P02 Ethereal

MANUAL DE ETHEREAL
INSTALACIN Y USO
Ricardo Dez Antequera
L&M Data Communications
2005
MANUAL DE ETHEREAL INSTALACIN Y USO

Copyright (c) 2005 L&M Data Communications S. A. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License".
MANUAL DE ETHEREAL
Tabla de contenidos
1. INTRODUCCIN
1.1 Qu es Ethereal? 1.2 El Estado de Ethereal 1.3 Desarrollo y Mantenimiento de Ethereal 1.4 Plataformas sobre las que corre Ethereal 1.5 Dnde conseguir Ethereal 1.6 Informando de problemas y Consiguiendo ayuda
4
4 12 12 12 12 13
2 COMPILANDO E INSTALANDO ETHEREAL

2.1 Introduccin 2.2 Obteniendo las distribuciones fuente y binaria 2.3 Antes de compilar Ethereal 2.4 Compilando desde el Fuente bajo UNIX 2.5 Instalando los binarios bajo UNIX 2.6 Instalando desde RPMs bajo Linux 2.7 Instalando desde debs bajo Debian 2.8 Instalando Ethereal bajo Windows
13
13 14 14 16 17 17 17 17
3 USANDO ETHEREAL
3.1 Introduccin 3.2 Iniciar Ethereal 3.3 Los menus de Ethereal 3.4 El men File de Ethereal 3.5 El men Edit de Ethereal 3.6 El men View de Ethereal 3.7 El men Go de Ethereal 3.8 El men Capture de Ethereal 3.9 El men Analyze de Ethereal 3.10 El men Statistics de Ethereal 3.11 El men Help de Ethereal 3.12 Capturando paquetes con Ethereal Cuadro de dilogo Preferencias de Captura 3.13 Filtrando mientras se captura 3.14 Viendo los paquetes que se han capturado 3.15 Guardando los paquetes capturados Cuadro de dilogo Guardar Fichero de captura Como 3.16 Leyendo ficheros de captura El cuadro de dilogo Abrir Fichero 3.17 Filtrando paquetes mientras se ven Construyendo expresiones de filtro 3.18 Coloreado de paquetes 3.19 Encontrando paquetes 3.20 Siguiendo flujos TCP 3.21 Definiendo y guardando filtros 3.22 El cuadro de dilogo Aadir Expresin 3.23 Imprimiendo paquetes 3.24 Preferencias de Ethereal
18
18 18 22 23 25 26 29 30 31 33 37 37 38 40 41 45 45 47 48 49 50 53 55 56 57 58 60 61
4 GNU FREE DOCUMENTATION LICENSE
63
www.LMdata.es
MANUAL DE ETHEREAL
1. Introduccin
1.1 Qu es Ethereal?
Todos los administradores de red necesitan tarde o temprano una herramienta que pueda capturar paquetes de la red y analizarlos. En el pasado, estas herramientas eran muy caras, propietarias, o ambas cosas. Sin embargo, con la lleagada de Ethereal, todo eso ha cambiado. Ethereal es quiz uno de los mejores sniffers open source disponibles hoy en da. Algunas de sus caractersticas son: Disponible para UNIX y para Windows. Captura y muestra paquetes desde cualquier interface en un sistema UNIX. Muestra paquetes capturados por otros programas de captura, como: o tcpdump (libpcap/WinPcap) o Cinco Networks NetXRay o Sniffer y Sniffer Pro de Network Associates ! ! Para DOS o Windows Comprimido o no
o NetXray o LANalyzer de Novell o Shomiti/Finesar Surveyor o iptrace de AIX o AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek o WAN/LAN Analyzer de RADCOM o Productos de acceso Lucent/Ascend o nettl de HP-UX o Salida en formato IPLog del Cisco Secure Intrusion Detection System o Logs pppd (formato pppdump) o Utilidad TCPIPtrace de VMS o Salida de texto de la utilidad DBS Etherwatch VMS o Ficheros de capura de trfico de Visual UpTime de Visual Networks o Salida debug de CoSine L2 o Routers ISDN de Toshiba o Utilidad i4btrace de ISDN4BSD o Microsoft Network Monitor o snoop y atmsnoop de Sun Guarda las capturas en varios formatos: o libpcap (tcpdump)
www.LMdata.es
MANUAL DE ETHEREAL
o Sun snoop o Microsoft Network Monitor o Network Associates Sniffer Filtra paquetes por muchos criterios. Busca paquetes usando filtros. Colorea paquetes basndose en filtros
Sin embargo, para apreciar realmente su potencia, lo mejor es empezar a utilizarlo. La Figura 1-1 muestra Ethereal habiendo capturado algunos paquetes y esperando que el usuario examine los paquetes.
Figura 1-1. Ethereal captura paquetes y permite examinar su contenido.
Adems, como todo el cdigo fuente de Ethereal est gratuitamente disponible, es muy fcil aadir nuevos protocolos a Ethereal, as como mdulos, o modificar el cdigo fuente. Hay actualmente decodificadores de protocolo (o disectores, como se les llama en Ethereal), para un gran nmero de protocolos, incluyendo: 802.1q Virtual LAN 802.1x Authentication AOL Instant Messenger ATM ATM LAN Emulation Ad hoc On-demand Distance Vector Routing Protocol Ad hoc On-demand Distance Vector Routing Protocol v6 Address Resolution Protocol Aggregate Server Access Protocol
www.LMdata.es
MANUAL DE ETHEREAL
Andrew File System (AFS) Apache JServ Protocol v1.3 AppleTalk Filing Protocol AppleTalk Session Protocol AppleTalk Transaction Protocol packet Appletalk Address Resolution Protocol Async data over ISDN (V.120) Authentication Header BACnet Virtual Link Control Banyan Vines Banyan Vines Fragmentation Protocol Banyan Vines SPP Blocks Extensible Exchange Protocol Parmetros Boot Bootstrap Protocol Border Gateway Protocol Building Automation and Control Network APDU Building Automation and Control Network NPDU Checkpoint FW-1 Cisco Auto-RP Cisco Discovery Protocol Cisco Group Management Protocol Cisco HDLC Cisco Hot Standby Router Protocol Cisco ISL Cisco Interior Gateway Routing Protocol Cisco SLARP CoSine IPNOS L2 debug output Common Open Policy Service Common Unix Printing System (CUPS) Browsing Protocol DCE RPC DCE/RPC Conversation Manager DCE/RPC Endpoint Mapper DCE/RPC Remote Management DCOM OXID Resolver DCOM Remote Activation DEC Spanning Tree Protocol DHCPv6 Data Data Link SWitching Data Stream Interface Datagram Delivery Protocol Diameter Protocol Distance Vector Multicast Routing Protocol Distributed Checksum Clearinghouse Prototocl Domain Name Service Dynamic DNS Tools Protocol
www.LMdata.es
MANUAL DE ETHEREAL
Encapsulating Security Payload Enhanced Interior Gateway Routing Protocol Ethernet Extensible Authentication Protocol Datos FTP Fiber Distributed Data Interface File Transfer Protocol (FTP) Trama Frame Relay GARP Multicast Registration Protocol GARP VLAN Registration Protocol GPRS Tunneling Protocol GPRS Tunnelling Protocol v0 GPRS Tunnelling Protocol v1 General Inter-ORB Protocol Generic Routing Encapsulation Gnutella Protocol Hummingbird NFS Daemon Hypertext Transfer Protocol ICQ Protocol IEEE 802.11 wireless LAN Trama IEEE 802.11 wireless LAN management ILMI IP Payload Compression IPX Message IPX Routing Information Protocol ISDN Q.921-User Adaptation Layer ISDN User Part ISO 10589 ISIS InTRA Domain Routeing Information Exchange Protocol ISO 8073 COTP Connection-Oriented Transport Protocol ISO 8473 CLNP ConnectionLess Network Protocol ISO 8602 CLTP ConnectionLess Transport Protocol ISO 9542 ESIS Routeing Information Exchange Protocol ITU-T Recommendation H.261 Inter-Access-Point Protocol Internet Cache Protocol Internet Content Adaptation Protocol Internet Control Message Protocol Internet Control Message Protocol v6 Internet Group Management Protocol Internet Message Access Protocol Internet Printing Protocol Internet Protocol Internet Protocol Version 6 Internet Relay Chat Internet Security Association and Key Management Protocol Internetwork Packet eXchange
www.LMdata.es
MANUAL DE ETHEREAL
Java RMI Java Serialization Kerberos Kernel Lock Manager Label Distribution Protocol Layer 2 Tunneling Protocol Lightweight Directory Access Protocol Line Printer Daemon Protocol Link Access Procedure Balanced (LAPB) Link Access Procedure Balanced Ethernet (LAPBETHER) Link Access Procedure, Channel D (LAPD) Link Aggregation Control Protocol Link Management Protocol (LMP) Captura Linux cooked-mode Local Management Interface LocalTalk Link Access Protocol Logical-Link Control Lucent/Ascend debug output MMS Message Encapsulation MS Proxy Protocol MSNIP: Multicast Source Notification of Interest Protocol MTP 2 Transparent Proxy MTP 2 User Adaptation Layer MTP 3 User Adaptation Layer MTP2 Peer Adaptation Layer Malformed Packet Message Transfer Part Level 2 Message Transfer Part Level 3 Microsoft Distributed File System Microsoft Exchange MAPI Microsoft Local Security Architecture Microsoft Network Logon Microsoft Registry Microsoft Security Account Manager Microsoft Server Service Microsoft Spool Subsystem Microsoft Telephony API Service Microsoft Windows Browser Protocol Microsoft Windows Lanman Remote API Protocol Microsoft Windows Logon Protocol Microsoft Workstation Service Mobile IP Modbus/TCP Mount Service MultiProtocol Label Switching Header Multicast Router DISCovery protocol Multicast Source Discovery Protocol
www.LMdata.es
MANUAL DE ETHEREAL
NFSACL NFSAUTH NIS+ NIS+ Callback NSPI NTLM Secure Service Provider Name Binding Protocol Name Management Protocol over IPX NetBIOS NetBIOS Datagram Service NetBIOS Name Service NetBIOS Session Service NetBIOS over IPX NetWare Core Protocol Network Data Management Protocol Network File System Network Lock Manager Protocol Network News Transfer Protocol Network Status Monitor CallBack Protocol Network Status Monitor Protocol Network Time Protocol Null/Loopback Open Shortest Path First Fichero log de OpenBSD Packet Filter PC NFS PPP Bandwidth Allocation Control Protocol PPP Bandwidth Allocation Protocol PPP Callback Control Protocol PPP Challenge Handshake Authentication Protocol PPP Compressed Datagram PPP Compression Control Protocol PPP IP Control Protocol PPP Link Control Protocol PPP Multilink Protocol PPP Multiplexing PPP Password Authentication Protocol PPP VJ Compression PPP-over-Ethernet Discovery PPP-over-Ethernet Session PPPMux Control Protocol Point-to-Point Protocol Point-to-Point Tunnelling Protocol Portmap Post Office Protocol Pragmatic General Multicast Prism Protocol Independent Multicast
www.LMdata.es
MANUAL DE ETHEREAL
Q.2931 Q.931 Quake II Network Protocol Quake III Arena Network Protocol Quake Network Protocol QuakeWorld Network Protocol Qualified Logical Link Control RFC 2250 MPEG1 RIPng RPC Browser RSTAT RX Protocol Radio Access Network Application Part Radius Protocol Raw packet data Real Time Streaming Protocol Real-Time Transport Protocol Real-time Transport Control Protocol Remote Procedure Call Remote Quota Remote Shell Remote Wall protocol Resource ReserVation Protocol (RSVP) Rlogin Protocol Routing Information Protocol Routing Table Maintenance Protocol SADMIND SCSI SMB (Server Message Block Protocol) SMB MailSlot Protocol SMB Pipe Protocol SNA-over-Ethernet SNMP Multiplex Protocol SPRAY SS7 SCCP-User Adaptation Layer SSCOP Secure Socket Layer Sequenced Packet eXchange Service Advertisement Protocol Service Location Protocol Session Announcement Protocol Session Description Protocol Session Initiation Protocol Short Frame Short Message Peer to Peer Signalling Connection Control Part Simple Mail Transfer Protocol
10
www.LMdata.es
MANUAL DE ETHEREAL
Simple Network Management Protocol Sinec H1 Protocol Skinny Client Control Protocol SliMP3 Communication Protocol Socks Protocol Spanning Tree Protocol Stream Control Transmission Protocol Syslog message Systems Network Architecture TACACS TACACS+ TPKT Telnet Time Protocol Time Synchronization Protocol Token-Ring Token-Ring Media Access Control Transmission Control Protocol Transparent Network Substrate Protocol Trivial File Transfer Protocol Universal Computer Protocol Unreassembled Fragmented Packet User Datagram Protocol Virtual Router Redundancy Protocol Virtual Trunking Protocol Web Cache Coordination Protocol Wellfleet Compression Who Wireless Session Protocol Wireless Transaction Protocol Wireless Transport Layer Security X Display Manager Control Protocol X.25 X.25 over TCP X11 Xyplex Yahoo Messenger Protocol Yellow Pages Bind Yellow Pages Passwd Yellow Pages Service Yellow Pages Transfer Zebra Protocol Zone Information Protocol iSCSI
www.LMdata.es
11
MANUAL DE ETHEREAL
1.2 El Estado de Ethereal

Ethereal es un proyecto de software open source, liberado bajo la Licencia Pblica GNU (GPL). Todo el cdigo fuente est gratuitamente disponible bajo la GPL. Se puede modificar Ethereal para adecuarlo a las propias necesidades. El cdigo fuente de Ethereal y los kits binarios para algunas plataformas estn disponibles en el web de Ethereal: http://www.ethereal.com.
1.3 Desarrollo y Mantenimiento de Ethereal

Ethereal fue inicialmente desarrollado por Gerald Combs. El desarrollo y mantenimiento actual de Ethereal lo lleva el equipo Ethereal, un grupo que arregla bugs y proporciona nuevas funcionalidades. Hay tambin un gran nmero de gente que ha contribuido con disectores de protocolo para Ethereal, y se espera que esto continuar. Se puede encontrar una lista de la gente que ha contribuido al cdigo de Ethereal en el enlace Authors en el web.
1.4 Plataformas sobre las que corre Ethereal

Ethereal actualmente funciona en la mayora de las plataformas UNIX y las distintas plataformas Windows. Necesita GTK+, GLIB y libpcap para funcionar. Hay paquetes binarios disponibles al menos para las siguientes plataformas: AIX Tru64 UNIX (formerly Digital UNIX) Debian GNU/Linux Slackware Linux Red Hat Linux FreeBSD NetBSD OpenBSD HP/UX Sparc/Solaris 8 Windows 2000, Windows NT y Windows Me/98/95
Si no hay un paquete binario para una plataforma, se puede descargar el cdigo fuente e intentar compilarlo.
1.5 Dnde conseguir Ethereal

Se puede conseguir la ltima version de Ethereal en el web de Ethereal: http://www.ethereal.com/. El web te permite escoger entre varios espejos para la descarga.
12
www.LMdata.es
MANUAL DE ETHEREAL
1.6 Informando de problemas y Consiguiendo ayuda

Si tiene problemas, o necesita ayuda con Ethereal, hay varias listas de mailing que pueden ser de su inters: Ethereal Users Esta lista es para usuarios de Ethereal. La gente deja preguntas sobre la compilacin y uso de Ethereal. Otros proporcionan respuestas. Ethereal Announce Esta lista es para los que desean recibir anuncios sobre Ethereal. Ethereal Dev Esta lista es para desarrolladores de Ethereal. Si desea empezar a desarrollar un disector de protocolo, nase a esta lista. Puede suscribirse a cada una de estas listas desde el web de Ethereal: http://www.ethereal.com/. Simplemente seleccione el enlace a las listas de mailing en la parte izquierda del sitio web. Las listas se archivan tambin en el web de Ethereal. Cuando se informa de fallos con Ethereal, es de utilidad proporcionar la siguiente informacin: 1. El nmero de versin de Ethereal con que se produjo el problema, p. ej. Ethereal 0.9.10. 2. El nmero de versin de cualquier otro software relacionado con Ethereal, p. ej. GTK+, etc. Se puede obtener esta informacin con el comando ethereal -v. 3. Un traceback si Ethereal fall. Se puede obtener con los siguientes comandos: $ gdb `whereis ethereal | cut -f2 -d: | cut -f -d2` core >& backtrace.txt backtrace ^D $
Nota: Teclee los caracteres de la primera lnea tal como aparecen! Hay apstrofes directos e inversos! Nota: backtrace es un comando gdb. Se deben introducer tal como aparecen despus de la primera lnea mostrada arriba. El ^D (Control-D, esto es, presione la tecla Control y la tecla D juntas) har que finalice gdb. Esto dejar un fichero llamado backtrace.txt en el directorio actual. Incluya el fichero con su informe de error. Nota: Si gdb no est disponible, habr que comprobar el depurador del sistema operativo. Los usuarios de Windows podran verse incapaces de conseguir un traceback.
Se debera enviar el traceback a la lista de mailing ethereal-dev.
2 Compilando e Instalando Ethereal

2.1 Introduccin
Como con todas las cosas, debe haber un comienza, y as es con Ethereal. Para usar Ethereal, se debet: Obtener un paquete binario para su sistema operativo, o Obtener el cdigo fuente y compilar Ethereal para su sistema operativo.
Actualmente, solo dos o tres Distribuciones de Linux incluyen Ethereal, y normalmente incluyen una versin desactualizada. Ninguna otra versin de UNIX incluye Ethereal hasta ahora, y
www.LMdata.es
13
MANUAL DE ETHEREAL
Microsoft no lo incluye en ninguna versin de Windows. Por esta razn, es necesario saber dnde conseguir la ltima versin de Ethereal y cmo instalarlo. La versin actual de Ethereal es la 0.10.9. Este captulo muestra cmo obtener los paquetes fuente y binario, y cmo compilar Ethereal desde el cdigo fuente, aconsejable sobre todo en entornos UNIX. En general, se deberan seguir los pasos siguientes: 1. 2. 3. Descargue el paquete relevante para sus necesidades, por ejemplo, la distribucin fuente o binaria. Compilar el cdigo fuente a un binario, si se ha descargado el fuente. Esto puede implicar compilar y/o instalar cualquier otro paquete necesario. Instalar los binarios en sus destinos finales.
2.2 Obteniendo las distribuciones fuente y binaria

Se pueden obtener tanto la distribucin fuente como la binaria desde el web de Ethereal: http://www.ethereal.com/. Simplemente pulse el enlace download, y a continuacin seleccione el paquete fuente o binario de su eleccin desde el web espejo ms cercano. Descargue todos los archivos necesarios: En general, a menos que se haya descargado Ethereal anteriormente, probablemente sea necesario descargar varios paquetes fuente si se est compilando Ethereal desde el fuente. Esto se cubre con ms detalle ms abajo. Una vez que se hayan descargado los archivos relevantes, se puede ir al siguiente paso.
Nota: A pesar de que hay varios paquetes binarios disponibles en el web de Ethereal, podra no encontrar uno para su plataforma, y a menudo tienden a ser de versiones anteriores a la actualmente distribuida, ya que son proporcionados por gente que tiene las plataformas para las que estn compilados. Por esta razn, es possible que prefiera descargar la distribucin y compilarla, ya que el proceso es relativamente simple.
2.3 Antes de compilar Ethereal

Antes de compilar Ethereal de los fuentes, o instalar un paquete binario, se debe asegurar de que tiene los siguientes paquetes instalados: GTK+, El Kit de Heramientas GIMP. Tambin se puede necesitar Glib. Ambos se pueden obtener de www.gtk.org libpcap, el software de captura de paquetes que usa Ethereal. Se puede obtener libpcap de www.tcpdump.org
Dependiendo de su sistema, puede ser posible instalarlos desde binarios, p. ej. RPMs, o puede ser necesario obtenerlos en forma de cdigo fuente y compilarlos. Si se ha descargado el fuente para GTK+, las instrucciones mostradas en el Ejemplo 2-1 pueden proporcionarle alguna ayuda para compilarlo:
Ejemplo 2-1. Compilando GTK+ desde el fuente
gzip -dc gtk+-1.2.8.tar.gz | tar xvf <mucha salida borrada> cd gtk+-1.2.8 ./configure 14
L&M Data Communications www.LMdata.es
MANUAL DE ETHEREAL
<mucha salida borrada> make <mucha salida borrada> make install <mucha salida borrada>
Nota!: Puede ser necesario cambiar el nmero de versin de gtk+ en el Ejemplo 2-1 para que coincida con la versin de GTK+ que se ha descargado. El directorio al que se vaya cambiar si la versin de GTK+ cambia, y en todos los casos, tar xvf mostrar el nombre del directorio al que se debera ir. Nota!: Si usa Linux, o tiene GNU tar instalado, puede usar tar zxvf gtk+-1.2.8.tar.gz. Tambin es posible usar gunzip -c o gzcat mejor que gzip -dc en muchos sistemas UNIX. Nota!: Si se descarg gtk+ o cualquier otro archivo tar usando Windows, se puede encontrar un archivo llamado gtk+-1_2_8_tar.gz.
Se debera consultar el web de GTK+ si ocurren errores siguiendo las instrucciones del Ejemplo 2-1. Si se ha descargado el fuente para libpcap, las instrucciones generales mostradas en el Ejemplo 2-2 le ayudarn a compilarlo. Adems, si su sistema operativo no soporta tcpdump, tambin puede descargarlo del web de tcpdump e instalarlo.
Ejemplo 2-2. Compilando e instalando libpcap
gzip -dc libpcap-0.5.tar.Z | tar xvf <mucha salida borrada> cd libpcap_0_5rel2 ./configure <mucha salida borrada> make <mucha salida borrada> make install <mucha salida borrada> make install-incl <mucha salida borrada>
Nota!: El directorio al que se vaya a cambiar depender de la versin de libpcap que se haya descargado. En todos los casos, tar xvf mostrar el nombre del directorio donde ha sido desempaquetado.
Cuando se instalan los archivos include, se podra obtener el error del Ejemplo 2-3 cuande se ejecuta el comando make install-incl.
Ejemplo 2-3. Errores mientras se instalan los archivos include de libpcap
/usr/local/include/pcap.h /usr/bin/install -c -m 444 -o bin -g bin ./pcap-namedb.h \ /usr/local/include/pcap-namedb.h /usr/bin/install -c -m 444 -o bin -g bin ./net/bpf.h \ /usr/local/include/net/bpf.h
www.LMdata.es
15
MANUAL DE ETHEREAL
/usr/bin/install: cannot create regular file \ /usr/local/include/net/bpf.h: No such file or directory make: *** [install-incl] Error 1 Si es as, simplemente cree el directoro que falta con el siguiente comando: mkdir /usr/local/include/net y reejecute el comando make install-incl. Bajo RedHat 6.x o anterior (y distribuciones basadas en l, como Mandrake) se puede simplemente instalar cada uno de los paquetes necesarios de RPMs. La mayora de los sistemas Linux instalarn GTK+ y Glib en cualquier caso, sin embargo, probablemente se necesite instalar las versiones devel de cada uno de estos paquetes. Los comandos del Ejemplo 2-4 instalarn todos los RPMs necesarios si an no lo estn.
Ejemplo 2-4. Instalando los RPMs necesarios bajo RedHat Linux 6.2 o anterior
cd /mnt/cdrom/RedHat/RPMS rpm -ivh glib-1.2.6-3.i386.rpm rpm -ivh glib-devel-1.2.6-3.i386.rpm rpm -ivh gtk+-1.2.6-7.i386.rpm rpm -ivh gtk+-devel-1.2.6-7.i386.rpm rpm -ivh libpcap-0.4-19.i386.rpm
Nota: Si se est usando una version de RedHat posterior a la 6.2, los RPMs requeridos probablemente hayan cambiado. Simplemente use los RPMs correctos de su distribucin.
Bajo Debian se puede instalar Ethereal usando apt-get. apt-get manejar cualquier problema de dependencias por usted. El Ejemplo 2-5 muestra cmo hacer esto.
Ejemplo 2-5. Installing debs under Debian
apt-get install ethereal
2.4 Compilando desde el Fuente bajo UNIX

Use los siguientes pasos generales si est compilando Ethereal desde el fuente bajo un sistema operativo UNIX: 1. Desempaquete el fuente de su archivo tar gzip. Si est usando Linux, o su versin de UNIX usa GNU tar, puede usar el siguiente comando: tar zxvf ethereal-0.10.9-tar.gz Para otras versiones de UNIX, use los siguientes comandos: gzip -d ethereal-0.10.9-tar.gz tar xvf ethereal-0.10.9-tar
Nota!: El pipeline gzip -dc ethereal-0.10.9-tar.gz | tar xvf funcionar aqu tambin.
2. 3.
Cambie al directorio fuente de ethereal. Configure su fuente para que se compile correctamente para su versin de UNIX. Se puede hacer esto con el siguiente comando: ./configure
16
www.LMdata.es
MANUAL DE ETHEREAL
Si falla este paso, tendr que rectificar los problemas y reejecutar configure. 4. 5. Compile los Fuentes a un binario, con el comando make. Por ejemplo: make Instale el software en su destino final, usando el comando: make install Una vez que haya instalado Ethereal con make install, debera ser capaz de ejecutarlo introduciendo ethereal.
2.5 Instalando los binarios bajo UNIX

En general, instalar el binario bajo su versin de UNIX ser especfico a los mtodos de instalacin usados con su versin de UNIX. Por ejemplo, bajo AIX, debera usar smit para instalar el paquete binario de Ethereal, mientras que bajo Tru64 UNIX (anteriormente Digital UNIX) debera usar setld.
2.6 Instalando desde RPMs bajo Linux

Use el siguiente comando para instalar el RPM de Ethereal que ha descargado del web de Ethereal: rpm -ivh ethereal-0.10.9-1.i386.rpm Si el paso de arriba falla debido a que faltan dependencias, instale las dependencias primero, y entonces reintente el paso anterior. Vea el Ejemplo 2-4 para informacin sobre los RPMs que se necesitarn tener instalados.
2.7 Instalando desde debs bajo Debian

Use el siguiente comando para instalar Ethereal bajo Debian: apt-get install ethereal apt-get debera encargarse de todos los problemas de dependencias por usted.
2.8 Instalando Ethereal bajo Windows

En esta seccin se explora la instalacin de Ethereal bajo Windows desde los paquetes binarios. Se deben seguir dos pasos: 1. Instale WinPcap. Hay instrucciones en el web de WinPcap para instalarlo bajo Windows 9X, Windows NT y Windows 2000. Estas se encuentran en: http://netgroup-serv.polito.it/winpcap/install/Default.htm 2. Instale Ethereal. Se puede adquirir un binario instalable de Ethereal en la URL http://www.ethereal.com/download.html#binaries. Descargue el instalador (despus de instalar WinPcap) y ejectelo.
www.LMdata.es
17
MANUAL DE ETHEREAL
3 Usando Ethereal
3.1 Introduccin
Hasta ahora has instalado Ethereal y es el momento de irse iniciando capturando los primeros paquetes. En este captulo se ver: Cmo iniciar Ethereal Cmo capturar paquetes en Ethereal Cmo ver los paquetes en Ethereal Cmo filtrar paquetes en Ethereal
En realidad, la mayor parte de laas funcionalidades de Ethereal se ven en este captulo.
3.2 Iniciar Ethereal

Se puede iniciar Ethereal desde la lnea de comandos en UNIX, as como desde la mayora de gestores de ventanas. En esta seccin veremos como se inicia desde la lnea de comandos. Antes de ver los parmetros de lnea de comandos que admite Ethereal, veamos el aspecto de la propia aplicacin. La figura 3-1 muestra cmo es Ethereal en su vista habitual.
Figura 3-1. Ethereal se compone de tres ventanas principales
Ethereal se compone de tres ventanas principales, o paneles. 1. El panel superior es el panel de la lista de paquetes. Muestra un resumen de cada paquete capturado. Pulsando en los paquetes de este panel se controla lo que se muestra en los otros dos paneles.
18
www.LMdata.es
MANUAL DE ETHEREAL
2. 3.
El panel intermedio es el panel de vista en rbol. Muestra el paquete seleccionado en el panel superior en ms detalle. El panel inferior es el panel de vista de datos. Muestra los datos del paquete seleccionado en el panel superior, y resalta el campo seleccionado en el panel de vista en rbol.
Adems de los tres paneles principales, hay seis elementos de inters en la barra de filtros, situada en la parte inferior de la ventana principal de Ethereal. A. El botn inferior situado ms a la izquierda, etiquetado "Filter:", se puede pulsar para que aparezca la ventana de construccin de filtros. B. El cuadro de texto de la parte izquierda proporciona un rea para introducir o editar expresiones de filtro. Es tambin donde se muestra el filtro que est actualmente en efecto. Se puede pulsar en la flecha desplegable para seleccionar expresiones de filtro anteriores de una lista. Hay ms informacin disponible sobre mostrar expresiones de filtrado en la seccin Filtrando paquetes mientras se visualizan. C. El botn del medio etiquetado "Add Expresin...", lanza el esistente para crear expresiones de filtro. D. El botn del medio a la derecha, etiquetado "Clear", borra el filtro actual. E. El botn del medio a la derecha, etiquetado "Apply", aplica el filtro tecleado en el cuadro de texto anterior. F. El cuadro de texto de la derecha muestra mensajes informativos. Estos mensajes pueden indicar si se est capturando o no, qu fichero se ha ledo en el panel de lista de paquetes si no se est capturando. Si se ha seleccionado un campo de protocolo del panel de vista de rbol y es posible filtrar por ese campo entonces la etiqueta de filtro para ese campo de protocolo se mostrar. Ethereal soporta un gran nmero de parmetros de lnea de comandos. Para ver cules son, simplemente hay que ejecutar el comando ethereal -h y se mostrar la informacin de ayuda que se muestra en el Ejemplo 3-1.
Ejemplo 3-1. Informacin de ayuda disponible en Ethereal
Este es GNU ethereal 0.10.9, compilado con GTK+ 1.2.10, con GLib 1.2.10, con libpcap 0.6, con libz 1.1.3, con UCD SNMP 4.2.1 ethereal [-vh] [-klpQS] [-b <fuente negrita>] [-B <altura de vista de byte>] [-c <cuenta>] [-f <filtro de captura>] [-i <interface>] [-m <fuente media>] [-n] [-N <resolver>] [-o <ajuste de preferencia>] ... [-P <altura de la lista de paquetes>] [-r <infile>] [-R <filtro de lectura>] [-s <snaplen>] [-t <formato de marca de tiempo>] [-T <altura de vista de rbol>] [-w <savefile>] Examinaremos cada una de estas opciones de lnea de comandos por orden alfabtico: -B <altura de vista de byte> Esta opcin establece la altura inicial del panel de vista de byte. Este panel es el panel inferior de la pantalla de Ethereal. -b <fuente negrita> Esta opcin establece el nombre de la fuente negrita que Ethereal utiliza para los datos en el panel de vista de byte cuando est realzado (es decir, seleccionado en el panel de protocolo)
www.LMdata.es
19
MANUAL DE ETHEREAL
-c <cuenta> Esta opcin especifica el nmero de paquetes a capturar cuando se capturan datos en vivo. Se debera usar junto a la opcin -k. -D Esta opcin cambia el modo con el que Ethereal trata con el campo TOS original del IPv4, de modo que en vez de considerarlo como el Campo Differentiated Services, lo trata como un campo Type of Service. -f <filtro de captura> Esta opcin establece la expresin inicial de filtro de captura que se usar cuando se capturen paquetes. -h La opcin -h solicita a Ethereal que imprima su versin e instrucciones de uso y salga. -i <interface> La opcin -i permite especificar, desde la lnea de comandos, por qu interface se deberan capturar los paquetes. Un ejemplo sera: ethereal -i eth0. Para obtener un listado de todos los interfaces en los que se puede capturar, use el comando ifconfig -a o netstat -i. Desafortunadamente, algunas versiones de UNIX no soportan ifconfig -a, por lo que habr que usar netstat -i en estos casos. -k La opcin -k especifica que Ethereal debera empezar a capturar paquetes inmediatamente. Esta opcin requiere el uso del parmetro -i para especificar el interface desde el que se capturarn los paquetes -l Esta opcin activa el scrolling automtico del panel de lista paquetes si ste se actualiza automticamente segn van llegando los paquetes durante una captura (como especifica la opcin -S). -m <fuente media> Esta opcin establece el nombre de la fuente media que se utiliza para la mayor parte del texto mostrado por Ethereal. -n Esta opcin le indica a Ethereal que no realice la traduccin de direccin a nombre ni traduzca los puertos TCP y UDP a nombres. -N <resolver> Activa la resolucin de nombres para tipos particulares de direcciones y nmeros de puerta; el argumento es una cadena que puede contener las letras m para habilitar la resolucin de direcciones MAC, n para habilitar la resolucin de direcciones de red, y t para habilitar la resolucin de nmeros de puerta de nivel de transporte. Esta opcin invalida a la -n si ambas estn presentes.
20
www.LMdata.es
MANUAL DE ETHEREAL
-o <ajustes de preferencia> Establece un valor de preferencia, invalidando el valor por defecto y cualquier otro valor ledo de un fichero de preferencia. El argumento es una cadena con la forma prefname:value, donde prefname es el nombre de la preferencia (que es el mismo nombre que aparecera en el fichero de preferencia), y value es el valor que se le debera establecer. Se pueden dar mltiples instancias de -o <ajustes de preferencia > en una nica lnea de comandos. Un ejemplo de ajuste de una nica preferencia sera: ethereal -o mgcp.display_dissect_tree:TRUE Un ejemplo de ajuste de mltiples preferencias sera: ethereal -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627 -p No poner el interface en modo promiscuo. Tenga en cuenta que el interface podra estar en modo promiscuo por alguna otra razn; por lo tanto, -p no se puede utilizar para asegurar que el nico trfico que se capture sea trfico enviado a desde la mquina en la que se est ejecutando Ethereal is running, trfico broadcast, y trfico multicast a direcciones recibidas por esa mquina. -P <altura de la lista de paquetes> Esta opcin establece la altura inicial del panel de la lista de paquetes, es decir, el panel superior. -Q Esta opcin fuerza a Ethereal a salir cuando la captura est completa. Se puede usar con la opcin -c. Se debe usar junto con las opciones -i y -w. -r <infile> Esta opcin proporciona el nombre de un fichero de captura para que Ethereal lea y muestre. Este fichero de captura puede ser de uno de los formatos que Ethereal entiende, incluyendo: libpcap Net Mon Snoop NetXray
Para una lista completa, vea las pginas man de Ethereal (man ethereal). -R <filtro de lectura> Esta opcin especifica un filtro de captura para ser aplicado cuando se leen paquetes de un fichero de captura. La sintaxis de este filtro es la de los filtros de visualizacin discutidos en la seccin llamada Filtrando paquetes durante la visuelizacin. Los paquetes que no se cumplan el filtro se descartan. -s <snaplen> Esta opcin especifica la longitud de muestra usada cuando se capturan paquetes. Ethereal slo capturar <snaplen> bytes de datos de cada paquete.
www.LMdata.es
21
MANUAL DE ETHEREAL
-S Esta opcin indica que Ethereal mostrar los paquetes segn los capture. Esto se hace capturando en un proceso y mostrndolos en un proceso aparte. -t <formato de marca de tiempo> Esta opcin establece el formato de marcas de tiempo de paquetes que se muestra en la ventana de lista de paquetes. El formato puede ser uno de: r, que especifica que las marcas de tiempo se muestran relativas al primer paquete capturado. a, que especifica que se muestra la fecha y hora real para todos los paquetes. d, que especifica que las marcas de tiempo son relativas al paquete anterior.
-T <altura de vista de rbol> Esta opcin establece la altura inicial del panel de vista de rbol. -v La - opcin v solicita a Ethereal que imprima su informacin de versin y salga. -w <savefile> Esta opcin establece el nombre del fichero a utilizar cuando se guarde un fichero de captura.
3.3 Los menus de Ethereal

El men de Ethereal descansa a lo largo de la parte superior de la ventana de Ethereal, como se muestra en el ejemplo de la Figura 3-2.
Figura 3-2. El Men de Ethereal
Contiene los siguientes elementos: File Este men contiene elementos de men para abrir y releer ficheros de captura, guardar ficheros de captura, exportar bytes, imprimir ficheros de captura, y salir de Ethereal. Edit Este men contiene elementos de men para encontrar una trama, marcar una o ms tramas, establecer referencias de tiempo y establecer las preferencias (cortar, copiar y pegar no estn actualmente implementados). View Este men contiene elementos de men para modificar opciones de visualizacin, ampliar/reducir la fuente de los paneles, colorear tramas, expandir todas las tramas, colapsar todas las tramas, mostrar un paquete en una ventana aparte, y recargar el fichero de captura actual. Go Este men contiene elementos de men para desplazarse entre las tramas.
22
www.LMdata.es
MANUAL DE ETHEREAL
Capture This menu permite iniciar y detener capturas, y crear filtros de captura. Analyze Este men contiene elementos de men para seleccionar y filtrar paquetes coincidentes, seguir una sesin TCP, crear filtros de visualizacin, habilitar o deshabilitar la diseccin de protocolos, y configurar decodificadores especificados por el usuario. Statistics Este men contiene elementos de men para obtener un resumen de los paquetes que han sido capturados, mostrar estadsticas de jerarqua de protocolos, grficos de entrada/salida, listas de conversaciones y hosts, tiempos de respuestas y distintos anlisis de protocolos particulares. Help Este men permite mostrar los plugins cargados, contiene el elemento de men About Ethereal... y acceso a alguna Ayuda bsica. Cada uno de ellos se describen con ms detalle en las secciones que siguen.
3.4 El men File de Ethereal

El men File (Archivo) de Ethereal contiene los campos que se muestran en la Tabla 3-1.
Figura 3-3. Men File de Ethereal
www.LMdata.es
23
MANUAL DE ETHEREAL Tabla 3-1. Men File
Elemento Open...
Acelerador Descripcin Ctrl-O Este elemento abre el cuadro de dilogo abrir archivo que permite cargar un fichero de captura para su visualizacin. Se discute en ms detalle en la seccin llamada El cuadro de dilogo Abrir Archivo. Permite volver a abrir los ltimos archivos abiertos Este elemento permite anexar un archivo de captura al actual Ctrl-W Ctrl-S Este elemento cierra la captura actual. Si no se ha guardado la captura, se pierde. Este elemento guarda la captura actual. Si no se ha establecido un nombre de fichero de captura por defecto (quizs con la opcin -w <capfile>), Ethereal lanza el cuadro de dilogo Guardar Fichero de captura Como (que se describe ms adelante en la seccin El cuadro de dilogo Guardar Fichero de captura Como).
Nota!: Si ya ha guardado la captura actual, este men estar deshabilitado. Nota!: No se puede guardar una captura mientras est en progreso. Hay que detener la captura para poder guardarla.
Open Recent Merge Close Save
Save As...
MaysCtrl-S
Este elemento permite guardar el fichero de captura actual a cualquier fichero que se desee. Lanza el cuadro de dilogo Guardar Fichero de captura Como (que se describe ms adelante en la seccin El cuadro de dilogo Guardar Fichero de captura Como) Este elemento permite exportar los bytes seleccionados de un paquete a un archivo binario de su eleccin Este elemento permite imprimir todos o una seleccin de los paquetes del fichero de captura. Lanza el cuadro de dilogo Imprimir de Ethereal (que se describe ms adelante en la seccin Imprimiendo paquetes).
Export Print...
Quit
Ctrl-Q
Este elemento permite salir de Ethereal. Si no se ha guardado el fichero de captura actual, pregunta si se desea hacerlo antes de salir.
24
www.LMdata.es
MANUAL DE ETHEREAL
3.5 El men Edit de Ethereal

El men Edit (Editar) de Ethereal contiene los campos que se muestran en la Tabla 3-2.
Figura 3-4. Men Edit de Ethereal
Tabla 3-2. Men Edit
Elemento Find Packet...
Acelerador Ctrl-F
Descripcin Este elemento muestra un cuadro de dilogo que permite encontrar una trama introduciendo un filtro de visualizacin de Ethereal. Hay ms informacin sobre encontrar tramas en la seccin Encontrando paquetes. Contina la ltima bsqueda hacia delante Contina la ltima bsqueda hacia atrs Esta opcin permite fijar referencias de tiempo en la captura actual (opcin Set Time Referente (toggle)). En estas referencias se pone a 0 el contador de tiempos del formato Segundos desde el comienzo de la captura (ver la seccin El men View). Tambin permite desplazarse entre referencias de tiempo (con las opciones Find Next y Find Previous)
Find Next Find Previous Time Reference
Ctrl-N Ctrl-B
Mark Packet
Ctrl-M
Este elemento "marca" la trama actualmente seleccionada. Vea la seccin El cuadro de dilogo Guardar Fichero de captura Como
25
MANUAL DE ETHEREAL
Elemento Mark All Packets Unmark All Packets Preferences...
Acelerador
Descripcin para ms informacin sobre guardar tramas marcadas. Este elemento "marca" todas las tramas. Vea la seccin El cuadro de dilogo Guardar Fichero de captura Como para ms informacin sobre guardar tramas marcadas. Este elemento "desmarca" todas las tramas marcadas.
Mays-CtrlP
Este elemento muestra un cuadro de dilogo que permite establecer las preferencias para muchos parmetros que controlan Ethereal. Tambin se pueden guardar las preferencias de modo que Ethereal las use la prxima vez que se inicie. Ms detalles en la seccin Preferencias de Ethereal
3.6 El men View de Ethereal

El men View (Ver) de Ethereal contiene los campos que se muestran en la Tabla 3-3.
Figura 3-5. Men View de Ethereal
Tabla 3-5. Men View
Elemento Main Toolbar Filter Toolbar Statusbar Packet List
Acelerador
Descripcin Permite mostrar u ocultar la barra de herramientas principal. Permite mostrar u ocultar la barra de herramientas de filtros. Este elemento permite mostrar u ocultar la barra de estado. Este elemento permite mostrar u ocultar el panel de lista de paquetes.
26
www.LMdata.es
MANUAL DE ETHEREAL
Elemento Packet Details Packet Bytes Time Display Format
Acelerador
Descripcin Permite mostrar u ocultar el panel de detalles de paquete. Este elemento permite mostrar u ocultar el panel de bytes de paquete. Este elemento controla el modo en que Ethereal muestra las marcas de tiempo. Ofrece la siguientes opciones: Time of day Seleccionando este botn de radio se indica a Ethereal que muestre las marcas de tiempo en formato Hora del da. Este campo, "Date and time of day", "Seconds since beginning of capture" y "Seconds since previous frame" son mutuamente exclusivos. Date and time of day Seleccionando este botn de radio se indica a Ethereal que muestre las marcas de tiempo tiempo en formato Fecha y hora. "Time of day", este campo, "Seconds since beginning of capture" y "Seconds since previous frame" son mutuamente exclusivos. Seconds since beginning of capture Seleccionando este botn de radio se indica a Ethereal que muestre las marcas de tiempo en formato Segundos desde el comienzo de la captura. "Time of day", "Date and time of day", este campo y "Seconds since previous frame" son mutuamente exclusivos. Seconds since previous packet Este botn de radio indica a Ethereal que muestre marcas de tiempo tiempo en formato Segundos desde la trama anterior. "Time of day", "Date and time of day", "Seconds since beginning of capture" y este campo son mutuamente exclusivos.
Name Resolution
Este elemento controla el modo en que Ethereal muestra alguna informacin sobre los paquetes. En concreto, si las direcciones y otros nmeros son traducidos. Ofrece la siguientes opciones: Resolve Name Este campo activa la resolucin de nombres mientras se visualizan paquetes. Enable for MAC Layer Este campo, cuando se selecciona, le indica a Ethereal que traduzca los primeros tres octetos de las direcciones MAC (el identificador de fabricante) a nombres (cuando pueda). Enable for Network Layer Este campo, cuando se selecciona, le indica a Ethereal que traduzca direcciones IP a nombres de dominio (cuando pueda).
www.LMdata.es
27
MANUAL DE ETHEREAL
Elemento
Acelerador
Descripcin
Nota: Si se selecciona esta opcin y el servidor DNS no est disponible ethereal ser muy lento ya que espera a que venza el temporizador para respuestas del servidor DNS.
Enable for Transport Layer Cuando se selecciona, le indica a Ethereal que traduzca las direcciones del nivel de transporte (nmeros de puerta TCP/UDP) a nombres de servicios well-known (donde pueda). Auto Scroll in Live Capture Zoom In Zoom Out Normal Size Ctrl-+ Ctrl-Ctrl-= Este elemento, cuando se selecciona, le indica a Ethereal que haga scrolling del panel de lista de paquetes cuando se capturen nuevos paquetes. Agranda la fuente en la que se visualizan los datos de los distintos paneles. Disminuye la fuente en la que se visualizan los datos de los distintos paneles. Reestablece la fuente en la que se visualizan los datos de los distintos paneles a su tamao original establecido en las Preferencias de Ethereal. Ms detalles en la seccin Preferencias de Ethereal. Ethereal mantiene un lista de todos los subrboles de protocolo que se expanden, y la utiliza para asegurar que los subrboles correctos se expanden cuando se muestra un paquete. Este elemento contrae la vista de rbol de todos los paquetes en la lista de captura. Este elemento expande todos los subrboles de todos los paquetes de la captura. Este elemento expande el rbol actualmente seleccionado. Este elemento muestra un cuadro de dilogo que permite colorear paquetes en el panel de lista de paquetes en funcin de las expresiones de filtro que se escojan. Puede ser muy til para distinguir ciertos tipos de paquetes. Este elemento muestra el paquete seleccionado en una ventana aparte. Esta ventana slo muestra los paneles de vista de rbo y de vista de byte. Ctrl-R Este elemento permite recargar el fichero de captura actual. Este elemento ya no es necesario, y puede ser eliminado en futuras versiones de Ethereal
Collapse All
Expand All Expand Tree Coloring Rules
Show Packet in New Window Reload
28
www.LMdata.es
MANUAL DE ETHEREAL
3.7 El men Go de Ethereal

El men Go (Ir) de Ethereal contiene los campos que se muestran en la Tabla 3-2.
Figura 3-4. Men Go de Ethereal
Tabla 3-2. Men Go
Elemento Back Forward Go to First Packet Go to Last Packet Go to Packet
Acelerador Alt-Left Alt-Right
Descripcin Va a la trama anterior Va a la siguiente trama Va al primer paquete de la lista Va al ltimo paquete de la lista
Ctrl-G
Este elemento muestra un cuadro de dilogo que permite especificar una trama a la que ir por nmero de trama.
www.LMdata.es
29
MANUAL DE ETHEREAL
3.8 El men Capture de Ethereal

El men Capture (Capturar) de Ethereal contiene los campos que se muestran en la Tabla 3-4.
Figura 3-6. Men Capture de Ethereal
Tabla 3-4. Men Capture
Elemento Start...
Acelerador Descripcin Ctrl-K Este elemento muestra el cuadro de dilogo Preferencias de Captura (descrito ms adelante en la seccin Capturando paquetes con Ethereal) y permite empezar a capturar paquetes. Este elemento detiene la captura actualmente en curso. Muestra los interfaces de captura disponibles y su trfico actual. Este elemento muestra un cuadro de dilogo que permite crear y editar filtros de captura. Se puede dar nombre a los filtros, y se pueden guardar para uso futuro. Hay ms detalles sobre este tema en la seccin Definiendo y guardando filtros
Stop Interfaces Capture Filters...
Ctrl-E
30
www.LMdata.es
MANUAL DE ETHEREAL
3.9 El men Analyze de Ethereal

El men Analyze (Analizar) de Ethereal contiene los campos que se muestran en la Tabla 3-5.
Figura 3-7. Men Analyze de Ethereal
Tabla 3-5. Men Analyze
Elemento Display Filters...
Acelerador Descripcin Este elemento muestra un cuadro de dilogo que permite crear y editar filtros de visualizacin. Se puede dar nombre a los filtros, y se pueden guardar para uso futuro. Hay ms detalles sobre este tema en la seccin Definiendo y guardando filtros Este elemento permite seleccionar todos los paquetes que tienen un valor coincidente en el campo seleccionado en el panel de vista de rbol (panel central), componer la expresin de filtro para ellos y hacerla, aadirla o excluirla de la expresin de filtro actual. Esta opcin aplica el filtro resultante inmediatamente Este elemento es igual al anterior, slo que no aplica MaysCtrl-R Este elemento muestra un cuadro de dilogo que permite habilitar o deshabilitar la diseccin de protocolos individuales. Permite forzar a Ethereal a decodificar o no los protocolos indicados en el nivel de enlace (ethertype), de red (protocolo IP) o de transporte
Apply as Filter
Prepare a Filter Enabled Protocols... Decode As...
31
MANUAL DE ETHEREAL
Elemento User Specified Decodes... Follow TCP Stream
Acelerador Descripcin (puerta origen, destino o ambas) como un protocolo particular Este elemento permite al usuario ver la lista de asociaciones de protocolos definidas por el usuario con el elemento anterior. Este elemento abre una ventana aparte (ver Figura 3.8) y muestra todos los segmentos TCP capturados que estn en la misma conexin TCP que el paquete seleccionado. Los datos en el flujo TCP se ordena, y los segmentos duplicados se borran, y es entonces mostrado en ascii. Se puede cambiar el formato si se desea o mostrar slo un sentido de la conversacin, as como guardar, imprimir o filtrar el flujo TCP.
Figura 3.8. Ventana Follow TCP Stream
32
www.LMdata.es
MANUAL DE ETHEREAL
3.10 El men Statistics de Ethereal

El men Statistics (Estadsticas) de Ethereal contiene los campos mostrados en la Tabla 3-6.
Figura 3-9. Men Statistics de Ethereal
Tabla 3-6. Men Statistics
Elemento Summary Protocol Hierarchy Statistics Conversations
Descripcin Este elemento muestra una ventana de estadsticas con informacin sobre los paquetes capturados. Vea la Figura 3-10. Este elemento muestra un rbol jerrquico de estadsticas de paquetes Vea la Figura 3-11. Este elemento muestra un resumen de todas las conversaciones existentes. Los prootcolos pueden ser Ethernet, FDDI, Fibre Channel, IPX, IPv4, TCP (IPv4 y IPv6), Token Ring o UDP (IPv4 y IPv6). Este elemento muestra un resumen de todos los nodos (hosts) existentes. Los protocolos pueden ser Ethernet, FDDI, Fibre Channel, IPX, IPv4, TCP (IPv4 y IPv6), Token Ring o UDP (IPv4 y IPv6). Este elemento muestra una grfica de las tramas capturadas en funcin del tiempo. Vea la Figura 3-12.
Endpoints
IO Graphs
www.LMdata.es
33
MANUAL DE ETHEREAL
Elemento Conversation List
Descripcin Este elemento muestra una lista de todas las conversaciones existentes y el trfico en uno y otro sentido segn un protocolo concreto. Los prootcolos pueden ser Ethernet, FDDI, Fibre Channel, IPX, IPv4, TCP (IPv4 y IPv6), Token Ring o UDP(IPv4 y IPv6). Este elemento muestra una lista de todos los nodos (hosts) existentes y el trfico entrante y saliente segn un protocolo concreto. Los protocolos pueden ser Ethernet, FDDI, Fibre Channel, IPX, IPv4, TCP (IPv4 y IPv6), Token Ring o UDP(IPv4 y IPv6). Este elemento muestra estadsticas de tiempos de respuesta ante distintos servicios. Los servicios pueden ser DCE-RPC, Fibre Channel, ITU-T H.225 RAS, LDAP, ONE-RPC o SMB. Este elemento lleva la cuenta de las llamadas a las distintas funciones de distintos protocolos ANSI. Incluye A-Interface BSMAP, A-Interface DTAP y la operacin MAP. Este elemento lleva la cuenta de los distintos tipos de mensajes DHCP. Este elemento lleva la cuenta de las llamadas a las distintas funciones del protocolo GSM. Incluye A-Interface BSSMAP, A-Interface DTAP (incluyendo el control de llamada; la gestin de la movilidad GPRS, de la sesin GPRS, de la movilidad y de los recursos de radio; el servicio de mensajes cortos; y los servicios suplementarios) y la operacin MAP. Lleva la cuenta de los distintos tipos o razones de mensajes ITU-T H.225. Lleva la cuenta y analiza las conversaciones ITU-T H.223. Este elemento lleva la cuenta de las solicitudes HTTP y las distintas respuestas obtenidas (informativas, xito, etc.). Este elemento lleva la cuenta de los distintos tipos de mensajes ISUP. Este elemento analiza el trfico MTP3. Este elemento lleva la cuenta de las llamadas a los distintos programas ONERPC y sus tiempos de respuesta. Este elemento muestra las estadsticas de los flujos RTP de la captura o analiza un flujo RTP concreto. Este elemento lleva la cuenta de los distintos tipos de mensajes SIP. Este Elemento Analiza Grficamente Flujos TCP. Permite representar el RTT, el throughput o la secuencia de tiempos (estilo Stevens o tcptrace). Vea un ejemplo en la Figura 3-13. Este elemento lleva la cuenta de los distintos tipos de PDU y cdigos de estado.
Endpoint List
Service Response Time ANSI
BOOTP-DHCP GSM
H.225 H.223 Conversations HTTP ISUP Message Types MTP3 ONC-RPC Programs RTP SIP TCP Stream Graph WAP-WSP
34
www.LMdata.es
MANUAL DE ETHEREAL Figura 3-10. Ventana Summary
Figura 3-11. Ventana Protocol Hierarchy Statistics
www.LMdata.es
35
MANUAL DE ETHEREAL Figura 3-12. Ventana IO Graphs
Figura 3-13. Grficos TCP
36
www.LMdata.es
MANUAL DE ETHEREAL
3.11 El men Help de Ethereal

El men Help (Herramientas) de Ethereal contiene los campos que se muestran en la Tabla 3-7.
Figura 3-13. Men Help de Ethereal
Tabla 3-7. Men Help
Elemento Contents Supported Protocols Manual Pages

Ethereal online
Acelerador Descripcin Este elemento muestra un sistema de ayuda bsico. Este elemento muestra una lista de los protocolos soportados por Ethereal y los campos disponibles para crear filtros de visualizacin. Este elemento muestra la ayuda HTML de Ethereal. Este elemento conecta con el web de Ethereal. Este elemento muestra una ventana con informacin simple sobre Ethereal.
About Ethereal...
3.12 Capturando paquetes con Ethereal

Hay dos mtodos que se pueden usar para capturar paquetes con Ethereal: 1. Desde la lnea de comandos introduciendo: ethereal -i eth0 -k
www.LMdata.es
37
MANUAL DE ETHEREAL
2. Iniciando Ethereal y seleccionando Start... desde el men Capture. Esta muestra el cuadro de dilogo Preferencias de Captura y se tratar en ms detalle en la seccin Cuadro de dilogo Preferencias de Captura.
Cuadro de dilogo Preferencias de Captura

Cuando se selecciona Start... desde el men Capture, Ethereal muestra cuadro de dilogo Preferencias de Captura como muestra la Figura 3-14.
Figura 3-14. El cuadro de dilogo Preferencias de Captura
Se pueden establecer los siguientes campos en este cuadro de dilogo: Interface Este campo especifica el interface sobre el que se desea capturar. Slo se puede capturar en un interface, y slo se puede capturar en los interfaces que Ethereal ha encontrado en el sistema. Es una lista desplegable, por tanto slo hay que pulsar el botn del lado derecho y seleccionar el interface que se desee. Por defecto es el primer interface no loopback que soporta capturas, y si no hay ninguno, el primer. En algunos sistemas, los interfaces loopback no se pueden utilizar para capturas. Este campo realiza la misma funcin que la opcin de lnea de comandos -i <interface>. Capture limits Aqu se especifica el nmero de paquetes que se quieren capturar. Se puede poner el lmite de la captura por nmero de paquetes, por volumen de datos o por tiempo transcurrido.
38
www.LMdata.es
MANUAL DE ETHEREAL
Filter Este campo permite especificar un filtro de captura. Los filtros de captura se discuten en ms detalle en la seccin Filtrando mientras se Captura. Por defecto est vaco, o sin filtro. Tambin se puede pulsar el botn/etiqueta Filter, y Ethereal mostrar el cuadro de dilogo Filtros y permitir crear o seleccionar un filtro. Vea la seccin Definiendo y guardando filtros File Este campo permite especificar el nombre de archivo que se usar para la captura cuando ms tarde se escoja Save... o Save As... del men File de Ethereal. No hay valor por defecto para este campo. Capture length Este campo permite especificar la cantidad mxima de datos que se capturarn para cada paquete, y es a lo que algunas veces se llama snaplen. Por defecto es 65535, que ser suficiente para la mayora de los protocolos. Debera ser al menos la MTU del interface en el que se est capturando. Capture packets in promiscuous mode Este botn de radio permite especificar que Ethereal debera poner el interface en modo promiscuo durante la captura. Si no se especifica, Ethereal slo capturar los paquetes que van desde y hacia su ordenador (no todos los paquetes que pasan por el interface).
Nota: Si algn otro proceso ha puesto el interface en modo promiscuo se puede estar capturando en modo promiscuo incluso si se desmarca esta opcin
Update list of packets in real time This botn de radio permite especificar que Ethereal debera actualizar el panel de lista de paquetes en tiempo real. Si no se especifica, Ethereal no muestra ningn paquete hasta que se cancele la captura. Cuando se pulsa este botn de radio, Ethereal captura en un proceso aparte y enva las capturas al proceso de visualizacin.
Nota: A veces esta opcin no funciona correctamente en Windows
Automatic scrolling in live capture This botn de radio permite especificar que Ethereal debera hacer scrolling del panel de lista de paquetes segn llegan nuevos paquetes, de modo que siempre se vea el ltimo paquete. Si no se especifica, Ethereal simplemente aade nuevos paquetes al final de la lista, pero no hace scrolling del panel de lista de paquetes. Enable MAC name resolution This botn de radio permite controlar si Ethereal traduce o no los primeros tres octetos de las direcciones MAC al nombre del fabricante al que le ha asignado ese prefijo el IETF. Enable network name resolution This botn de radio permite controlar si Ethereal traduce o no las direcciones IP a nombres de dominio DNS. Pulsando este botn de radio, el panel de lista de paquetes tendr ms informacin til, pero tambin ocasionar que se produzcan solicitudes de bsqueda de nombres, lo que podra interferir con la captura.
Nota: Si no se puede alcanzar el servidor de nombres, puede suceder que Ethereal tarde mucho tiempo en actualizar el panel de lista de paquetes ya que espera a que venza el tiempo de traduccin del nombre.
www.LMdata.es
39
MANUAL DE ETHEREAL
Enable transport name resolution This botn de radio permite controlar si Ethereal traduce o no los nmeros de puerta a protocolos. Una vez que se han establecido los valores deseados y seleccionado los botones de radio que se necesitan, pulse simplemente en OK para comenzar la captura, o Cancel para cancelarla. Si se inicia una captura, Ethereal abre un cuadro de dilogo que muestra el progreso de la captura y permite detener la captura cuando se tienen suficientes paquetes capturados.
3.13 Filtrando mientras se captura

Ethereal utiliza el lenguaje de filtros libpcap para los filtros de captura. Este se explica en la pgina man de tcpdump. Se introduce el filtro de captura en el campo Filter field del seccin Cuadro de dilogo Preferencias de Captura de Ethereal, como se muestra en la Figura 3-14. A continuacin hay un resumen de la sintaxis del lenguaje de filtros de captura de tcpdump. Un filtro de captura toma la forma de una serie de primitivas de expresin conectadas por conjunciones y opcionalmente precedidas por not: [not] primitiva [and|or [not] primitiva ...] Se muestra un ejemplo en el Ejemplo 3-2.
Ejemplo 3-2. Un filtro de captura para telnet que captura trfico hacia y desde un host en particular
tcp port 23 and host 10.0.0.5 Este ejemplo captura trfico telnet hacia y desde el host 10.0.0.5, y muestra cmo utilizar dos primitivas y la conjuncin and. Otro ejemplo se muestra en el Ejemplo 3-3, y muestra cmo capturar todo el trfico telnet excepto el que viene de 10.0.0.5.
Ejemplo 3-3. Capturando todo el trfico telnet que no viene de 10.0.0.5
tcp port 23 and not host 10.0.0.5 Una primitiva es simplemente una de las siguientes: [src|dst] host <host> Esta primitiva permite filtrar por una direccin IP o nombre de host. Opcionalmente se puede preceder la primitiva con la palabra clave src|dst para especificar que slo se est interesado en direcciones origen o destino. Si no estn presentes, se selecionaran los paquetes donde la direccin especificada aparezca como direccin tanto origen como destino. ether [src|dst] host <ehost> Esta primitiva permite filtrar por direcciones de host Ethernet. Opcionalmente se puede incluir la palabra clave src|dst entre las palabras clave ether y host para especificar que slo se est interesado en direcciones origen o destino. Si no estn presentes, se selecionaran los paquetes donde la direccin especificada aparezca como direccin tanto origen como destino. gateway host <host> Esta primitiva permite filtrar los paquetes que utilizan host como un gateway. Es decir, donde el origen o destino Ethernet es host pero ni la direccin IP origen ni destino son host.
40
www.LMdata.es
MANUAL DE ETHEREAL
[src|dst] net <red> [{mask <mscara>}|{len <longitud>}] Esta primitiva permite filtrar por nmeros de red. Opcionalmente se puede preceder la primitiva con la palabra clave src|dst para especificar que slo se est interesado en redes origen o destino. Si no estn presentes, se selecionaran los paquetes que tengan la red especificada en la direccin tanto origen como destino. Adems, se puede especificar tanto la mscara de red como el prefijo CIDR para la red si son diferentes de los propios. [tcp|udp] [src|dst] port <puerta> This primitiva permite filtrar por nmeros de puerta TCP y UDP. . Opcionalmente se puede preceder la primitiva con las palabras clave src|dst y tcp|udp para especificar que slo se est interesado en puertas origen o destino y en paquetes TCP o UDP respectivamente. las palabras clave tcp|udp deben aparecer antes que src|dst. Si no se especifican, se selecionaran los paquetes para ambos protocolos TCP y UDP, y donde la puerta especificada aparezca en elcampo puerta tanto origen como destino. less|greater <longitud> Esta primitiva permite filtrar paquetes cuya longitud sea menor o igual que la longitud especificada, o mayor o igual que la longitud especificada, respectivamente. ip|ether proto <protocolo> Esta primitiva permite filtrar por el protocolo especificado tanto en el nivel Ethernet como en el nivel IP. ether|ip broadcast|multicast Esta primitiva permite filtrar broadcasts o multicasts tanto Ethernet como IP. <expr> relop <expr> Esta primitiva permite crear expresiones de filtro complejas que seleccionen bytes o rangos de bytes en los paquetes. Cea las pginas man de tcpdump para ms detalles.
3.14 Viendo los paquetes que se han capturado

Una vez que se han capturado algunos paquetes, o se ha abierto un fichero de captura previamente guardado, se pueden ver los paquetes que se muestran en el panel de lista de paquetes simplemente pulsando en ese paquete en el panel de lista de paquetes, lo que llevar el paquete seleccionado a los paneles de vista de rbol y de vista de byte. Se puede entonces expandir cualquier parte de la vista de rbol pulsando en el signo ms a la izquierda de esa parte del paquete, y se pueden seleccionar campos individuales pulsando en ellos en el panel de vista de rbol. Se muestra un ejemplo con un segmento TCP seleccionado en la Figura 3-15. Tambin tiene el nmero de Acknowledgment en el cabecero TCP seleccionado, que se muestra en la vista de byte como bytes seleccionados.
www.LMdata.es
41
MANUAL DE ETHEREAL Figura 3-15. Ethereal con un segmento TCP seleccionado para visualizacin
Tambin se pueden seleccionar y ver paquetes cuando Ethereal est capturando si se seleccion "Actualizar lista of paquetes en tiempo real" en el cuadro de dilogo Preferencias de Captura de Ethereal. Adems, se pueden ver paquetes individuales en una ventana aparte como se muestra en la Figura 3-16. Esto se hace seleccionando el paquete en el que se est interestado en el panel de lista de paquetes, y a continuacin "Show Packet in New Window" en el men View. Esto permite comparar fcilmente dos o ms paquetes.
Figura 3-16. Viendo un paquete en una ventana aparte
Finalmente, se puede abrir un men contextual tanto en el panel de lista de paquetes como en el panel de vista de rbol pulsando el botn derecho del ratn. Los menus que aparecen contienen, entre otros, los siguientes elementos:
42
www.LMdata.es
MANUAL DE ETHEREAL Figura 3-17. Men contextual del Panel de Paquetes
Follow TCP Stream Este elemento es el mismo que el elemento del men View del mismo nombre. Permite ver todos los datos en un flujo TCP entre una pareja de nodos. Decode As... Este elemento es el mismo que el elemento del men View del mismo nombre. Display filters... Este elemento es el mismo que el elemento del men Edit del mismo nombre. Permite especificar y gestionar filtros. Mark Packet Este elemento es el mismo que el elemento del men Edit del mismo nombre. Time Reference Este elemento es el mismo que el elemento del men Edit del mismo nombre. Match Este elemento es el mismo que el elemento del men Analyze del mismo nombre. Prepare Este elemento es el mismo que el elemento del men Analyze del mismo nombre.
www.LMdata.es
43
MANUAL DE ETHEREAL
Coloring Rules... Este elemento es el mismo que el elemento del men View del mismo nombre. Permite colorear paquetes en el panel de lista de paquetes. Print... Este elemento es el mismo que el elemento del men File del mismo nombre. Permite imprimir paquetes. Show Packet in New Window Este elemento es el mismo que el elemento del men View del mismo nombre. Permite mostrar el paquete seleccionado en otra ventana.
Figura 3-18. Men contextual del Panel de Vista de rbol
Follow TCP Stream Este elemento es el mismo que el elemento del men View del mismo nombre. Permite ver todos los datos en un flujo TCP entre una pareja de nodos. Decode As... Este elemento es el mismo que el elemento del men View del mismo nombre. Display filters... Este elemento es el mismo que el elemento del men Edit del mismo nombre. Permite especificar y gestionar filtros.
44
www.LMdata.es
MANUAL DE ETHEREAL
Resolve Name Este elemento hace que se realice la resolucin de nombre para el paquete seleccionado, pero NO para cada paquete dela captura. Export Selected Packet Bytes... Este elemento exporta los bytes seleccionados del paquete actual a un fichero binario. Hace lo mismo que la opcin Export del men File. Protocol Preferences... Este elemento lleva al cuadro de dilogo de preferencias de protocolo si hay propiedades asociadas con los campos resaltados. Se puede encontrar ms informacin sobre las preferencias en la Figura 3-33. Apply as filter Este elemento es el mismo que el elemento del men Analyze del mismo nombre. Prepare a filter Este elemento es el mismo que el elemento del men Analyze del mismo nombre. Collapse All Ethereal mantiene un lista de todos los subrboles de protocolo que se expanden, y la utiliza para asegurar que los subrboles correctos se expanden cuando se muestra un paquete. Este elemento contrae la vista de rbol de todos los paquetes en la lista de captura. Expand All Este elemento expande todos los subrboles de todos los paquetes de la captura. Expand Tree Este elemento expande el rbol actual.
3.15 Guardando los paquetes capturados

Se pueden guardar los paquetes capturados simplemente usando el elemento de men Save As... del men File de Ethereal. Se puede elegir guardar todos los paquetes capturados o slo los paquetes que estn visualizndose.
Cuadro de dilogo Guardar Fichero de captura Como

El cuadro de dilogo Guardar Fichero de captura Como permite guardar la captura actual a un fichero. La Figura 3-19 muestra un ejemplo de ste cuadro de dilogo.
www.LMdata.es
45
MANUAL DE ETHEREAL Figura 3-19. El cuadro de dilogo Guardar Fichero de captura Como
Con este cuadro de dilogo, se pueden realizar las siguientes acciones: 1. 2. Seleccionar ficheros y directorios con las listas "Name" y "Save in folder" y la lista desplegable "Browse for other folders". Guardar slo los paquetes que estn siendo actualmente visualizados (en contraposicin a todos los paquetes capturados) pulsando en el botn de radio "Save only packets currently being displayed". Guardar slo los paquetes marcados (en contraposicin a todos los paquetes capturados) pulsando en el botn de radio "Save only marked packets". Se puede encontrar ms informacin sobre Marcar paquetes en la seccin El men Edit de Ethereal. Especificar el formato del fichero de captura guardado pulsando en la lista desplegable "File type". Se puede escoger entre los siguientes tipos: a. libpcap (tcpdump, Ethereal, etc.) b. libpcap modificado (tcpdump) c. RedHat Linux libpcap (tcpdump) d. Network Associates Sniffer (basado en DOS) e. Sun Snoop f. Microsoft Network Monitor 1.x g. Network Associates Sniffer (basado en Windows) 1.1
Nota!: Algunos formatos de captura pueden no estar disponibles, dependiendo de los tipos de trama capturados.
3.
4.
46
www.LMdata.es
MANUAL DE ETHEREAL Nota!: Se pueden convertir ficheros de captura de un formato a otro leyendo un fichero de captura y guardndolo con otro nombre usando un formato diferente.
5. 6.
Teclear el nombre del fichero en el que se desean guardar los paquetes capturados, como un nombre de fichero estndar del sistema de ficheros. Pulsar OK para aceptar el fichero seleccionado y guardarlo. Si Ethereal tiene algn problema guardando los paquetes capturados al fichero que se especific, se mostrar un cuadro de dilogo de error. Despus de pulsar OK, se puede probar con otro fichero. Pulsar Cancel para volver a Ethereal sin guardar los paquetes capturados.
7.
3.16 Leyendo ficheros de captura

Ethereal puede leer ficheros de captura guardados previamente, y adems, debido a que est compilado con una librera de subrutinas llamada libwiretap, puede leer ficheros de captura de otros variosr programas de captura paquetes tambin. A continuacin est la lista de formatos de captura que entiende: tcpdump y Ethereal snoop (incluyendo Shomiti) y atmsnoop LanAlyzer Sniffer (comprimido o no comprimido) y Sniffer Pro para DOS o Windows Microsoft Network Monitor NetXray El analizador WAN/LAN de RADCOM La salida dump de los routers ISDN de Toshiba Cinco Networks NetXRay iptrace de AIX AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek Productos de acceso Lucent/Ascend nettl de HP-UX Salida en formato IPLog del Cisco Secure Intrusion Detection System Logs pppd (formato pppdump) Utilidad TCPIPtrace de VMS Salida de texto de la utilidad DBS Etherwatch VMS Ficheros de capura de trfico de Visual UpTime de Visual Networks Salida debug de CoSine L2 Utilidad i4btrace de ISDN4BSD
Slo se necesita tener estos ficheros en el sistema y Ethereal podr leerlos. Para leerlos, simplemente selecciona el elemento de men Open del men File. Ethereal lanzar el cuadro de dilogo Abrir Fichero, que se discute en ms detalle en la seccin el cuadro de dilogo Abrir Fichero
www.LMdata.es
47
MANUAL DE ETHEREAL
El cuadro de dilogo Abrir Fichero

El cuadro de dilogo Abrir Fichero de Ethereal permite buscar un fichero de captura que contenga paquetes previamente capturados para visualizarlo en Ethereal. La Figura 3-20 muestra un ejemplo del cuadro de dilogo Abrir Fichero de Ethereal.
Figura 3-20. El cuadro de dilogo Abrir Fichero
Con este cuadro de dilogo, se pueden realizar las siguientes acciones: 1. 2. Seleccionar ficheros y directorios con las listas de unidads, directorios y ficheros. Especificar un filtro de visualizacin con el botn "Filter" y el campo "filter". Al pulsar el botn "Filter" Ethereal lanza el cuadro de dilogo Filtros (que se discute ms adelante en la seccin Filtrando paquetes mientras se ven). Especificar que se realice la resolucin de nombres MAC para todas las direcciones MAC en paquetes marcando la casilla de verificacin "Enable MAC name resolution". Especificar que se realice la resolucin de nombres DNS para todas las direcciones IP en paquetes marcando la casilla de verificacin "Enable network name resolution".
Nota: Enabling network name resolution when your DNS server is unavailable may significantly slow ethereal while it waits for all of the DNS requests to time out
3. 4.
5.
Especificar que se realice la resolucin de nombres de transporte para todas las direcciones de transporte (puertas TCP/UDP) en paquetes marcando la casilla de verificacin "Enable transport name resolution".
48
www.LMdata.es
MANUAL DE ETHEREAL
6.
Pulsar OK para aceptar el fichero seleccionado y abrirlo. Si Ethereal reconoce el formato de captura, mostrar los paquetes ledos del fichero de captura en el panel de lista de paquetes. Si no reconoce el formato de captura, mostrar un cuadro de dilogo de error. Despus de pulsar OK, se puede probar con otro fichero. Pulsar Cancel para volver a Ethereal sin cargar un fichero de captura.
7.
3.17 Filtrando paquetes mientras se ven

Ethereal tiene dos lenguajes de filtrado: Uno utilizado cuando se capturan paquetes, y el otro cuando se visualizan paquetes. En esta seccin se explora este segundo tipo de filtros: los filtros de visualizacin. El primer tipo ya ha sido tratado en la seccin Filtrando mientras se captura. Los filtros de visualizacin permiten concentrarse en los paquetes en que se est interesado. Permiten seleccionar paquetes por: Protocolo La presencia de un campo Los valores de campos Una comparacin entre campos
Para seleccionar paquetes basndose en el tipo de protocolo, simplemente hay que teclear el protocolo en que se est interesado en el campo Filter: de la esquina inferior izquierda d la ventana de Ethereal y presionar enter para iniciar el filtro. La Figura 3-21 muestra un ejemplo de lo que sucede cuando se teclea smb en el campo filtro.
Nota!: Todas las expresiones de filtro se introducen en minsculas. Adems, no hay que olvidar presionar enter despus de introducir la expresin de filtro.
www.LMdata.es
49
MANUAL DE ETHEREAL Figura 3-21. Filtrando por el protocolo SMB
Nota!: Los paquetes seleccionados en la Figura 3-21 aparecen todos como paquetes BROWSER pero son transportados en paquetes SMB.
Se puede filtrar por cualquier protocolo que Ethereal entienda. Sin embargo, tambin se puede filtrar por cualquier campo que un disector aada a la vista de rbol, pero slo si el disector ha aadido una abreviatura para el campo. Una lista de estos campos est disponible en Ethereal en el cuadro de dilogo Aadir Expresin.... Se puede encontrar ms informacin sobre el cuadro de dilogo Aadir Expresin... en la seccin El Dilogo Aadir Expresin. Por ejemplo, para reducer la lista de paquetes slo a aquellos paquetes que vaya desde o hacia 10.0.0.5, use ip.addr==10.0.0.5.
Nota!: Para borrar el filtro, pulse en el botn Reset a la derecha del campo filtro.
Construyendo expresiones de filtro

Ethereal proporciona un lenguaje de filtros de visualizacin sencillo con el que se pueden construir expresiones de filtrado bastante complejas. Se pueden comparar valores en paquetes as como combinar expresiones en expresiones ms especficas. Las siguientes secciones proporcionan ms informacin sobre como hacer esto.
Comparando valores
Se pueden construir filtros de visualizacin que comparen valores usando varios operadores de comparacin diferentes. Estos se muestran en la Tabla 3-8.
50
www.LMdata.es
MANUAL DE ETHEREAL Tabla 3-8. Operadores de comparacin de filtros de visualizacin
Ingls eq ne gt lt ge le is present contains matches
Tipo C == != > < >= <=
Descripcin y ejemplo Igual ip.addr==10.0.0.5 Distinto ip.addr!=10.0.0.5 Mayor que .pkt_len > 10 Menor que frame.pkt_len < 128 Mayor o igual que frame.pkt_len ge 0x100 Menor o igual que frame.pkt_len <= 0x20 Est presente Contiene Cumple o encaja
Adems, todos los campos de protocolo tienen tipo. La tabla 3-9 proporciona una lista de los tipos y un ejemplo de como expresarlos.
Tabla 3-9. Tipos de Campo
Tipo Entero sin signo (8-bit, 16-bit, 24-bit, 32-bit)
Ejemplo Se pueden expresar enteros en formato decimal, octal o hexadecimal. Los siguientes filtros de visualizacin son equivalentes: ip.len le 1500 ip.len le 02734 ip.len le 0x436
Entero con signo (8bit, 16-bit, 24-bit, 32bit) Booleano o lgico Un campo lgico est presente en la decodificacin de protocolo slo si su valor es true. Por ejemplo, tcp.flags.syn est presente, y por lo tanto es true, slo si el flag SYN est presente en el cabecero del segmento TCP. Por lo tanto la expresin de filtro tcp.flags.syn seleccionar solo aquellos paquetes para los que este flag existe, esto es, los segmentos TCP donde el cabecero del segmento contiene el flag SYN. Similarmente, para encontrar paquetes token ring con source-routing, use una expresin de filtro de tr.sr. Direccin Ethernet (6 bytes)
www.LMdata.es
51
MANUAL DE ETHEREAL
Tipo Direccin IPv4 Direccin IPv6 Nmero de Red IPX String (texto) Nmero de coma flotante de doble precisin
Ejemplo
Combinando expresiones
Se pueden combinar expresiones de filtro en Ethereal usando los operadores lgicos mostrados en la Tabla 3-10
Tabla 3-10. Operaciones lgicas de filtros de visualizacin
Ingls Tipo C and or xor not [...] && || ^^ ! Y lgico
Descripcin y ejemplo
ip.addr==10.0.0.5 and tcp.flags.fin O lgico ip.addr==10.0.0.5 or ip.addr==192.1.1.1 XOR (O exclusivo) lgico tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == 0.6.30 NO lgico not llc Operador de subcadena Ethereal permite seleccionar subsecuencias de una secuencia de formas bastante elaboradas. Despus de una etiqueta se pueden colocar un par de corchetes [] conteniendo una lista separada por comas de especificadotes de rango. eth.src[0:3] == 00:00:83 El ejemplo anterior usa el formato n:m para especificar un rango sencillo. En este caso n es el offset inicial y m es la longitud del rango que est sendo especificado. eth.src[1-2] == 00:83 El ejemplo anterior usa el formato n-m para especificar un rango sencillo. En este caso n es el offset inicial y m es el offset final. eth.src[:4] == 00:00:83:00 El ejemplo anterior usa el formato:m, que toma todo desde el comienzo de una secuencia hasta el offset m. Es equivalente a 0:m eth.src[4:] == 20:20 El ejemplo anterior usa el formato n:, que toma todo desde el offset n hasta el fin
52
www.LMdata.es
MANUAL DE ETHEREAL
Ingls Tipo C de la secuencia. eth.src[2] == 83
Descripcin y ejemplo
El ejemplo anterior usa el formato n para especificar un rango sencillo. En este caso se selecciona el elemento de la secuence con el offset n. Es equivalente a n:1. eth.src[0:3,1-2,:4,4:,2] == 00:00:83:00:83:00:00:83:00:20:20:83 Este ltimo ejemplo muestra como concatenar varios rangos separando la lista de rangos con comas
3.18 Coloreado de paquetes

Un mecanismo muy til disponible en Ethereal e el coloreado de paquetes. Se puede configurar Ethereal de modo que coloree paquetes de acuerdo con un filtro. Esto permite emfatizar los paquetes en que se est interesado. Para colorear paquetes, seleccione el elemento de men Coloring Rules... del men View, y Ethereal lanzar el cuadro de dilogo Aadir Color a Protocolos como se muestra en la Figura 3-22.
Figura 3-22. El cuadro de dilogo Aadir Color a Protocolos de Ethereal
Una vez que el cuadro de dilogo Aadir Color a Protocolos aparece, hay varios botones que se pueden utilizar, dependiendo de si ya se han instalado o no filtros de color. Si es la primera vez que se utiliza Aadir Color a Protocolos, pulse en New para mostrar el cuadro de dilogo Editar filtro de color como se muestra en la Figura 3-23.
www.LMdata.es
53
MANUAL DE ETHEREAL Figura 3-23. El cuadro de dilogo Editar filtro de color de Ethereal
En el cuadro de dilogo Editar filtro de color, simplemente introduzca un nombre para el filtro de color, e introduzaca una expresin de filtro en el campote texto Filter. La Figura 3-23 muestra los valores smb y smb lo que significa que el nombre del filtro de color es smb y el filtro seleccionar protocolos de tipo smb. Una vez que se han introducido estos valores, se pueden elegir un color de texto y un color de fondo para los paquetes que cumplan la expresin de filtro. Pulse en Choose background color o Choose foreground color para conseguir esto y Ethereal lanzar el cuadro de dilogo Elegir color de texto/fondo para protocolo como se muestra en la Figura 3-24.
Figura 3-24. El cuadro de dilogo Elegir color de Ethereal
Seleccione el color deseado para los paquetes seleccionados y pulse OK.

Nota!: Se debe seleccionar un color en la barra de color prxima a la rueda de color para cargar valores en los deslizadores RGB. Como alternativa, se pueden usar los deslizadores para seleccionar el color que se desea.
Es necesario seleccionar cuidadosamente el orden en que se listan los filtros (y por lo tanto se aplican) ya que stos se aplican en orden. Por lo tanto, los filtros ms especficos se deben listar antes que los filtros ms generales. Por ejemplo, si se tiene un filtro de color para UDP antes que uno para DNS, el filtro de color para DNS nunca se aplicar.
54
www.LMdata.es
MANUAL DE ETHEREAL
La Figura 3-25 muestra un ejemplo de varios filtros de color siendo usados en Ethereal.
Figura 3-25. Usando filtros de color con Ethereal
3.19 Encontrando paquetes

Se pueden encontrar tramas fcilmente una vez que se han capturado algunos paquetes o se ha ledo un fichero de captura previamente guardado. Simplemente seleccione el elemento de men Find Packet... del men Edit. Ethereal lanzar el cuadro de dilogo mostrado en la Figura 3-26.
Figura 3-26. El cuadro de dilogo Find Packet de Ethereal
Simplemente introduzca una expresin de filtro de visualizacin en el campo Filter:, seleccione una direccin, y pulse OK.
www.LMdata.es
55
MANUAL DE ETHEREAL
Por ejemplo, para encontrar el three way handshake para una conexin desde el host 10.0.0.5, use la siguiente expresin de filtro: ip.addr==10.0.0.5 and tcp.flags.syn Para ms detalles sobre filtros de visualizacin, vea la seccin Filtrando paquetes mientras s visualizan.
3.20 Siguiendo flujos TCP

Habr ocasiones en las que se deseen ver los datos de una sesin TCP en el orden en que el nivel de aplicacin los vera. Quiz se estn buscando passwords en un flujo Telnet, o quiz se est intentando dar sentido a un flujo de datos. Si es as, la habilidad de Ethereal de seguir un flujo TCP ser til para conseguirlo. Simplemente seleccione un segmento TCP del flujo/conexin que le interese y seleccione el elemento de men Follow TCP Stream del men Analyze de Ethereal. Ethereal lanzar una ventana aparte con todos los datos del flujo TCP clasificados en orden, como muestra la Figura 3-27.
Figura 3-27. Siguiendo un Flujo TCP
Se pueden elegir cuatro formatos para ver los datos: 1. ASCII. En esta vista se ven los datos de cada extremo en ASCII, pero alternados en funcin de cuando envi los datos cada extremo. Desafortunadamente, los caracteres no imprimibles no se imprimen. EBCDIC. Antiguo sistema de codificacin de caracteres ya en desuso.
2. 56
www.LMdata.es
MANUAL DE ETHEREAL
3. 4.
HEX Dump. Permite ver todos los datos, pero se pierde la capacidad de leerlos en ASCII. C Arrays. Permite ver los datos en formato de vectores C.
Nota!: Merece la pena destacar que Follow TCP Stream instala un filtro para seleccionar todos los paquetes del flujo TCP que se ha seleccionado.
Tambin permite optar por mostrar slo un sentido de la conversacin (lista Entire conversation), as como guardar (botn Save As), imprimir (botn Print) o filtrar el flujo TCP (botn Filter out this stream).
3.21 Definiendo y guardando filtros

Se pueden definir filtros con Ethereal y darles etiquetas para su uso posterior. Esto puede ahorrar tiempo para recordar y volver a teclear algunos de los filtros ms complejos que se utilicen. Para definir un nuevo filtro o editar uno existente, seleccione el elemento de men Filters... del men Edit. Ethereal lanzar entonces el cuadro de dilogo Filtros como muestra la Figura 3-28.
Figura 3-28. El cuadro de dilogo Filtros de Ethereal
Se debe introducir un nombre de filtro en el campo Filter name, y una expresin de filtro en el campo Filter string. Sin embargo, para la mayora de las otras acciones, hay que seleccionar un filtro del cuadro de lista (que rellenar el nombre y la expresin en los campos de la parte inferior del cuadro de dilogo), y hacer cualquier cambio que se desee. Entonces se debera elegir uno de los botones de la parte izquierda del cuadro de dilogo. Los botones tienen los siguientes significados: New Este botn aade la expresin de filtro introducida en el campo Filter string con el nombre proporcionado en el campo Filter name.
57
MANUAL DE ETHEREAL Nota!: Se pueden aadir mltiples filtros con el mismo nombre. Esto no es muy til.
Delete Este botn borra el filtro seleccionado. Apply Este botn aplica el filtro seleccionado a la vista actual. Add Expression... Este botn lanza el cuadro de dilogo Aadir Expresin que asiste en la construccin de expresiones de filtro. Se puede encontrar ms informacin sobre el cuadro de dilogo Aadir Expresin en la seccin El cuadro de dilogo Aadir Expresin.
3.22 El cuadro de dilogo Aadir Expresin

Cuando se est acostumbrado al sistema de filtrado de Ethereal y se conocen las etiquetas que se desean utilizar en los filtros puede ser muy rpido teclear simplemente una expresin de filtro. Sin embargo, si se es nuevo en Ethereal o se est trabajando con un protocolo ligeramente poco familiar puede ser muy confuso intentar averiguar que teclear. El cuadro de dilogo Aadir Expresin ayuda a hacerlo.
Figura 3-29. El cuadro de dilogo Aadir Expresin
Cuando se abre por primera vez el cuadro de dilogo Aadir Expresin se muestra una lista de rbol de nombres de campo, organizados por protocolo, y un cuadro para seleccionar una relacin. Field Name Seleccione un campo de protocolo del rbol de campos de protocolos. Cada protocolo con campos filtrables se lista en el nivel mximo. Pulsando en el "+" prximo al nombre de 58
MANUAL DE ETHEREAL
protocolo se puede obtener una lista de los nombres de campo disponibles para filtrado para ese protocolo. Relation Seleccione una relacin de la lista de relaciones disponibles. is present es una relacin unaria que es cierta si el campo seleccionado est presente en un paquete. Todas las dems relaciones listadas son relaciones binarias y requieren datos adicionales (es decir, un valor a cumplir) para completarlas. Cuando se selecciona un campo de la lista field name y una relacin binaria (como la relacin de igualdad ==) se dar la oportunidad de introducir un valor, y posiblemente alguna informacin de rango. Value Se puede introducir un valor apropiado en el cuadro de texto Value. Value tambin indicar el tipo de valor para el nombre de campo que se ha seleccionado (como cadena de caracteres). Accept Cuando se ha compuesto una expresin satisfactoria pulse Accept y la expresin de filtro se construir para usted. Close Se puede dejar el cuadro de dilogo Add Expression... sin ningn efecto pulsando el botn Close
Figura 3-31. Resultado de contruir una expresin de filtro usando el cuadro de dilogo Aadir Expresin.
www.LMdata.es
59
MANUAL DE ETHEREAL
El cuadro de dilogo Aadir Expresin es un modo excelente de aprender a escribir expresiones de filtro de visualizacin en Ethereal.
3.23 Imprimiendo paquetes

Para imprimir paquetes de una captura, seleccione el elemento de men Print... del men File. Cuando se hace esto, Ethereal lanza el cuadro de dilogo Imprimir como muestra la Figura 3-32.
Figura 3-32. El cuadro de dilogo Imprimir de Ethereal
Los siguientes campos estn disponibles en el cuadro de dilogo Imprimir: Printer Este campo contiene un par de botones de radio mutuamente excluyentes: Plain Text, que especifica que la impresin del paquete debera ser en texto plano. PostScript, que especifica que el proceso de impresin del paquete debera usar Postscript para generar una mejor impresin.
Output to File Este campo especifica la impresin se redirija al fichero especificado en el cuadro de texto a su derecha. Pulse Browse para elegir el directorio y archivo deseado Packet range Aqu se especifica si se desean imprimir todos los paquetes, slo el seleccionado, slo los marcados, del primer al ltimo paquete marcado, o un rango de paquetes especificado. Se pueden elegir estas opciones tanto para la captura total como para los paquetes que estn siendo visualizados en el momento.
60
www.LMdata.es
MANUAL DE ETHEREAL
Packet details Esta casilla de verificacin selecciona si Ethereal imprime o no un resumen o los detalles para cada paquete impreso. All dissections collapsed, Dissections as displayed y All dissections expanded Estos botones de radio mutuamente excluyentes selecciona si Ethereal expande o no todos los detalles para todos los paquetes impresos, o los imprime como se visualizan (es decir, expandiendo slo los rboles de protocolo actualmente expandidos. Packet hex data Esta casilla de verificacin controla si Ethereal imprime o no los datos hexadecimales para cada paquete seleccionado.
3.24 Preferencias de Ethereal

Hay varias preferencias que se pueden configurar desde un nico lugar. Simplemente seleccione el elemento de men Preferences... del men Edit, y Ethereal lanzar el cuadro de dilogo Preferencias como se muestra en la Figura 3-33.
Figura 3-33. El cuadro de dilogo Preferencias de Ethereal
www.LMdata.es
61
MANUAL DE ETHEREAL
El cuadro de dilogo Preferencias de Ethereal es un cuadro de dilogo con varias categoras que permite establecer preferencias para cada uno de los siguientes elementos: Printing Esta categora permite definir el comando de impresin por defecto que Ethereal utilizar as como el nombre por defecto del fichero de salida cuando se imprema a un fichero. Estos parmetros se discuten en ms detalle en la seccin Imprimiendo paquetes Columns Esta categora permite seleccionar que columnas aparecen en el Panel de Lista de Paquetes. Fonts Esta categora permite seleccionar las fuentes a utilizar en Ethereal. Colors Esta categora permite cambiar los colores de texto y de fondo usados en la ventana Follow TCP Stream descrita en la seccin Siguiendo flujos TCP. Name resolution Esta pestaa permite configurar varias opciones de resolucin automtica de nombres. Otras categoras Las restantes categoras permiten configurar varias preferencias para la diseccin de varios protocolos de red.
62
www.LMdata.es
MANUAL DE ETHEREAL
4 GNU Free Documentation License

Version 1.2, November 2002 Copyright (C) 2000,2001,2002 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.
0. PREAMBLE The purpose of this License is to make a manual, textbook, or other functional and useful document "free" in the sense of freedom: to assure everyone the effective freedom to copy and redistribute it, with or without modifying it, either commercially or noncommercially. Secondarily, this License preserves for the author and publisher a way to get credit for their work, while not being considered responsible for modifications made by others. This License is a kind of "copyleft", which means that derivative works of the document must themselves be free in the same sense. It complements the GNU General Public License, which is a copyleft license designed for free software. We have designed this License in order to use it for manuals for free software, because free software needs free documentation: a free program should come with manuals providing the same freedoms that the software does. But this License is not limited to software manuals; it can be used for any textual work, regardless of subject matter or whether it is published as a printed book. We recommend this License principally for works whose purpose is instruction or reference. 1. APPLICABILITY AND DEFINITIONS This License applies to any manual or other work, in any medium, that contains a notice placed by the copyright holder saying it can be distributed under the terms of this License. Such a notice grants a world-wide, royalty-free license, unlimited in duration, to use that work under the conditions stated herein. The "Document", below, refers to any such manual or work. Any member of the public is a licensee, and is addressed as "you". You accept the license if you copy, modify or distribute the work in a way requiring permission under copyright law. A "Modified Version" of the Document means any work containing the Document or a portion of it, either copied verbatim, or with modifications and/or translated into another language. A "Secondary Section" is a named appendix or a front-matter section of the Document that deals exclusively with the relationship of the publishers or authors of the Document to the Document's overall subject (or to related matters) and contains nothing that could fall directly within that overall subject. (Thus, if the Document is in part a textbook of mathematics, a Secondary Section may not explain any mathematics.) The relationship could be a matter of historical connection with the subject or with related matters, or of legal, commercial, philosophical, ethical or political position regarding them. The "Invariant Sections" are certain Secondary Sections whose titles are designated, as being those of Invariant Sections, in the notice that says that the Document is released under this License. If a section does not fit the above definition of Secondary then it is not allowed to be designated as Invariant. The Document may contain zero Invariant Sections. If the Document does not identify any Invariant Sections then there are none.
www.LMdata.es
63
MANUAL DE ETHEREAL
The "Cover Texts" are certain short passages of text that are listed, as Front-Cover Texts or Back-Cover Texts, in the notice that says that the Document is released under this License. A Front-Cover Text may be at most 5 words, and a Back-Cover Text may be at most 25 words. A "Transparent" copy of the Document means a machine-readable copy, represented in a format whose specification is available to the general public, that is suitable for revising the document straightforwardly with generic text editors or (for images composed of pixels) generic paint programs or (for drawings) some widely available drawing editor, and that is suitable for input to text formatters or for automatic translation to a variety of formats suitable for input to text formatters. A copy made in an otherwise Transparent file format whose markup, or absence of markup, has been arranged to thwart or discourage subsequent modification by readers is not Transparent. An image format is not Transparent if used for any substantial amount of text. A copy that is not "Transparent" is called "Opaque". Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfo input format, LaTeX input format, SGML or XML using a publicly available DTD, and standard-conforming simple HTML, PostScript or PDF designed for human modification. Examples of transparent image formats include PNG, XCF and JPG. Opaque formats include proprietary formats that can be read and edited only by proprietary word processors, SGML or XML for which the DTD and/or processing tools are not generally available, and the machinegenerated HTML, PostScript or PDF produced by some word processors for output purposes only. The "Title Page" means, for a printed book, the title page itself, plus such following pages as are needed to hold, legibly, the material this License requires to appear in the title page. For works in formats which do not have any title page as such, "Title Page" means the text near the most prominent appearance of the work's title, preceding the beginning of the body of the text. A section "Entitled XYZ" means a named subunit of the Document whose title either is precisely XYZ or contains XYZ in parentheses following text that translates XYZ in another language. (Here XYZ stands for a specific section name mentioned below, such as "Acknowledgements", "Dedications", "Endorsements", or "History".) To "Preserve the Title" of such a section when you modify the Document means that it remains a section "Entitled XYZ" according to this definition. The Document may include Warranty Disclaimers next to the notice which states that this License applies to the Document. These Warranty Disclaimers are considered to be included by reference in this License, but only as regards disclaiming warranties: any other implication that these Warranty Disclaimers may have is void and has no effect on the meaning of this License. 2. VERBATIM COPYING You may copy and distribute the Document in any medium, either commercially or noncommercially, provided that this License, the copyright notices, and the license notice saying this License applies to the Document are reproduced in all copies, and that you add no other conditions whatsoever to those of this License. You may not use technical measures to obstruct or control the reading or further copying of the copies you make or distribute. However, you may accept compensation in exchange for copies. If you distribute a large enough number of copies you must also follow the conditions in section 3. You may also lend copies, under the same conditions stated above, and you may publicly display copies. 3. COPYING IN QUANTITY If you publish printed copies (or copies in media that commonly have printed covers) of the Document, numbering more than 100, and the Document's license notice requires Cover Texts, you 64
www.LMdata.es
MANUAL DE ETHEREAL
must enclose the copies in covers that carry, clearly and legibly, all these Cover Texts: Front-Cover Texts on the front cover, and Back-Cover Texts on the back cover. Both covers must also clearly and legibly identify you as the publisher of these copies. The front cover must present the full title with all words of the title equally prominent and visible. You may add other material on the covers in addition. Copying with changes limited to the covers, as long as they preserve the title of the Document and satisfy these conditions, can be treated as verbatim copying in other respects. If the required texts for either cover are too voluminous to fit legibly, you should put the first ones listed (as many as fit reasonably) on the actual cover, and continue the rest onto adjacent pages. If you publish or distribute Opaque copies of the Document numbering more than 100, you must either include a machine-readable Transparent copy along with each Opaque copy, or state in or with each Opaque copy a computer-network location from which the general network-using public has access to download using public-standard network protocols a complete Transparent copy of the Document, free of added material. If you use the latter option, you must take reasonably prudent steps, when you begin distribution of Opaque copies in quantity, to ensure that this Transparent copy will remain thus accessible at the stated location until at least one year after the last time you distribute an Opaque copy (directly or through your agents or retailers) of that edition to the public. It is requested, but not required, that you contact the authors of the Document well before redistributing any large number of copies, to give them a chance to provide you with an updated version of the Document. 4. MODIFICATIONS You may copy and distribute a Modified Version of the Document under the conditions of sections 2 and 3 above, provided that you release the Modified Version under precisely this License, with the Modified Version filling the role of the Document, thus licensing distribution and modification of the Modified Version to whoever possesses a copy of it. In addition, you must do these things in the Modified Version: A. Use in the Title Page (and on the covers, if any) a title distinct from that of the Document, and from those of previous versions (which should, if there were any, be listed in the History section of the Document). You may use the same title as a previous version if the original publisher of that version gives permission. B. List on the Title Page, as authors, one or more persons or entities responsible for authorship of the modifications in the Modified Version, together with at least five of the principal authors of the Document (all of its principal authors, if it has fewer than five), unless they release you from this requirement. C. State on the Title page the name of the publisher of the Modified Version, as the publisher. D. Preserve all the copyright notices of the Document. E. Add an appropriate copyright notice for your modifications adjacent to the other copyright notices. F. Include, immediately after the copyright notices, a license notice giving the public permission to use the Modified Version under the terms of this License, in the form shown in the Addendum below. G. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given in the Document's license notice.
www.LMdata.es
65
MANUAL DE ETHEREAL
H. Include an unaltered copy of this License. I. Preserve the section Entitled "History", Preserve its Title, and add to it an item stating at least the title, year, new authors, and publisher of the Modified Version as given on the Title Page. If there is no section Entitled "History" in the Document, create one stating the title, year, authors, and publisher of the Document as given on its Title Page, then add an item describing the Modified Version as stated in the previous sentence. J. Preserve the network location, if any, given in the Document for public access to a Transparent copy of the Document, and likewise the network locations given in the Document for previous versions it was based on. These may be placed in the "History" section. You may omit a network location for a work that was published at least four years before the Document itself, or if the original publisher of the version it refers to gives permission. K. For any section Entitled "Acknowledgements" or "Dedications", Preserve the Title of the section, and preserve in the section all the substance and tone of each of the contributor acknowledgements and/or dedications given therein. L. Preserve all the Invariant Sections of the Document, unaltered in their text and in their titles. Section numbers or the equivalent are not considered part of the section titles. M. Delete any section Entitled "Endorsements". Such a section may not be included in the Modified Version. N. Do not retitle any existing section to be Entitled "Endorsements" or to conflict in title with any Invariant Section. O. Preserve any Warranty Disclaimers.
If the Modified Version includes new front-matter sections or appendices that qualify as Secondary Sections and contain no material copied from the Document, you may at your option designate some or all of these sections as invariant. To do this, add their titles to the list of Invariant Sections in the Modified Version's license notice. These titles must be distinct from any other section titles. You may add a section Entitled "Endorsements", provided it contains nothing but endorsements of your Modified Version by various parties--for example, statements of peer review or that the text has been approved by an organization as the authoritative definition of a standard. You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25 words as a Back-Cover Text, to the end of the list of Cover Texts in the Modified Version. Only one passage of Front-Cover Text and one of Back-Cover Text may be added by (or through arrangements made by) any one entity. If the Document already includes a cover text for the same cover, previously added by you or by arrangement made by the same entity you are acting on behalf of, you may not add another; but you may replace the old one, on explicit permission from the previous publisher that added the old one. The author(s) and publisher(s) of the Document do not by this License give permission to use their names for publicity for or to assert or imply endorsement of any Modified Version. 5. COMBINING DOCUMENTS You may combine the Document with other documents released under this License, under the terms defined in section 4 above for modified versions, provided that you include in the combination all of the Invariant Sections of all of the original documents, unmodified, and list them
66
www.LMdata.es
MANUAL DE ETHEREAL
all as Invariant Sections of your combined work in its license notice, and that you preserve all their Warranty Disclaimers. The combined work need only contain one copy of this License, and multiple identical Invariant Sections may be replaced with a single copy. If there are multiple Invariant Sections with the same name but different contents, make the title of each such section unique by adding at the end of it, in parentheses, the name of the original author or publisher of that section if known, or else a unique number. Make the same adjustment to the section titles in the list of Invariant Sections in the license notice of the combined work. In the combination, you must combine any sections Entitled "History" in the various original documents, forming one section Entitled "History"; likewise combine any sections Entitled "Acknowledgements", and any sections Entitled "Dedications". You must delete all sections Entitled "Endorsements." 6. COLLECTIONS OF DOCUMENTS You may make a collection consisting of the Document and other documents released under this License, and replace the individual copies of this License in the various documents with a single copy that is included in the collection, provided that you follow the rules of this License for verbatim copying of each of the documents in all other respects. You may extract a single document from such a collection, and distribute it individually under this License, provided you insert a copy of this License into the extracted document, and follow this License in all other respects regarding verbatim copying of that document. 7. AGGREGATION WITH INDEPENDENT WORKS A compilation of the Document or its derivatives with other separate and independent documents or works, in or on a volume of a storage or distribution medium, is called an "aggregate" if the copyright resulting from the compilation is not used to limit the legal rights of the compilation's users beyond what the individual works permit. When the Document is included in an aggregate, this License does not apply to the other works in the aggregate which are not themselves derivative works of the Document. If the Cover Text requirement of section 3 is applicable to these copies of the Document, then if the Document is less than one half of the entire aggregate, the Document's Cover Texts may be placed on covers that bracket the Document within the aggregate, or the electronic equivalent of covers if the Document is in electronic form. Otherwise they must appear on printed covers that bracket the whole aggregate. 8. TRANSLATION Translation is considered a kind of modification, so you may distribute translations of the Document under the terms of section 4. Replacing Invariant Sections with translations requires special permission from their copyright holders, but you may include translations of some or all Invariant Sections in addition to the original versions of these Invariant Sections. You may include a translation of this License, and all the license notices in the Document, and any Warranty Disclaimers, provided that you also include the original English version of this License and the original versions of those notices and disclaimers. In case of a disagreement between the translation and the original version of this License or a notice or disclaimer, the original version will prevail. If a section in the Document is Entitled "Acknowledgements", "Dedications", or "History", the requirement (section 4) to Preserve its Title (section 1) will typically require changing the actual title. 9. TERMINATION
www.LMdata.es
67
MANUAL DE ETHEREAL
You may not copy, modify, sublicense, or distribute the Document except as expressly provided for under this License. Any other attempt to copy, modify, sublicense or distribute the Document is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance. 10. FUTURE REVISIONS OF THIS LICENSE The Free Software Foundation may publish new, revised versions of the GNU Free Documentation License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns. See http://www.gnu.org/copyleft/. Each version of the License is given a distinguishing version number. If the Document specifies that a particular numbered version of this License "or any later version" applies to it, you have the option of following the terms and conditions either of that specified version or of any later version that has been published (not as a draft) by the Free Software Foundation. If the Document does not specify a version number of this License, you may choose any version ever published (not as a draft) by the Free Software Foundation.
68
www.LMdata.es
FILTROS DE VISUALIZACIN
NOMBRES DE CAMPOS DE PROTOCOLOS
2005
Ethereal
Ethereal: Display Filter Reference: Frame, Ethernet, IEEE 802.11 WLAN
Home
Search:
| Introduction | Download | Documentation | Lists | FAQ | Development
Display Filter Reference
FRAME
Protocol field name: frame Versions: 0.9.0 to 0.10.3 Field name frame.cap_len frame.file_off frame.marked frame.number frame.p2p_dir frame.pkt_len frame.ref_time frame.time frame.time_delta Type Signed 32-bit integer Boolean Unsigned 8-bit integer None Date/Time stamp Time duration File Offset Frame is marked Point-to-Point Direction This is a Ref Time frame Arrival Time Time delta from previous packet Description Versions 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.4 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.16 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9
Unsigned 32-bit integer Capture Frame Length
Unsigned 32-bit integer Frame Number Unsigned 32-bit integer Total Frame Length
frame.time_relative Time duration
Time since reference or first frame 0.9.0 to 0.10.9
ETHERNET
Protocol field name: eth Versions: 0.9.0 to 0.10.9 Field name eth.addr eth.dst eth.len eth.src eth.trailer eth.type Type Description Versions 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9
6-byte Hardware (MAC) Address Source or Destination Address 0.9.0 to 0.10.9 6-byte Hardware (MAC) Address Destination Unsigned 16-bit integer Byte array Unsigned 16-bit integer Length Trailer Type 6-byte Hardware (MAC) Address Source
IEEE 802.11 WIRELESS LAN

Protocol field name: wlan Versions: 0.9.0 to 0.10.9 Field name wlan.addr wlan.aid wlan.bssid wlan.ccmp.extiv wlan.channel wlan.da wlan.data_rate wlan.duration wlan.fc wlan.fc.ds wlan.fc.frag wlan.fc.fromds Type Unsigned 16-bit integer String Unsigned 8-bit integer Unsigned 8-bit integer Unsigned 16-bit integer Unsigned 16-bit integer Unsigned 8-bit integer Boolean Boolean Description Association ID Versions 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.4 to 0.10.9 0.9.0 to 0.10.9 0.9.4 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9
6-byte Hardware (MAC) Address Source or Destination address 0.9.0 to 0.10.9 6-byte Hardware (MAC) Address BSS Id Channel Data Rate Duration Frame Control Field DS status More Fragments From DS More Data
CCMP Ext. Initialization Vector 0.10.5 to 0.10.9
6-byte Hardware (MAC) Address Destination address
wlan.fc.moredata Boolean
IEEE 802.11 WIRELESS LAN (CONT.)

Protocol field name: wlan Versions: 0.9.0 to 0.10.9 wlan.fc.order wlan.fc.pwrmgt wlan.fc.retry wlan.fc.subtype wlan.fc.tods wlan.fc.type wlan.fc.type_subtype wlan.fc.version wlan.fc.wep wlan.fcs wlan.flags wlan.frag wlan.fragment wlan.fragment.error wlan.fragment.multipletails wlan.fragment.overlap wlan.fragment.overlap.conflict Boolean Boolean Boolean Unsigned 8-bit integer Boolean Unsigned 8-bit integer Unsigned 16-bit integer Unsigned 8-bit integer Boolean Unsigned 32-bit integer Unsigned 8-bit integer Unsigned 16-bit integer Frame number Frame number Boolean Boolean Boolean Order flag PWR MGT Retry Subtype To DS Type Type/Subtype Version WEP flag Frame check sequence Protocol Flags Fragment number 802.11 Fragment Defragmentation error Multiple tail fragments found Fragment overlap Conflicting data in fragment overlap Fragment too long 802.11 Fragments Ack Policy Priority Receiver address Reassembled 802.11 in frame Source address Sequence number Signal Strength Transmitter address TKIP Ext. Initialization Vector WEP CRC (not verified) WEP ICV Initialization Vector Key Weak IV 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.4 to 0.10.9 0.9.4 to 0.10.9 0.9.4 to 0.10.9 0.9.4 to 0.10.9 0.9.4 to 0.10.9 0.9.4 to 0.10.9 0.9.4 to 0.10.9 0.10.5 to 0.10.9 0.10.5 to 0.10.9 0.9.0 to 0.10.9 0.9.12 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.4 to 0.10.9 0.9.0 to 0.10.9 0.10.5 to 0.10.9 0.9.0 to 0.9.5 0.9.5 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.10.9
wlan.fragment.toolongfragment Boolean wlan.fragments wlan.qos.ack wlan.qos.priority wlan.ra wlan.reassembled_in wlan.sa wlan.seq wlan.signal_strength wlan.ta wlan.tkip.extiv wlan.wep.crc wlan.wep.icv wlan.wep.iv wlan.wep.key wlan.wep.weakiv None Unsigned 16-bit integer Unsigned 16-bit integer 6-byte Hardware (MAC) Address Frame number 6-byte Hardware (MAC) Address Unsigned 16-bit integer Unsigned 8-bit integer 6-byte Hardware (MAC) Address String Unsigned 32-bit integer Unsigned 32-bit integer Unsigned 24-bit integer Unsigned 8-bit integer Boolean
Please send support questions about Ethereal to the ethereal-users[AT]ethereal.com mailing list. For corrections/additions/suggestions for this web page (and not Ethereal support questions), please send email to ethereal-web[AT] ethereal.com . Last modified: Thu, January 20 2005.
Ethereal
Display Filter Reference: Internet Protocol
Home
Search:
| Introduction | Download | Documentation | Lists | FAQ | Development | Wiki
IP Routing Software
RIP, OSPF, IS-IS, BGP, CSPF, VPNs, MPLS for Switches and Routers
Network Protocol Handbook

All active protocol fully explained Well illustrated with charts & maps Ads by Goooooogle
INTERNET PROTOCOL
Protocol field name: ip Versions: 0.9.0 to 0.10.9 Field name ip.addr ip.checksum ip.checksum_bad ip.dsfield ip.dsfield.ce ip.dsfield.dscp ip.dsfield.ect ip.dst ip.flags ip.flags.df ip.flags.mf ip.flags.rb ip.frag_offset ip.fragment ip.fragment.error ip.fragment.multipletails ip.fragment.overlap ip.fragment.overlap.conflict ip.fragments ip.hdr_len ip.id ip.len ip.proto ip.reassembled_in ip.src ip.tos ip.tos.cost ip.tos.delay ip.tos.precedence ip.tos.reliability ip.tos.throughput ip.ttl ip.version Type IPv4 address Boolean Unsigned 8-bit integer Unsigned 8-bit integer Unsigned 8-bit integer Unsigned 8-bit integer IPv4 address Unsigned 8-bit integer Boolean Boolean Boolean Frame number Frame number Boolean Boolean Boolean None Unsigned 8-bit integer Description Source or Destination Address Bad Header checksum Differentiated Services field ECN-CE Differentiated Services Codepoint ECN-Capable Transport (ECT) Destination Flags Don't fragment More fragments Reserved bit IP Fragment Defragmentation error Multiple tail fragments found Fragment overlap Fragment too long IP Fragments Header Length Versions 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.10.1 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.12 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9
Unsigned 16-bit integer Header checksum
Unsigned 16-bit integer Fragment offset
Conflicting data in fragment overlap 0.9.0 to 0.10.9
ip.fragment.toolongfragment Boolean
Unsigned 16-bit integer Identification Unsigned 16-bit integer Total Length Unsigned 8-bit integer Frame number IPv4 address Unsigned 8-bit integer Boolean Boolean Unsigned 8-bit integer Boolean Boolean Unsigned 8-bit integer Unsigned 8-bit integer Protocol Reassembled IP in frame Source Type of Service Cost Delay Precedence Reliability Throughput Time to live Version
Ethereal
Display Filter Reference: Internet Protocol Version 6
Home
Search:
IPv6 Training
Advanced IP Version 6 Training 2-Day IPv6 vClasses for CCIE Prep
IPv6 Training
Customized, hands-on IPv6 training programs delivered onsite Ads by Goooooogle
INTERNET PROTOCOL VERSION 6

Protocol field name: ipv6 Versions: 0.9.0 to 0.10.9 Field name ipv6.addr ipv6.class ipv6.dst ipv6.flow ipv6.fragment ipv6.fragment.error ipv6.fragment.multipletails ipv6.fragment.overlap ipv6.fragment.overlap.conflict ipv6.fragment.toolongfragment ipv6.fragments ipv6.hlim ipv6.mipv6_a_flag ipv6.mipv6_b_flag ipv6.mipv6_d_flag ipv6.mipv6_h_flag ipv6.mipv6_home_address ipv6.mipv6_length ipv6.mipv6_life_time ipv6.mipv6_m_flag ipv6.mipv6_prefix_length ipv6.mipv6_r_flag ipv6.mipv6_refresh ipv6.mipv6_sequence_number ipv6.mipv6_status ipv6.mipv6_sub_length ipv6.mipv6_sub_type ipv6.mipv6_sub_unique_ID ipv6.mipv6_type ipv6.nxt ipv6.plen ipv6.reassembled_in ipv6.src ipv6.version Type IPv6 address Unsigned 8-bit integer IPv6 address Frame number Frame number Boolean Boolean Boolean Boolean None Unsigned 8-bit integer Boolean Boolean Boolean Boolean IPv6 address Unsigned 8-bit integer Boolean Unsigned 8-bit integer Boolean Address Traffic class Destination IPv6 Fragment Defragmentation error Multiple tail fragments found Fragment overlap Fragment too long IPv6 Fragments Hop limit Acknowledge (A) Bicasting all (B) Duplicate Address Detection (D) Home Registration (H) Home Address Option Length MAP Registration (M) Prefix Length Router (R) Description Versions 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.9.10 0.9.0 to 0.9.10 0.9.0 to 0.9.10 0.9.0 to 0.9.10 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.9.10 0.9.0 to 0.9.10 0.9.0 to 0.9.10 0.9.0 to 0.9.10 0.9.0 to 0.9.10 0.9.0 to 0.9.10 0.9.0 to 0.9.10 0.9.0 to 0.9.10 0.9.0 to 0.9.10 0.9.0 to 0.9.10 0.9.0 to 0.9.10 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.12 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9
Unsigned 32-bit integer Flowlabel
Conflicting data in fragment overlap 0.9.0 to 0.10.9
Unsigned 32-bit integer Life Time
Unsigned 32-bit integer Refresh Unsigned 16-bit integer Sequence Number Unsigned 8-bit integer Unsigned 8-bit integer Unsigned 8-bit integer Unsigned 8-bit integer Unsigned 8-bit integer Frame number IPv6 address Unsigned 8-bit integer Status Alternative Care of Address Sub-Option Length Sub-Option Type Option Type Next header Reassembled IPv6 in frame Source Version
ipv6.mipv6_sub_alternative_COA IPv6 address
Unsigned 16-bit integer Unique Identifier
Unsigned 16-bit integer Payload length
Please send support questions about Ethereal to the ethereal-users[AT]ethereal.com mailing list. For corrections/additions/suggestions for this web page (and not Ethereal support questions), please send email to ethereal-web[AT] ethereal.com .
Ethereal
Display Filter Reference: Address Resolution Protocol
Home
Search:
Ethernet Pocket Reference
Ethernet Protocols Papers
Free Handy Slide Chart with Essential Specs Free White Papers and in depth Reports on & Definitions Ethernet Protocols. Ads by Goooooogle
ADDRESS RESOLUTION PROTOCOL

Protocol field name: arp Versions: 0.9.0 to 0.10.9 Field name arp.dst.atm_num_e164 String arp.dst.atm_num_nsap Byte array arp.dst.atm_subaddr arp.dst.hlen arp.dst.htype arp.dst.hw arp.dst.hw_mac arp.dst.pln arp.dst.proto arp.dst.proto_ipv4 arp.dst.slen arp.dst.stype arp.hw.size arp.hw.type arp.opcode arp.proto.size arp.proto.type Byte array Unsigned 8-bit integer Boolean Byte array Unsigned 8-bit integer Byte array IPv4 address Unsigned 8-bit integer Boolean Unsigned 8-bit integer Unsigned 16-bit integer Unsigned 16-bit integer Unsigned 8-bit integer Unsigned 16-bit integer Type Description Target ATM number (E.164) Target ATM number (NSAP) Target ATM subaddress Target ATM number length Target ATM number type Target hardware address Target protocol size Target protocol address Target IP address Target ATM subaddress type Hardware size Hardware type Opcode Protocol size Protocol type Sender ATM number (E.164) Sender ATM number (NSAP) Sender ATM subaddress Sender ATM number length Sender ATM number type Sender hardware address Sender protocol size Sender protocol address Sender IP address Sender ATM subaddress type Versions 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.2 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.2 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.2 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.2 to 0.10.9 0.9.0 to 0.10.9
6-byte Hardware (MAC) Address Target MAC address
Target ATM subaddress length 0.9.0 to 0.10.9
arp.src.atm_num_e164 String arp.src.atm_num_nsap Byte array arp.src.atm_subaddr arp.src.hlen arp.src.htype arp.src.hw arp.src.hw_mac arp.src.pln arp.src.proto arp.src.proto_ipv4 arp.src.slen arp.src.stype Byte array Unsigned 8-bit integer Boolean Byte array Unsigned 8-bit integer Byte array IPv4 address Unsigned 8-bit integer Boolean
6-byte Hardware (MAC) Address Sender MAC address
Sender ATM subaddress length 0.9.0 to 0.10.9
Ethereal
Ethereal: Display Filter Reference: Internet Control Message Protocol (v4 & v6)
Home
Search:
Results matter.
Your investment in United Way has the power to get results.
Public Service Ads by Google
INTERNET CONTROL MESSAGE PROTOCOL

Protocol field name: icmp Versions: 0.9.0 to 0.10.9 Field name icmp.checksum icmp.checksum_bad icmp.code icmp.ident icmp.mip.b icmp.mip.challenge icmp.mip.coa icmp.mip.f icmp.mip.flags icmp.mip.g icmp.mip.h icmp.mip.length icmp.mip.life icmp.mip.m icmp.mip.r icmp.mip.res icmp.mip.reserved icmp.mip.seq icmp.mip.type icmp.mip.v icmp.mtu icmp.redir_gw icmp.seq icmp.type Boolean Unsigned 8-bit integer Boolean Byte array IPv4 address Boolean Unsigned 8-bit integer Boolean Boolean Unsigned 8-bit integer Boolean Boolean Boolean Unsigned 8-bit integer Unsigned 8-bit integer Boolean IPv4 address Unsigned 8-bit integer Type Description Bad Checksum Code Busy Challenge Care-Of-Address Foreign Agent Flags GRE Home Agent Length Versions 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.16 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.16 to 0.10.9 0.9.16 to 0.10.9 0.9.16 to 0.10.9 0.9.0 to 0.10.9
Unsigned 16-bit integer Checksum
Unsigned 16-bit integer Identifier
Unsigned 16-bit integer Registration Lifetime Prefix Length Reserved Reserved Extension Type VJ Comp Gateway address Type
Minimal Encapsulation 0.9.0 to 0.10.9 Registration Required 0.9.0 to 0.10.9
icmp.mip.prefixlength Unsigned 8-bit integer
Unsigned 16-bit integer Sequence Number
Unsigned 16-bit integer MTU of next hop Unsigned 16-bit integer Sequence number
INTERNET CONTROL MESSAGE PROTOCOL V6

Protocol field name: icmpv6 Versions: 0.9.0 to 0.10.9 Field name icmpv6.checksum icmpv6.code icmpv6.type icmpv6.checksum_bad Boolean Unsigned 8-bit integer Unsigned 8-bit integer icmpv6.haad.ha_addrs IPv6 address Type Description Bad Checksum Code Type Versions 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9
Unsigned 16-bit integer Checksum
Home Agent Addresses 0.10.1 to 0.10.9
Please send support questions about Ethereal to the ethereal-users[AT]ethereal.com mailing list. For corrections/additions/suggestions for this web page (and not Ethereal support questions), please send email to ethereal-web[AT]
Ethereal
Ethereal: Display Filter Reference: TCP, UDP
Home
Search:
TRANSMISSION CONTROL PROTOCOL

Protocol field name: tcp Versions: 0.9.0 to 0.10.9 Field name tcp.ack tcp.analysis.ack_lost_segment tcp.analysis.ack_rtt tcp.analysis.acks_frame tcp.analysis.duplicate_ack tcp.analysis.duplicate_ack_frame tcp.analysis.duplicate_ack_num tcp.analysis.fast_retransmission tcp.analysis.flags tcp.analysis.keep_alive tcp.analysis.keep_alive_ack tcp.analysis.lost_segment tcp.analysis.out_of_order tcp.analysis.retransmission tcp.analysis.window_full tcp.analysis.window_update tcp.analysis.zero_window tcp.analysis.zero_window_probe Type Unsigned 32-bit integer None Time duration Frame number None Frame number Unsigned 32-bit integer None None None None None None None None None None None Unsigned 16-bit integer Boolean Frame number Unsigned 16-bit integer Unsigned 8-bit integer Boolean Boolean Boolean Boolean Boolean Boolean Boolean Boolean Unsigned 8-bit integer Unsigned 32-bit integer Description Acknowledgement number ACKed Lost Packet The RTT to ACK the segment was This is an ACK to the segment in frame Duplicate ACK Duplicate to the ACK in frame Duplicate ACK # Fast Retransmission TCP Analysis Flags Keep Alive Keep Alive ACK Previous Segment Lost Out Of Order Retransmission Window full Window update Zero Window Zero Window Probe Zero Window Violation Checksum Bad Checksum This is a continuation to the PDU in frame Destination Port Flags Acknowledgment Congestion Window Reduced (CWR) ECN-Echo Fin Push Reset Syn Urgent Header Length TCP Segment Len Versions 0.9.0 to 0.10.9 0.9.8 to 0.10.9 0.9.6 to 0.10.9 0.9.6 to 0.10.9 0.9.8 to 0.10.9 0.9.12 to 0.10.9 0.9.12 to 0.10.9 0.9.16 to 0.10.9 0.9.7 to 0.10.9 0.9.8 to 0.10.9 0.9.15 to 0.10.9 0.9.8 to 0.10.9 0.9.16 to 0.10.9 0.9.8 to 0.10.9 0.10.9 0.10.8 to 0.10.9 0.9.8 to 0.10.9 0.9.8 to 0.10.9 0.9.8 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.10.3 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.4 to 0.10.9
tcp.analysis.zero_window_violation None tcp.checksum tcp.checksum_bad tcp.continuation_to tcp.dstport tcp.flags tcp.flags.ack tcp.flags.cwr tcp.flags.ecn tcp.flags.fin tcp.flags.push tcp.flags.reset tcp.flags.syn tcp.flags.urg tcp.hdr_len tcp.len
TRANSMISSION CONTROL PROTOCOL (CONT.)

Protocol field name: tcp Versions: 0.9.0 to 0.10.9 tcp.nxtseq tcp.options.cc tcp.options.ccecho tcp.options.ccnew tcp.options.echo tcp.options.echo_reply tcp.options.md5 tcp.options.mss tcp.options.mss_val tcp.options.sack tcp.options.sack_le tcp.options.sack_perm tcp.options.sack_re tcp.options.time_stamp tcp.options.wscale tcp.options.wscale_val tcp.pdu.last_frame tcp.pdu.time tcp.port tcp.reassembled_in tcp.segment tcp.segment.error tcp.segment.multipletails tcp.segment.overlap tcp.segment.overlap.conflict tcp.segments tcp.seq tcp.srcport tcp.urgent_pointer tcp.window_size Unsigned 32-bit integer Next sequence number Boolean Boolean Boolean Boolean Boolean Boolean Boolean Boolean Boolean Boolean Boolean Unsigned 8-bit integer Frame number Time duration Frame number Frame number Frame number Boolean Boolean Boolean None TCP CC Option TCP CC Echo Option TCP CC New Option TCP Echo Option TCP Echo Reply Option TCP MD5 Option TCP MSS Option TCP Sack Option TCP Sack Perm Option TCP Time Stamp Option TCP Window Scale Option TCP Windows Scale Option Value Last frame of this PDU 0.9.0 to 0.10.9 0.9.10 to 0.10.9 0.9.10 to 0.10.9 0.9.10 to 0.10.9 0.9.10 to 0.10.9 0.9.10 to 0.10.9 0.9.10 to 0.10.9 0.9.10 to 0.10.9 0.9.10 to 0.10.9 0.9.10 to 0.10.9 0.9.10 to 0.10.9 0.9.10 to 0.10.9 0.9.10 to 0.10.9 0.9.10 to 0.10.9 0.9.10 to 0.10.9 0.9.10 to 0.10.9 0.10.8 to 0.10.9 0.9.0 to 0.10.9 0.9.15 to 0.10.9 0.9.9 to 0.10.9 0.9.9 to 0.10.9 0.9.9 to 0.10.9 0.9.9 to 0.10.9 0.9.9 to 0.10.9 0.9.9 to 0.10.9 0.9.9 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9
Unsigned 16-bit integer TCP MSS Option Value Unsigned 32-bit integer TCP Sack Left Edge Unsigned 32-bit integer TCP Sack Right Edge
Time until the last segment of this PDU 0.10.8 to 0.10.9 Reassembled PDU in frame TCP Segment Reassembling error Multiple tail segments found Segment overlap Conflicting data in segment overlap Segment too long TCP Segments
Unsigned 16-bit integer Source or Destination Port
tcp.segment.toolongfragment Boolean
Unsigned 32-bit integer Sequence number Unsigned 16-bit integer Source Port Unsigned 16-bit integer Urgent pointer Unsigned 32-bit integer Window size
USER DATAGRAM PROTOCOL

Protocol field name: udp Versions: 0.9.0 to 0.10.9 Field name udp.checksum udp.dstport udp.length udp.port udp.srcport udp.checksum_bad Boolean Type Description Bad Checksum Versions 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9
Unsigned 16-bit integer Checksum Unsigned 16-bit integer Destination Port Unsigned 16-bit integer Length Unsigned 16-bit integer Source Port
Unsigned 16-bit integer Source or Destination Port 0.9.0 to 0.10.9
Ethereal
Display Filter Reference: Hypertext Transfer Protocol
Home
Search:
IP Routing Software
RIP, OSPF, IS-IS, BGP, CSPF, VPNs, MPLS for Switches and Routers
https viewer
Award winning Internet Explorer plug-in to view http and https Ads by Goooooogle
HYPERTEXT TRANSFER PROTOCOL

Protocol field name: http Versions: 0.9.0 to 0.10.9 Field name http.accept http.accept_encoding http.accept_language http.authbasic http.authorization http.cache_control http.connection http.content_encoding http.content_length http.content_type http.cookie http.date http.host http.last_modified http.location http.notification String String String String String String String String String String String String String String String Boolean Type Description Accept Accept Encoding Accept-Language Credentials Authorization Cache-Control Connection Content-Encoding Content-Length Content-Type Cookie Date Host Last-Modified Location Notification Versions 0.10.8 to 0.10.9 0.10.8 to 0.10.9 0.10.8 to 0.10.9 0.9.13 to 0.10.9 0.10.0 to 0.10.9 0.10.8 to 0.10.9 0.10.8 to 0.10.9 0.10.2 to 0.10.9 0.10.1 to 0.10.9 0.10.0 to 0.10.9 0.10.8 to 0.10.9 0.10.8 to 0.10.9 0.10.8 to 0.10.9 0.10.8 to 0.10.9 0.10.8 to 0.10.9 0.9.0 to 0.10.9
http.proxy_authenticate String http.proxy_authorization String http.referer http.request http.request.method http.response http.response.code http.server http.set_cookie http.transfer_encoding http.user_agent http.www_authenticate String Boolean String Boolean String String String String String
Proxy-Authenticate 0.10.0 to 0.10.9 Proxy-Authorization 0.10.0 to 0.10.9 Referer Request Request Method Response Server Set-Cookie Transfer-Encoding User-Agent 0.10.8 to 0.10.9 0.9.0 to 0.10.9 0.9.13 to 0.10.9 0.9.0 to 0.10.9 0.9.15 to 0.10.9 0.10.8 to 0.10.9 0.10.8 to 0.10.9 0.10.2 to 0.10.9 0.10.8 to 0.10.9
Unsigned 16-bit integer Response Code
WWW-Authenticate 0.10.0 to 0.10.9
Ethereal
Display Filter Reference: Domain Name Service
Home
Search:
Speedera Networks
Free Dynamic DNS
Global Whole Site Delivery Services Security. ZoneEdit's dynamic DNS service is Performance. Analytics. easy/reliable & free up to 5 hosts. Ads by Goooooogle
DOMAIN NAME SERVICE

Protocol field name: dns Versions: 0.9.0 to 0.10.9 Field name dns.count.add_rr dns.count.answers dns.count.auth_rr dns.count.queries dns.count.updates dns.count.zones dns.flags Type Description Versions 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.10.8 to 0.10.9 0.9.0 to 0.10.9 0.10.8 to 0.10.9 0.10.8 to 0.10.9 0.9.0 to 0.10.9 0.9.4 to 0.10.9 0.9.4 to 0.10.9 0.9.4 to 0.10.9 0.9.4 to 0.10.9 0.9.4 to 0.10.9 0.9.4 to 0.10.9 0.9.4 to 0.10.9 0.9.4 to 0.10.9 0.9.13 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.10.9 0.10.9 0.10.9 0.9.0 to 0.9.4 0.10.9 0.10.9 0.10.9 0.10.9 0.10.9 0.9.0 to 0.9.4
Unsigned 16-bit integer Additional RRs Unsigned 16-bit integer Answer RRs Unsigned 16-bit integer Authority RRs Unsigned 16-bit integer Questions Unsigned 16-bit integer Updates Unsigned 16-bit integer Zones Unsigned 16-bit integer Flags Answer authenticated Authoritative
dns.count.prerequisites Unsigned 16-bit integer Prerequisites
dns.flags.authenticated Boolean dns.flags.authoritative Boolean dns.flags.checkdisable Boolean dns.flags.opcode dns.flags.rcode dns.flags.recavail dns.flags.recdesired dns.flags.response dns.flags.truncated dns.flags.z dns.id dns.length dns.qry.class dns.qry.name dns.qry.type dns.query dns.resp.class dns.resp.len dns.resp.name dns.resp.ttl dns.resp.type dns.response
Non-authenticated data OK 0.9.4 to 0.10.9
Unsigned 16-bit integer Opcode Unsigned 16-bit integer Reply code Boolean Boolean Boolean Boolean Boolean Recursion available Recursion desired Response Truncated Z
Unsigned 16-bit integer Transaction ID Unsigned 16-bit integer Length Unsigned 16-bit integer Class String Boolean Name Query Unsigned 16-bit integer Type Unsigned 16-bit integer Class Unsigned 32-bit integer Data length String Name Unsigned 32-bit integer Time to live Unsigned 16-bit integer Type Boolean Response
Ethereal
Ethereal: Display Filter Reference: FTP, SMTP, POP
Home
Search:
FILE TRANSFER PROTOCOL (FTP)

Protocol field name: ftp Versions: 0.9.0 to 0.10.9 Field name ftp.active.cip ftp.active.nat ftp.active.port ftp.passive.ip ftp.passive.nat ftp.passive.port ftp.reponse.arg ftp.reponse.data ftp.request ftp.request.arg ftp.request.data ftp.response ftp.response.arg ftp.response.code Boolean IPv4 address Boolean String String Boolean String String Boolean String Type IPv4 address Description Active IP address Active IP NAT Versions 0.9.16 to 0.10.9 0.9.16 to 0.10.9 0.9.16 to 0.10.9 0.9.16 to 0.10.9 0.9.16 to 0.10.9 0.9.4 to 0.9.6 0.9.0 to 0.9.4 0.9.0 to 0.10.9 0.9.4 to 0.10.9 0.9.0 to 0.9.4 0.9.0 to 0.10.9 0.9.6 to 0.10.9 0.9.0 to 0.10.9
Unsigned 16-bit integer Active port Passive IP NAT Response arg Response data Request Request arg Request data Response Response arg
Passive IP address 0.9.16 to 0.10.9
Unsigned 16-bit integer Passive port
ftp.request.command String
Request command 0.9.0 to 0.10.9
Unsigned 32-bit integer Response code
FTP DATA
Protocol field name: ftp-data Versions: 0.9.0 to 0.10.9
SIMPLE MAIL TRANSFER PROTOCOL

Protocol field name: smtp Versions: 0.9.0 to 0.10.9 Field name smtp.req Boolean smtp.req.command String smtp.req.parameter String smtp.rsp Boolean Type Description Request Command Request parameter Response Versions 0.9.0 to 0.10.9 0.9.6 to 0.10.9 0.9.6 to 0.10.9 0.9.6 to 0.10.9 0.9.0 to 0.10.9
smtp.response.code Unsigned 32-bit integer Response code smtp.rsp.parameter String
Response parameter 0.9.6 to 0.10.9
POST OFFICE PROTOCOL

Protocol field name: pop Versions: 0.9.0 to 0.10.9 Field name pop.request Type Description Versions 0.9.0 to 0.10.9 0.9.0 to 0.10.9
Boolean Request
pop.response Boolean Response
Please send support questions about Ethereal to the ethereal-users[AT]ethereal.com mailing list. For corrections/additions/suggestions for this web page (and not Ethereal support questions), please send email to ethereal-web[AT] ethereal.com .
Ethereal
Display Filter Reference: Simple Network Management Protocol
Home
Search:
Snmp Trap Oid

Try Our Top SNMP solutions For Free Complete End-To-End Solutions!
SNMP Test Software

Easily automate your SNMP testing with over 1,400 Tests and 12 Tools Ads by Goooooogle
SIMPLE NETWORK MANAGEMENT PROTOCOL

Protocol field name: snmp Versions: 0.9.0 to 0.10.9 Field name snmp.agent snmp.community snmp.enterprise snmp.error snmp.id snmp.oid snmp.pdutype snmp.timestamp snmp.traptype snmp.version snmpv3.flags snmpv3.flags.auth String String Unsigned 8-bit integer String Unsigned 8-bit integer Unsigned 8-bit integer Unsigned 8-bit integer Unsigned 8-bit integer Unsigned 8-bit integer Boolean Type IPv4 address Description Agent address Community Enterprise Error Status Object identifier PDU type Timestamp Trap type Version SNMPv3 Flags Authenticated Encrypted Reportable Versions 0.9.12 to 0.10.9 0.9.12 to 0.10.9 0.9.12 to 0.10.9 0.9.13 to 0.10.9 0.9.14 to 0.10.9 0.9.13 to 0.10.9 0.9.12 to 0.10.9 0.9.12 to 0.10.9 0.9.12 to 0.10.9 0.9.12 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9 0.9.0 to 0.10.9
Unsigned 32-bit integer Request Id
snmp.spectraptype Unsigned 32-bit integer Specific trap type 0.9.12 to 0.10.9
snmpv3.flags.crypt Boolean snmpv3.flags.report Boolean

P02 Ethereal

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

P02 Ethereal

Cargado por

Copyright:

Formatos disponibles

MANUAL DE ETHEREAL

L&M Data Communications

MANUAL DE ETHEREAL INSTALACIN Y USO

2 COMPILANDO E INSTALANDO ETHEREAL

4 GNU FREE DOCUMENTATION LICENSE

L&M Data Communications

L&M Data Communications

L&M Data Communications

L&M Data Communications

L&M Data Communications

L&M Data Communications

L&M Data Communications

L&M Data Communications

L&M Data Communications

1.2 El Estado de Ethereal

1.3 Desarrollo y Mantenimiento de Ethereal

1.4 Plataformas sobre las que corre Ethereal

1.5 Dnde conseguir Ethereal

L&M Data Communications

1.6 Informando de problemas y Consiguiendo ayuda

Se debera enviar el traceback a la lista de mailing ethereal-dev.

2 Compilando e Instalando Ethereal

L&M Data Communications

2.2 Obteniendo las distribuciones fuente y binaria

2.3 Antes de compilar Ethereal

L&M Data Communications

apt-get install ethereal

2.4 Compilando desde el Fuente bajo UNIX

L&M Data Communications

2.5 Instalando los binarios bajo UNIX

2.6 Instalando desde RPMs bajo Linux

2.7 Instalando desde debs bajo Debian

2.8 Instalando Ethereal bajo Windows

L&M Data Communications

En realidad, la mayor parte de laas funcionalidades de Ethereal se ven en este captulo.

3.2 Iniciar Ethereal

L&M Data Communications

L&M Data Communications

L&M Data Communications

L&M Data Communications

3.3 Los menus de Ethereal

L&M Data Communications

3.4 El men File de Ethereal

L&M Data Communications

MANUAL DE ETHEREAL Tabla 3-1. Men File

Open Recent Merge Close Save

L&M Data Communications

3.5 El men Edit de Ethereal

Tabla 3-2. Men Edit

Elemento Find Packet...

Find Next Find Previous Time Reference

Elemento Mark All Packets Unmark All Packets Preferences...

3.6 El men View de Ethereal

Tabla 3-5. Men View

Elemento Main Toolbar Filter Toolbar Statusbar Packet List

L&M Data Communications

Elemento Packet Details Packet Bytes Time Display Format

L&M Data Communications

Expand All Expand Tree Coloring Rules

Show Packet in New Window Reload

L&M Data Communications

3.7 El men Go de Ethereal

Tabla 3-2. Men Go

Elemento Back Forward Go to First Packet Go to Last Packet Go to Packet