

arp.src.atm_num_e164 String Sender ATM number (E.164) 0.9.0 to 0.10.9

arp.src.atm_num_nsap Byte array Sender ATM number (NSAP) 0.9.0 to 0.10.9

arp.src.atm_subaddr Byte array Sender ATM subaddress 0.9.0 to 0.10.9

arp.src.hlen Unsigned 8-bit integer Sender ATM number length 0.9.0 to 0.10.9

arp.src.htype Boolean Sender ATM number type 0.9.0 to 0.10.9

arp.src.hw Byte array Sender hardware address 0.9.0 to 0.10.9

arp.src.hw_mac 6-byte Hardware (MAC) Address Sender MAC address 0.9.2 to 0.10.9

arp.src.pln Unsigned 8-bit integer Sender protocol size 0.9.0 to 0.10.9

arp.src.proto Byte array Sender protocol address 0.9.0 to 0.10.9

arp.src.proto_ipv4 IPv4 address Sender IP address 0.9.2 to 0.10.9

arp.src.slen Unsigned 8-bit integer Sender ATM subaddress length 0.9.0 to 0.10.9

arp.src.stype Boolean Sender ATM subaddress type 0.9.0 to 0.10.9

Home | Introduction | Download | Documentation | Lists | FAQ | Development

Display Filter Reference

INTERNET CONTROL MESSAGE PROTOCOL Protocol field name: icmp Versions: 0.9.0 to 0.10.9

INTERNET CONTROL MESSAGE PROTOCOL V6 Protocol field name: icmpv6 Versions: 0.9.0 to 0.10.9

Please send support questions about Ethereal to the ethereal-users[AT]ethereal.com mailing list. For corrections/additions/suggestions for this web page (and not Ethereal support questions), please send email to ethereal-web[AT]

Ethereal Ethereal: Display Filter Reference: Internet Control Message Protocol (v4 & v6)

Search:

Results matter. Your investment in United Way has the power to get results.

Public Service Ads by Google

Field name Type Description Versions

icmp.checksum Unsigned 16-bit integer Checksum 0.9.0 to 0.10.9

icmp.checksum_bad Boolean Bad Checksum 0.9.0 to 0.10.9

icmp.code Unsigned 8-bit integer Code 0.9.0 to 0.10.9

icmp.ident Unsigned 16-bit integer Identifier 0.9.16 to 0.10.9

icmp.mip.b Boolean Busy 0.9.0 to 0.10.9

icmp.mip.challenge Byte array Challenge 0.9.0 to 0.10.9

icmp.mip.coa IPv4 address Care-Of-Address 0.9.0 to 0.10.9

icmp.mip.f Boolean Foreign Agent 0.9.0 to 0.10.9

icmp.mip.flags Unsigned 8-bit integer Flags 0.9.0 to 0.10.9

icmp.mip.g Boolean GRE 0.9.0 to 0.10.9

icmp.mip.h Boolean Home Agent 0.9.0 to 0.10.9

icmp.mip.length Unsigned 8-bit integer Length 0.9.0 to 0.10.9

icmp.mip.life Unsigned 16-bit integer Registration Lifetime 0.9.0 to 0.10.9

icmp.mip.m Boolean Minimal Encapsulation 0.9.0 to 0.10.9

icmp.mip.prefixlength Unsigned 8-bit integer Prefix Length 0.9.0 to 0.10.9

icmp.mip.r Boolean Registration Required 0.9.0 to 0.10.9

icmp.mip.res Boolean Reserved 0.9.0 to 0.10.9

icmp.mip.reserved Unsigned 8-bit integer Reserved 0.9.0 to 0.10.9

icmp.mip.seq Unsigned 16-bit integer Sequence Number 0.9.0 to 0.10.9

icmp.mip.type Unsigned 8-bit integer Extension Type 0.9.0 to 0.10.9

icmp.mip.v Boolean VJ Comp 0.9.0 to 0.10.9

icmp.mtu Unsigned 16-bit integer MTU of next hop 0.9.16 to 0.10.9

icmp.redir_gw IPv4 address Gateway address 0.9.16 to 0.10.9

icmp.seq Unsigned 16-bit integer Sequence number 0.9.16 to 0.10.9

icmp.type Unsigned 8-bit integer Type 0.9.0 to 0.10.9

Field name Type Description Versions

icmpv6.checksum Unsigned 16-bit integer Checksum 0.9.0 to 0.10.9

icmpv6.checksum_bad Boolean Bad Checksum 0.9.0 to 0.10.9

icmpv6.code Unsigned 8-bit integer Code 0.9.0 to 0.10.9

icmpv6.haad.ha_addrs IPv6 address Home Agent Addresses 0.10.1 to 0.10.9

icmpv6.type Unsigned 8-bit integer Type 0.9.0 to 0.10.9

Home | Introduction | Download | Documentation | Lists | FAQ | Development

Display Filter Reference

TRANSMISSION CONTROL PROTOCOL Protocol field name: tcp Versions: 0.9.0 to 0.10.9

Ethereal Ethereal: Display Filter Reference: TCP, UDP

Search:

Field name Type Description Versions

tcp.ack Unsigned 32-bit integer

Acknowledgement number 0.9.0 to 0.10.9

tcp.analysis.ack_lost_segment None ACKed Lost Packet 0.9.8 to 0.10.9

tcp.analysis.ack_rtt Time duration The RTT to ACK the segment was 0.9.6 to 0.10.9

tcp.analysis.acks_frame Frame numberThis is an ACK to the segment in frame 0.9.6 to 0.10.9

tcp.analysis.duplicate_ack None Duplicate ACK 0.9.8 to 0.10.9

tcp.analysis.duplicate_ack_frame Frame number Duplicate to the ACK in frame 0.9.12 to 0.10.9

tcp.analysis.duplicate_ack_numUnsigned 32-bit integer

Duplicate ACK # 0.9.12 to 0.10.9

tcp.analysis.fast_retransmission None Fast Retransmission 0.9.16 to 0.10.9

tcp.analysis.flags None TCP Analysis Flags 0.9.7 to 0.10.9

tcp.analysis.keep_alive None Keep Alive 0.9.8 to 0.10.9

tcp.analysis.keep_alive_ack None Keep Alive ACK 0.9.15 to 0.10.9

tcp.analysis.lost_segment None Previous Segment Lost 0.9.8 to 0.10.9

tcp.analysis.out_of_order None Out Of Order 0.9.16 to 0.10.9

tcp.analysis.retransmission None Retransmission 0.9.8 to 0.10.9

tcp.analysis.window_full None Window full 0.10.9

tcp.analysis.window_update None Window update 0.10.8 to 0.10.9

tcp.analysis.zero_window None Zero Window 0.9.8 to 0.10.9

tcp.analysis.zero_window_probe None Zero Window Probe 0.9.8 to 0.10.9

tcp.analysis.zero_window_violation None Zero Window Violation 0.9.8 to 0.10.9

tcp.checksum Unsigned 16-bit integer

Checksum 0.9.0 to 0.10.9

tcp.checksum_bad Boolean Bad Checksum 0.9.0 to 0.10.9

tcp.continuation_to Frame numberThis is a continuation to the PDU in frame

0.10.3 to 0.10.9

tcp.dstportUnsigned 16-bit integer Destination Port 0.9.0 to 0.10.9

tcp.flags Unsigned 8-bit integer

Flags 0.9.0 to 0.10.9

tcp.flags.ack Boolean Acknowledgment 0.9.0 to 0.10.9

tcp.flags.cwr Boolean Congestion Window Reduced (CWR) 0.9.0 to 0.10.9

tcp.flags.ecn Boolean ECN-Echo 0.9.0 to 0.10.9

tcp.flags.fin Boolean Fin 0.9.0 to 0.10.9

tcp.flags.push Boolean Push 0.9.0 to 0.10.9

tcp.flags.reset Boolean Reset 0.9.0 to 0.10.9

tcp.flags.syn Boolean Syn 0.9.0 to 0.10.9

tcp.flags.urg Boolean Urgent 0.9.0 to 0.10.9

tcp.hdr_lenUnsigned 8-bit integer Header Length 0.9.0 to 0.10.9

tcp.len Unsigned 32-bit integer

TCP Segment Len 0.9.4 to 0.10.9

TRANSMISSION CONTROL PROTOCOL (CONT.) Protocol field name: tcp Versions: 0.9.0 to 0.10.9

USER DATAGRAM PROTOCOL Protocol field name: udp Versions: 0.9.0 to 0.10.9

Please send support questions about Ethereal to the ethereal-users[AT]ethereal.com mailing list.

For corrections/additions/suggestions for this web page (and not Ethereal support questions), please send email to ethereal-web[AT]

ethereal.com . Last modified: Thu, January 20 2005.

tcp.nxtseq Unsigned 32-bit integer Next sequence number 0.9.0 to 0.10.9

tcp.options.cc Boolean TCP CC Option 0.9.10 to 0.10.9

tcp.options.ccecho Boolean TCP CC Echo Option 0.9.10 to 0.10.9

tcp.options.ccnew Boolean TCP CC New Option 0.9.10 to 0.10.9

tcp.options.echo Boolean TCP Echo Option 0.9.10 to 0.10.9

tcp.options.echo_reply Boolean TCP Echo Reply Option 0.9.10 to 0.10.9

tcp.options.md5 Boolean TCP MD5 Option 0.9.10 to 0.10.9

tcp.options.mss Boolean TCP MSS Option 0.9.10 to 0.10.9

tcp.options.mss_val Unsigned 16-bit integer TCP MSS Option Value 0.9.10 to 0.10.9

tcp.options.sack Boolean TCP Sack Option 0.9.10 to 0.10.9

tcp.options.sack_le Unsigned 32-bit integer TCP Sack Left Edge 0.9.10 to 0.10.9

tcp.options.sack_perm Boolean TCP Sack Perm Option 0.9.10 to 0.10.9

tcp.options.sack_re Unsigned 32-bit integer TCP Sack Right Edge 0.9.10 to 0.10.9

tcp.options.time_stamp Boolean TCP Time Stamp Option 0.9.10 to 0.10.9

tcp.options.wscale Boolean TCP Window Scale Option 0.9.10 to 0.10.9

tcp.options.wscale_val Unsigned 8-bit integer TCP Windows Scale Option Value 0.9.10 to 0.10.9

tcp.pdu.last_frame Frame number Last frame of this PDU 0.10.8 to 0.10.9

tcp.pdu.time Time duration Time until the last segment of this PDU 0.10.8 to 0.10.9

tcp.port Unsigned 16-bit integer Source or Destination Port 0.9.0 to 0.10.9

tcp.reassembled_in Frame number Reassembled PDU in frame 0.9.15 to 0.10.9

tcp.segment Frame number TCP Segment 0.9.9 to 0.10.9

tcp.segment.error Frame number Reassembling error 0.9.9 to 0.10.9

tcp.segment.multipletails Boolean Multiple tail segments found 0.9.9 to 0.10.9

tcp.segment.overlap Boolean Segment overlap 0.9.9 to 0.10.9

tcp.segment.overlap.conflict Boolean Conflicting data in segment overlap 0.9.9 to 0.10.9

tcp.segment.toolongfragment Boolean Segment too long 0.9.9 to 0.10.9

tcp.segments None TCP Segments 0.9.9 to 0.10.9

tcp.seq Unsigned 32-bit integer Sequence number 0.9.0 to 0.10.9

tcp.srcport Unsigned 16-bit integer Source Port 0.9.0 to 0.10.9

tcp.urgent_pointer Unsigned 16-bit integer Urgent pointer 0.9.0 to 0.10.9

tcp.window_size Unsigned 32-bit integer Window size 0.9.0 to 0.10.9

Field name Type Description Versions

udp.checksum Unsigned 16-bit integer Checksum 0.9.0 to 0.10.9

udp.checksum_bad Boolean Bad Checksum 0.9.0 to 0.10.9

udp.dstport Unsigned 16-bit integer Destination Port 0.9.0 to 0.10.9

udp.length Unsigned 16-bit integer Length 0.9.0 to 0.10.9

udp.port Unsigned 16-bit integer Source or Destination Port 0.9.0 to 0.10.9

udp.srcport Unsigned 16-bit integer Source Port 0.9.0 to 0.10.9

Home | Introduction | Download | Documentation | Lists | FAQ | Development | Wiki

Display Filter Reference

HYPERTEXT TRANSFER PROTOCOL Protocol field name: http Versions: 0.9.0 to 0.10.9

Please send support questions about Ethereal to the ethereal-users[AT]ethereal.com mailing list.

For corrections/additions/suggestions for this web page (and not Ethereal support questions), please send email to ethereal-web[AT]

ethereal.com .

Last modified: Thu, January 20 2005.

Ethereal Display Filter Reference: Hypertext Transfer Protocol

Search:

IP Routing Software RIP, OSPF, IS-IS, BGP, CSPF, VPNs, MPLS for Switches and Routers

https viewer Award winning Internet Explorer plug-in to view http and https

Ads by Goooooogle

Field name Type Description Versions

http.accept String Accept 0.10.8 to 0.10.9

http.accept_encoding String Accept Encoding 0.10.8 to 0.10.9

http.accept_language String Accept-Language 0.10.8 to 0.10.9

http.authbasic String Credentials 0.9.13 to 0.10.9

http.authorization String Authorization 0.10.0 to 0.10.9

http.cache_control String Cache-Control 0.10.8 to 0.10.9

http.connection String Connection 0.10.8 to 0.10.9

http.content_encoding String Content-Encoding 0.10.2 to 0.10.9

http.content_length String Content-Length 0.10.1 to 0.10.9

http.content_type String Content-Type 0.10.0 to 0.10.9

http.cookie String Cookie 0.10.8 to 0.10.9

http.date String Date 0.10.8 to 0.10.9

http.host String Host 0.10.8 to 0.10.9

http.last_modified String Last-Modified 0.10.8 to 0.10.9

http.location String Location 0.10.8 to 0.10.9

http.notification Boolean Notification 0.9.0 to 0.10.9

http.proxy_authenticate String Proxy-Authenticate 0.10.0 to 0.10.9

http.proxy_authorization String Proxy-Authorization 0.10.0 to 0.10.9

http.referer String Referer 0.10.8 to 0.10.9

http.request Boolean Request 0.9.0 to 0.10.9

http.request.method String Request Method 0.9.13 to 0.10.9

http.response Boolean Response 0.9.0 to 0.10.9

http.response.code Unsigned 16-bit integer Response Code 0.9.15 to 0.10.9

http.server String Server 0.10.8 to 0.10.9

http.set_cookie String Set-Cookie 0.10.8 to 0.10.9

http.transfer_encoding String Transfer-Encoding 0.10.2 to 0.10.9

http.user_agent String User-Agent 0.10.8 to 0.10.9

http.www_authenticate String WWW-Authenticate 0.10.0 to 0.10.9

Home | Introduction | Download | Documentation | Lists | FAQ | Development | Wiki

Display Filter Reference

DOMAIN NAME SERVICE Protocol field name: dns Versions: 0.9.0 to 0.10.9

Please send support questions about Ethereal to the ethereal-users[AT]ethereal.com mailing list.

For corrections/additions/suggestions for this web page (and not Ethereal support questions), please send email to ethereal-web[AT]

ethereal.com . Last modified: Thu, January 20 2005.

Ethereal Display Filter Reference: Domain Name Service

Search:

Speedera Networks Global Whole Site Delivery Services Security. Performance. Analytics.

Free Dynamic DNS ZoneEdit's dynamic DNS service is easy/reliable & free up to 5 hosts.

Ads by Goooooogle

Field name Type Description Versions

dns.count.add_rr Unsigned 16-bit integer Additional RRs 0.9.0 to 0.10.9

dns.count.answers Unsigned 16-bit integer Answer RRs 0.9.0 to 0.10.9

dns.count.auth_rr Unsigned 16-bit integer Authority RRs 0.9.0 to 0.10.9

dns.count.prerequisites Unsigned 16-bit integer Prerequisites 0.10.8 to 0.10.9

dns.count.queries Unsigned 16-bit integer Questions 0.9.0 to 0.10.9

dns.count.updates Unsigned 16-bit integer Updates 0.10.8 to 0.10.9

dns.count.zones Unsigned 16-bit integer Zones 0.10.8 to 0.10.9

dns.flags Unsigned 16-bit integer Flags 0.9.0 to 0.10.9

dns.flags.authenticated Boolean Answer authenticated 0.9.4 to 0.10.9

dns.flags.authoritative Boolean Authoritative 0.9.4 to 0.10.9

dns.flags.checkdisable Boolean Non-authenticated data OK 0.9.4 to 0.10.9

dns.flags.opcode Unsigned 16-bit integer Opcode 0.9.4 to 0.10.9

dns.flags.rcode Unsigned 16-bit integer Reply code 0.9.4 to 0.10.9

dns.flags.recavail Boolean Recursion available 0.9.4 to 0.10.9

dns.flags.recdesired Boolean Recursion desired 0.9.4 to 0.10.9

dns.flags.response Boolean Response 0.9.4 to 0.10.9

dns.flags.truncated Boolean Truncated 0.9.4 to 0.10.9

dns.flags.z Boolean Z 0.9.13 to 0.10.9

dns.id Unsigned 16-bit integer Transaction ID 0.9.0 to 0.10.9

dns.length Unsigned 16-bit integer Length 0.9.0 to 0.10.9

dns.qry.class Unsigned 16-bit integer Class 0.10.9

dns.qry.name String Name 0.10.9

dns.qry.type Unsigned 16-bit integer Type 0.10.9

dns.query Boolean Query 0.9.0 to 0.9.4

dns.resp.class Unsigned 16-bit integer Class 0.10.9

dns.resp.len Unsigned 32-bit integer Data length 0.10.9

dns.resp.name String Name 0.10.9

dns.resp.ttl Unsigned 32-bit integer Time to live 0.10.9

dns.resp.type Unsigned 16-bit integer Type 0.10.9

dns.response Boolean Response 0.9.0 to 0.9.4

Home | Introduction | Download | Documentation | Lists | FAQ | Development

Display Filter Reference

FILE TRANSFER PROTOCOL (FTP) Protocol field name: ftp Versions: 0.9.0 to 0.10.9

FTP DATA Protocol field name: ftp-data Versions: 0.9.0 to 0.10.9

SIMPLE MAIL TRANSFER PROTOCOL Protocol field name: smtp Versions: 0.9.0 to 0.10.9

POST OFFICE PROTOCOL Protocol field name: pop Versions: 0.9.0 to 0.10.9

Please send support questions about Ethereal to the ethereal-users[AT]ethereal.com mailing list.

For corrections/additions/suggestions for this web page (and not Ethereal support questions), please send email to ethereal-web[AT]

ethereal.com .

Ethereal Ethereal: Display Filter Reference: FTP, SMTP, POP

Search:

Field name Type Description Versions

ftp.active.cip IPv4 address Active IP address 0.9.16 to 0.10.9

ftp.active.nat Boolean Active IP NAT 0.9.16 to 0.10.9

ftp.active.port Unsigned 16-bit integer Active port 0.9.16 to 0.10.9

ftp.passive.ip IPv4 address Passive IP address 0.9.16 to 0.10.9

ftp.passive.nat Boolean Passive IP NAT 0.9.16 to 0.10.9

ftp.passive.port Unsigned 16-bit integer Passive port 0.9.16 to 0.10.9

ftp.reponse.arg String Response arg 0.9.4 to 0.9.6

ftp.reponse.data String Response data 0.9.0 to 0.9.4

ftp.request Boolean Request 0.9.0 to 0.10.9

ftp.request.arg String Request arg 0.9.4 to 0.10.9

ftp.request.command String Request command 0.9.0 to 0.10.9

ftp.request.data String Request data 0.9.0 to 0.9.4

ftp.response Boolean Response 0.9.0 to 0.10.9

ftp.response.arg String Response arg 0.9.6 to 0.10.9

ftp.response.code Unsigned 32-bit integer Response code 0.9.0 to 0.10.9

Field name Type Description Versions

smtp.req Boolean Request 0.9.0 to 0.10.9

smtp.req.command String Command 0.9.6 to 0.10.9

smtp.req.parameter String Request parameter 0.9.6 to 0.10.9

smtp.response.code Unsigned 32-bit integer Response code 0.9.6 to 0.10.9

smtp.rsp Boolean Response 0.9.0 to 0.10.9

smtp.rsp.parameter String Response parameter 0.9.6 to 0.10.9

Field name Type Description Versions

pop.request Boolean Request 0.9.0 to 0.10.9

pop.response Boolean Response 0.9.0 to 0.10.9

Home | Introduction | Download | Documentation | Lists | FAQ | Development | Wiki

Display Filter Reference

SIMPLE NETWORK MANAGEMENT PROTOCOL Protocol field name: snmp Versions: 0.9.0 to 0.10.9

Please send support questions about Ethereal to the ethereal-users[AT]ethereal.com mailing list.

For corrections/additions/suggestions for this web page (and not Ethereal support questions), please send email to ethereal-web[AT]

ethereal.com . Last modified: Thu, January 20 2005.

Ethereal Display Filter Reference: Simple Network Management Protocol

Search:

Snmp Trap Oid Try Our Top SNMP solutions For Free Complete End-To-End Solutions!

SNMP Test Software Easily automate your SNMP testing with over 1,400 Tests and 12 Tools

Ads by Goooooogle

Field name Type Description Versions

snmp.agent IPv4 address Agent address 0.9.12 to 0.10.9

snmp.community String Community 0.9.12 to 0.10.9

snmp.enterprise String Enterprise 0.9.12 to 0.10.9

snmp.error Unsigned 8-bit integer Error Status 0.9.13 to 0.10.9

snmp.id Unsigned 32-bit integer Request Id 0.9.14 to 0.10.9

snmp.oid String Object identifier 0.9.13 to 0.10.9

snmp.pdutype Unsigned 8-bit integer PDU type 0.9.12 to 0.10.9

snmp.spectraptype Unsigned 32-bit integer Specific trap type 0.9.12 to 0.10.9

snmp.timestamp Unsigned 8-bit integer Timestamp 0.9.12 to 0.10.9

snmp.traptype Unsigned 8-bit integer Trap type 0.9.12 to 0.10.9

snmp.version Unsigned 8-bit integer Version 0.9.12 to 0.10.9

snmpv3.flags Unsigned 8-bit integer SNMPv3 Flags 0.9.0 to 0.10.9

snmpv3.flags.auth Boolean Authenticated 0.9.0 to 0.10.9

snmpv3.flags.crypt Boolean Encrypted 0.9.0 to 0.10.9

snmpv3.flags.report Boolean Reportable 0.9.0 to 0.10.9