P02 Ethereal

MANUAL DE ETHEREAL
INSTALACIÓN Y USO
Ricardo Díez Antequera
L&M Data Communications 2005

MANUAL DE ETHEREAL
INSTALACIÓN Y USO
Copyright (c) 2005 L&M Data Communications S. A.
Permission is granted to copy, distribute and/or modify this document under the terms of the
GNU Free Documentation License, Version 1.2 or any later version published by the Free Software
Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy
of the license is included in the section entitled "GNU Free Documentation License".
MANUAL DE ETHEREAL
Tabla de contenidos
1. INTRODUCCIÓN 4
1.1 ¿Qué es Ethereal? 4
1.2 El Estado de Ethereal 12
1.3 Desarrollo y Mantenimiento de Ethereal 12
1.4 Plataformas sobre las que corre Ethereal 12
1.5 Dónde conseguir Ethereal 12
1.6 Informando de problemas y Consiguiendo ayuda 13
2 COMPILANDO E INSTALANDO ETHEREAL 13
2.1 Introducción 13
2.2 Obteniendo las distribuciones fuente y binaria 14
2.3 Antes de compilar Ethereal 14
2.4 Compilando desde el Fuente bajo UNIX 16
2.5 Instalando los binarios bajo UNIX 17
2.6 Instalando desde RPMs bajo Linux 17
2.7 Instalando desde debs bajo Debian 17
2.8 Instalando Ethereal bajo Windows 17
3 USANDO ETHEREAL 18
3.1 Introducción 18
3.2 Iniciar Ethereal 18
3.3 Los menus de Ethereal 22
3.4 El menú File de Ethereal 23
3.5 El menú Edit de Ethereal 25
3.6 El menú View de Ethereal 26
3.7 El menú Go de Ethereal 29
3.8 El menú Capture de Ethereal 30
3.9 El menú Analyze de Ethereal 31
3.10 El menú Statistics de Ethereal 33
3.11 El menú Help de Ethereal 37
3.12 Capturando paquetes con Ethereal 37
Cuadro de diálogo Preferencias de Captura 38
3.13 Filtrando mientras se captura 40
3.14 Viendo los paquetes que se han capturado 41
3.15 Guardando los paquetes capturados 45
Cuadro de diálogo Guardar Fichero de captura Como 45
3.16 Leyendo ficheros de captura 47
El cuadro de diálogo Abrir Fichero 48
3.17 Filtrando paquetes mientras se ven 49
Construyendo expresiones de filtro 50
3.18 Coloreado de paquetes 53
3.19 Encontrando paquetes 55
3.20 Siguiendo flujos TCP 56
3.21 Definiendo y guardando filtros 57
3.22 El cuadro de diálogo Añadir Expresión 58
3.23 Imprimiendo paquetes 60
3.24 Preferencias de Ethereal 61
4 GNU FREE DOCUMENTATION LICENSE 63
© L&M Data Communications www.LMdata.es 3

MANUAL DE ETHEREAL
1. Introducción
1.1 ¿Qué es Ethereal?
Todos los administradores de red necesitan tarde o temprano una herramienta que pueda
capturar paquetes de la red y analizarlos. En el pasado, estas herramientas eran muy caras,
propietarias, o ambas cosas. Sin embargo, con la lleagada de Ethereal, todo eso ha cambiado.
Ethereal es quizá uno de los mejores sniffers open source disponibles hoy en día. Algunas de sus
características son:
• Disponible para UNIX y para Windows.
• Captura y muestra paquetes desde cualquier interface en un sistema UNIX.
• Muestra paquetes capturados por otros programas de captura, como:
o tcpdump (libpcap/WinPcap)
o Cinco Networks NetXRay
o Sniffer y Sniffer Pro de Network Associates
! Para DOS o Windows
! Comprimido o no
o NetXray
o LANalyzer de Novell
o Shomiti/Finesar Surveyor
o iptrace de AIX
o AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek
o WAN/LAN Analyzer de RADCOM
o Productos de acceso Lucent/Ascend
o nettl de HP-UX
o Salida en formato IPLog del Cisco Secure Intrusion Detection System
o Logs pppd (formato pppdump)
o Utilidad TCPIPtrace de VMS
o Salida de texto de la utilidad DBS Etherwatch VMS
o Ficheros de capura de tráfico de Visual UpTime de Visual Networks
o Salida debug de CoSine L2
o Routers ISDN de Toshiba
o Utilidad i4btrace de ISDN4BSD
o Microsoft Network Monitor
o snoop y atmsnoop de Sun
• Guarda las capturas en varios formatos:
o libpcap (tcpdump)
4 © L&M Data Communications www.LMdata.es

MANUAL DE ETHEREAL
o Sun snoop
o Microsoft Network Monitor
o Network Associates Sniffer
• Filtra paquetes por muchos criterios.
• Busca paquetes usando filtros.
• Colorea paquetes basándose en filtros
Sin embargo, para apreciar realmente su potencia, lo mejor es empezar a utilizarlo.
La Figura 1-1 muestra Ethereal habiendo capturado algunos paquetes y esperando que el usuario
examine los paquetes.
Figura 1-1. Ethereal captura paquetes y permite examinar su contenido.
Además, como todo el código fuente de Ethereal está gratuitamente disponible, es muy fácil
añadir nuevos protocolos a Ethereal, así como módulos, o modificar el código fuente.
Hay actualmente decodificadores de protocolo (o disectores, como se les llama en Ethereal),
para un gran número de protocolos, incluyendo:
• 802.1q Virtual LAN
• 802.1x Authentication
• AOL Instant Messenger
• ATM
• ATM LAN Emulation
• Ad hoc On-demand Distance Vector Routing Protocol
• Ad hoc On-demand Distance Vector Routing Protocol v6
• Address Resolution Protocol
• Aggregate Server Access Protocol

MANUAL DE ETHEREAL
• Andrew File System (AFS)

• Apache JServ Protocol v1.3
• AppleTalk Filing Protocol
• AppleTalk Session Protocol
• AppleTalk Transaction Protocol packet
• Appletalk Address Resolution Protocol
• Async data over ISDN (V.120)
• Authentication Header
• BACnet Virtual Link Control
• Banyan Vines
• Banyan Vines Fragmentation Protocol
• Banyan Vines SPP
• Blocks Extensible Exchange Protocol
• Parámetros Boot
• Bootstrap Protocol
• Border Gateway Protocol
• Building Automation and Control Network APDU
• Building Automation and Control Network NPDU
• Checkpoint FW-1
• Cisco Auto-RP
• Cisco Discovery Protocol
• Cisco Group Management Protocol
• Cisco HDLC
• Cisco Hot Standby Router Protocol
• Cisco ISL
• Cisco Interior Gateway Routing Protocol
• Cisco SLARP
• CoSine IPNOS L2 debug output
• Common Open Policy Service
• Common Unix Printing System (CUPS) Browsing Protocol
• DCE RPC
• DCE/RPC Conversation Manager
• DCE/RPC Endpoint Mapper
• DCE/RPC Remote Management
• DCOM OXID Resolver
• DCOM Remote Activation
• DEC Spanning Tree Protocol
• DHCPv6
• Data
• Data Link SWitching
• Data Stream Interface
• Datagram Delivery Protocol
• Diameter Protocol
• Distance Vector Multicast Routing Protocol
• Distributed Checksum Clearinghouse Prototocl
• Domain Name Service
• Dynamic DNS Tools Protocol

MANUAL DE ETHEREAL
• Encapsulating Security Payload

• Enhanced Interior Gateway Routing Protocol
• Ethernet
• Extensible Authentication Protocol
• Datos FTP
• Fiber Distributed Data Interface
• File Transfer Protocol (FTP)
• Trama
• Frame Relay
• GARP Multicast Registration Protocol
• GARP VLAN Registration Protocol
• GPRS Tunneling Protocol
• GPRS Tunnelling Protocol v0
• GPRS Tunnelling Protocol v1
• General Inter-ORB Protocol
• Generic Routing Encapsulation
• Gnutella Protocol
• Hummingbird NFS Daemon
• Hypertext Transfer Protocol
• ICQ Protocol
• IEEE 802.11 wireless LAN
• Trama IEEE 802.11 wireless LAN management
• ILMI
• IP Payload Compression
• IPX Message
• IPX Routing Information Protocol
• ISDN Q.921-User Adaptation Layer
• ISDN User Part
• ISO 10589 ISIS InTRA Domain Routeing Information Exchange Protocol
• ISO 8073 COTP Connection-Oriented Transport Protocol
• ISO 8473 CLNP ConnectionLess Network Protocol
• ISO 8602 CLTP ConnectionLess Transport Protocol
• ISO 9542 ESIS Routeing Information Exchange Protocol
• ITU-T Recommendation H.261
• Inter-Access-Point Protocol
• Internet Cache Protocol
• Internet Content Adaptation Protocol
• Internet Control Message Protocol
• Internet Control Message Protocol v6
• Internet Group Management Protocol
• Internet Message Access Protocol
• Internet Printing Protocol
• Internet Protocol
• Internet Protocol Version 6
• Internet Relay Chat
• Internet Security Association and Key Management Protocol
• Internetwork Packet eXchange

MANUAL DE ETHEREAL
• Java RMI
• Java Serialization
• Kerberos
• Kernel Lock Manager
• Label Distribution Protocol
• Layer 2 Tunneling Protocol
• Lightweight Directory Access Protocol
• Line Printer Daemon Protocol
• Link Access Procedure Balanced (LAPB)
• Link Access Procedure Balanced Ethernet (LAPBETHER)
• Link Access Procedure, Channel D (LAPD)
• Link Aggregation Control Protocol
• Link Management Protocol (LMP)
• Captura Linux cooked-mode
• Local Management Interface
• LocalTalk Link Access Protocol
• Logical-Link Control
• Lucent/Ascend debug output
• MMS Message Encapsulation
• MS Proxy Protocol
• MSNIP: Multicast Source Notification of Interest Protocol
• MTP 2 Transparent Proxy
• MTP 2 User Adaptation Layer
• MTP 3 User Adaptation Layer
• MTP2 Peer Adaptation Layer
• Malformed Packet
• Message Transfer Part Level 2
• Message Transfer Part Level 3
• Microsoft Distributed File System
• Microsoft Exchange MAPI
• Microsoft Local Security Architecture
• Microsoft Network Logon
• Microsoft Registry
• Microsoft Security Account Manager
• Microsoft Server Service
• Microsoft Spool Subsystem
• Microsoft Telephony API Service
• Microsoft Windows Browser Protocol
• Microsoft Windows Lanman Remote API Protocol
• Microsoft Windows Logon Protocol
• Microsoft Workstation Service
• Mobile IP
• Modbus/TCP
• Mount Service
• MultiProtocol Label Switching Header
• Multicast Router DISCovery protocol
• Multicast Source Discovery Protocol

MANUAL DE ETHEREAL
• NFSACL
• NFSAUTH
• NIS+
• NIS+ Callback
• NSPI
• NTLM Secure Service Provider
• Name Binding Protocol
• Name Management Protocol over IPX
• NetBIOS
• NetBIOS Datagram Service
• NetBIOS Name Service
• NetBIOS Session Service
• NetBIOS over IPX
• NetWare Core Protocol
• Network Data Management Protocol
• Network File System
• Network Lock Manager Protocol
• Network News Transfer Protocol
• Network Status Monitor CallBack Protocol
• Network Status Monitor Protocol
• Network Time Protocol
• Null/Loopback
• Open Shortest Path First
• Fichero log de OpenBSD Packet Filter
• PC NFS
• PPP Bandwidth Allocation Control Protocol
• PPP Bandwidth Allocation Protocol
• PPP Callback Control Protocol
• PPP Challenge Handshake Authentication Protocol
• PPP Compressed Datagram
• PPP Compression Control Protocol
• PPP IP Control Protocol
• PPP Link Control Protocol
• PPP Multilink Protocol
• PPP Multiplexing
• PPP Password Authentication Protocol
• PPP VJ Compression
• PPP-over-Ethernet Discovery
• PPP-over-Ethernet Session
• PPPMux Control Protocol
• Point-to-Point Protocol
• Point-to-Point Tunnelling Protocol
• Portmap
• Post Office Protocol
• Pragmatic General Multicast
• Prism
• Protocol Independent Multicast

MANUAL DE ETHEREAL
• Q.2931
• Q.931
• Quake II Network Protocol
• Quake III Arena Network Protocol
• Quake Network Protocol
• QuakeWorld Network Protocol
• Qualified Logical Link Control
• RFC 2250 MPEG1
• RIPng
• RPC Browser
• RSTAT
• RX Protocol
• Radio Access Network Application Part
• Radius Protocol
• Raw packet data
• Real Time Streaming Protocol
• Real-Time Transport Protocol
• Real-time Transport Control Protocol
• Remote Procedure Call
• Remote Quota
• Remote Shell
• Remote Wall protocol
• Resource ReserVation Protocol (RSVP)
• Rlogin Protocol
• Routing Information Protocol
• Routing Table Maintenance Protocol
• SADMIND
• SCSI
• SMB (Server Message Block Protocol)
• SMB MailSlot Protocol
• SMB Pipe Protocol
• SNA-over-Ethernet
• SNMP Multiplex Protocol
• SPRAY
• SS7 SCCP-User Adaptation Layer
• SSCOP
• Secure Socket Layer
• Sequenced Packet eXchange
• Service Advertisement Protocol
• Service Location Protocol
• Session Announcement Protocol
• Session Description Protocol
• Session Initiation Protocol
• Short Frame
• Short Message Peer to Peer
• Signalling Connection Control Part
• Simple Mail Transfer Protocol

MANUAL DE ETHEREAL
• Simple Network Management Protocol

• Sinec H1 Protocol
• Skinny Client Control Protocol
• SliMP3 Communication Protocol
• Socks Protocol
• Spanning Tree Protocol
• Stream Control Transmission Protocol
• Syslog message
• Systems Network Architecture
• TACACS
• TACACS+
• TPKT
• Telnet
• Time Protocol
• Time Synchronization Protocol
• Token-Ring
• Token-Ring Media Access Control
• Transmission Control Protocol
• Transparent Network Substrate Protocol
• Trivial File Transfer Protocol
• Universal Computer Protocol
• Unreassembled Fragmented Packet
• User Datagram Protocol
• Virtual Router Redundancy Protocol
• Virtual Trunking Protocol
• Web Cache Coordination Protocol
• Wellfleet Compression
• Who
• Wireless Session Protocol
• Wireless Transaction Protocol
• Wireless Transport Layer Security
• X Display Manager Control Protocol
• X.25
• X.25 over TCP
• X11
• Xyplex
• Yahoo Messenger Protocol
• Yellow Pages Bind
• Yellow Pages Passwd
• Yellow Pages Service
• Yellow Pages Transfer
• Zebra Protocol
• Zone Information Protocol
• iSCSI

MANUAL DE ETHEREAL
1.2 El Estado de Ethereal

Ethereal es un proyecto de software open source, liberado bajo la Licencia Pública GNU (GPL).
Todo el código fuente está gratuitamente disponible bajo la GPL. Se puede modificar Ethereal para
adecuarlo a las propias necesidades.
El código fuente de Ethereal y los kits binarios para algunas plataformas están disponibles en el
web de Ethereal: http://www.ethereal.com.
1.3 Desarrollo y Mantenimiento de Ethereal

Ethereal fue inicialmente desarrollado por Gerald Combs. El desarrollo y mantenimiento actual
de Ethereal lo lleva el equipo Ethereal, un grupo que arregla bugs y proporciona nuevas
funcionalidades.
Hay también un gran número de gente que ha contribuido con disectores de protocolo para
Ethereal, y se espera que esto continuará. Se puede encontrar una lista de la gente que ha
contribuido al código de Ethereal en el enlace “Authors” en el web.
1.4 Plataformas sobre las que corre Ethereal

Ethereal actualmente funciona en la mayoría de las plataformas UNIX y las distintas plataformas
Windows.
Necesita GTK+, GLIB y libpcap para funcionar.
Hay paquetes binarios disponibles al menos para las siguientes plataformas:
• AIX
• Tru64 UNIX (formerly Digital UNIX)
• Debian GNU/Linux
• Slackware Linux
• Red Hat Linux
• FreeBSD
• NetBSD
• OpenBSD
• HP/UX
• Sparc/Solaris 8
• Windows 2000, Windows NT y Windows Me/98/95
Si no hay un paquete binario para una plataforma, se puede descargar el código fuente e intentar
compilarlo.
1.5 Dónde conseguir Ethereal

Se puede conseguir la última version de Ethereal en el web de Ethereal:
http://www.ethereal.com/. El web te permite escoger entre varios espejos para la descarga.

MANUAL DE ETHEREAL
1.6 Informando de problemas y Consiguiendo ayuda

Si tiene problemas, o necesita ayuda con Ethereal, hay varias listas de mailing que pueden ser de
su interés:
Ethereal Users
Esta lista es para usuarios de Ethereal. La gente deja preguntas sobre la compilación y uso de
Ethereal. Otros proporcionan respuestas.
Ethereal Announce
Esta lista es para los que desean recibir anuncios sobre Ethereal.
Ethereal Dev
Esta lista es para desarrolladores de Ethereal. Si desea empezar a desarrollar un disector de
protocolo, únase a esta lista.
Puede suscribirse a cada una de estas listas desde el web de Ethereal: http://www.ethereal.com/.
Simplemente seleccione el enlace a las listas de mailing en la parte izquierda del sitio web. Las
listas se archivan también en el web de Ethereal.
Cuando se informa de fallos con Ethereal, es de utilidad proporcionar la siguiente información:
1. El número de versión de Ethereal con que se produjo el problema, p. ej. Ethereal 0.9.10.
2. El número de versión de cualquier otro software relacionado con Ethereal, p. ej. GTK+, etc.
Se puede obtener esta información con el comando ethereal -v.
3. Un traceback si Ethereal falló. Se puede obtener con los siguientes comandos:
$ gdb `whereis ethereal | cut -f2 -d: | cut -f’ ’ -d2` core >& backtrace.txt
backtrace
^D
$
Nota: ¡Teclee los caracteres de la primera línea tal como aparecen! ¡Hay apóstrofes directos e inversos!
Nota: backtrace es un comando gdb. Se deben introducer tal como aparecen después de la primera línea
mostrada arriba. El ^D (Control-D, esto es, presione la tecla Control y la tecla D juntas) hará que finalice
gdb. Esto dejará un fichero llamado backtrace.txt en el directorio actual. Incluya el fichero con su
informe de error.
Nota: Si gdb no está disponible, habrá que comprobar el depurador del sistema operativo. Los usuarios de
Windows podrían verse incapaces de conseguir un traceback.
Se debería enviar el traceback a la lista de mailing ethereal-dev.
2 Compilando e Instalando Ethereal

2.1 Introducción
Como con todas las cosas, debe haber un comienza, y así es con Ethereal. Para usar Ethereal, se
debet:
• Obtener un paquete binario para su sistema operativo, o
• Obtener el código fuente y compilar Ethereal para su sistema operativo.
Actualmente, solo dos o tres Distribuciones de Linux incluyen Ethereal, y normalmente incluyen
una versión desactualizada. Ninguna otra versión de UNIX incluye Ethereal hasta ahora, y

MANUAL DE ETHEREAL
Microsoft no lo incluye en ninguna versión de Windows. Por esta razón, es necesario saber dónde
conseguir la última versión de Ethereal y cómo instalarlo.
La versión actual de Ethereal es la 0.10.9.
Este capítulo muestra cómo obtener los paquetes fuente y binario, y cómo compilar Ethereal
desde el código fuente, aconsejable sobre todo en entornos UNIX.
En general, se deberían seguir los pasos siguientes:
1. Descargue el paquete relevante para sus necesidades, por ejemplo, la distribución fuente o
binaria.
2. Compilar el código fuente a un binario, si se ha descargado el fuente. Esto puede implicar
compilar y/o instalar cualquier otro paquete necesario.
3. Instalar los binarios en sus destinos finales.
2.2 Obteniendo las distribuciones fuente y binaria

Se pueden obtener tanto la distribución fuente como la binaria desde el web de Ethereal:
http://www.ethereal.com/. Simplemente pulse el enlace “download”, y a continuación seleccione el
paquete fuente o binario de su elección desde el web espejo más cercano.
Descargue todos los archivos necesarios: En general, a menos que se haya descargado Ethereal
anteriormente, probablemente sea necesario descargar varios paquetes fuente si se está compilando
Ethereal desde el fuente. Esto se cubre con más detalle más abajo.
Una vez que se hayan descargado los archivos relevantes, se puede ir al siguiente paso.
Nota: A pesar de que hay varios paquetes binarios disponibles en el web de Ethereal, podría no encontrar
uno para su plataforma, y a menudo tienden a ser de versiones anteriores a la actualmente distribuida, ya
que son proporcionados por gente que tiene las plataformas para las que están compilados.
Por esta razón, es possible que prefiera descargar la distribución y compilarla, ya que el proceso es
relativamente simple.
2.3 Antes de compilar Ethereal

Antes de compilar Ethereal de los fuentes, o instalar un paquete binario, se debe asegurar de que
tiene los siguientes paquetes instalados:
• GTK+, El Kit de Heramientas GIMP.
También se puede necesitar Glib. Ambos se pueden obtener de www.gtk.org
• libpcap, el software de captura de paquetes que usa Ethereal.
Se puede obtener libpcap de www.tcpdump.org
Dependiendo de su sistema, puede ser posible instalarlos desde binarios, p. ej. RPMs, o puede
ser necesario obtenerlos en forma de código fuente y compilarlos.
Si se ha descargado el fuente para GTK+, las instrucciones mostradas en el Ejemplo 2-1 pueden
proporcionarle alguna ayuda para compilarlo:
Ejemplo 2-1. Compilando GTK+ desde el fuente
gzip -dc gtk+-1.2.8.tar.gz | tar xvf
<mucha salida borrada>
cd gtk+-1.2.8
./configure

MANUAL DE ETHEREAL

make
make install
¡Nota!: Puede ser necesario cambiar el número de versión de gtk+ en el Ejemplo 2-1 para que coincida
con la versión de GTK+ que se ha descargado. El directorio al que se vaya cambiará si la versión de
GTK+ cambia, y en todos los casos, tar xvf – mostrará el nombre del directorio al que se debería ir.
¡Nota!: Si usa Linux, o tiene GNU tar instalado, puede usar tar zxvf gtk+-1.2.8.tar.gz. También es
posible usar gunzip -c o gzcat mejor que gzip -dc en muchos sistemas UNIX.
¡Nota!: Si se descargó gtk+ o cualquier otro archivo tar usando Windows, se puede encontrar un archivo
llamado gtk+-1_2_8_tar.gz.
Se debería consultar el web de GTK+ si ocurren errores siguiendo las instrucciones del Ejemplo
2-1.
Si se ha descargado el fuente para libpcap, las instrucciones generales mostradas en el Ejemplo
2-2 le ayudarán a compilarlo. Además, si su sistema operativo no soporta tcpdump, también puede
descargarlo del web de tcpdump e instalarlo.
Ejemplo 2-2. Compilando e instalando libpcap
gzip -dc libpcap-0.5.tar.Z | tar xvf
cd libpcap_0_5rel2
./configure
make
make install
make install-incl
¡Nota!: El directorio al que se vaya a cambiar dependerá de la versión de libpcap que se haya descargado.
En todos los casos, tar xvf – mostrará el nombre del directorio donde ha sido desempaquetado.
Cuando se instalan los archivos include, se podría obtener el error del Ejemplo 2-3 cuande se
ejecuta el comando make install-incl.
Ejemplo 2-3. Errores mientras se instalan los archivos include de libpcap
/usr/local/include/pcap.h
/usr/bin/install -c -m 444 -o bin -g bin ./pcap-namedb.h \
/usr/local/include/pcap-namedb.h
/usr/bin/install -c -m 444 -o bin -g bin ./net/bpf.h \
/usr/local/include/net/bpf.h

MANUAL DE ETHEREAL
/usr/bin/install: cannot create regular file \

‘/usr/local/include/net/bpf.h’: No such file or directory
make: *** [install-incl] Error 1
Si es así, simplemente cree el directoro que falta con el siguiente comando:
mkdir /usr/local/include/net
y reejecute el comando make install-incl.
Bajo RedHat 6.x o anterior (y distribuciones basadas en él, como Mandrake) se puede
simplemente instalar cada uno de los paquetes necesarios de RPMs. La mayoría de los sistemas
Linux instalarán GTK+ y Glib en cualquier caso, sin embargo, probablemente se necesite instalar
las versiones devel de cada uno de estos paquetes. Los comandos del Ejemplo 2-4 instalarán todos
los RPMs necesarios si aún no lo están.
Ejemplo 2-4. Instalando los RPMs necesarios bajo RedHat Linux 6.2 o anterior
cd /mnt/cdrom/RedHat/RPMS
rpm -ivh glib-1.2.6-3.i386.rpm
rpm -ivh glib-devel-1.2.6-3.i386.rpm
rpm -ivh gtk+-1.2.6-7.i386.rpm
rpm -ivh gtk+-devel-1.2.6-7.i386.rpm
rpm -ivh libpcap-0.4-19.i386.rpm
Nota: Si se está usando una version de RedHat posterior a la 6.2, los RPMs requeridos probablemente
hayan cambiado. Simplemente use los RPMs correctos de su distribución.
Bajo Debian se puede instalar Ethereal usando apt-get. apt-get manejará cualquier problema de
dependencias por usted. El Ejemplo 2-5 muestra cómo hacer esto.
Ejemplo 2-5. Installing debs under Debian
apt-get install ethereal
2.4 Compilando desde el Fuente bajo UNIX

Use los siguientes pasos generales si está compilando Ethereal desde el fuente bajo un sistema
operativo UNIX:
1. Desempaquete el fuente de su archivo tar gzip. Si está usando Linux, o su versión de
UNIX usa GNU tar, puede usar el siguiente comando:
tar zxvf ethereal-0.10.9-tar.gz
Para otras versiones de UNIX, use los siguientes comandos:
gzip -d ethereal-0.10.9-tar.gz
tar xvf ethereal-0.10.9-tar
¡Nota!: El pipeline gzip -dc ethereal-0.10.9-tar.gz | tar xvf – funcionará aquí también.
2. Cambie al directorio fuente de ethereal.
3. Configure su fuente para que se compile correctamente para su versión de UNIX. Se
puede hacer esto con el siguiente comando:
./configure

MANUAL DE ETHEREAL
Si falla este paso, tendrá que rectificar los problemas y reejecutar configure.
4. Compile los Fuentes a un binario, con el comando make. Por ejemplo:
make
5. Instale el software en su destino final, usando el comando:
make install
Una vez que haya instalado Ethereal con make install, debería ser capaz de ejecutarlo
introduciendo ethereal.
2.5 Instalando los binarios bajo UNIX

En general, instalar el binario bajo su versión de UNIX será específico a los métodos de
instalación usados con su versión de UNIX. Por ejemplo, bajo AIX, debería usar smit para instalar
el paquete binario de Ethereal, mientras que bajo Tru64 UNIX (anteriormente Digital UNIX)
debería usar setld.
2.6 Instalando desde RPMs bajo Linux

Use el siguiente comando para instalar el RPM de Ethereal que ha descargado del web de
Ethereal:
rpm -ivh ethereal-0.10.9-1.i386.rpm
Si el paso de arriba falla debido a que faltan dependencias, instale las dependencias primero, y
entonces reintente el paso anterior. Vea el Ejemplo 2-4 para información sobre los RPMs que se
necesitarán tener instalados.
2.7 Instalando desde debs bajo Debian

Use el siguiente comando para instalar Ethereal bajo Debian:
apt-get install ethereal
apt-get debería encargarse de todos los problemas de dependencias por usted.
2.8 Instalando Ethereal bajo Windows

En esta sección se explora la instalación de Ethereal bajo Windows desde los paquetes binarios.
Se deben seguir dos pasos:
1. Instale WinPcap. Hay instrucciones en el web de WinPcap para instalarlo bajo Windows
9X, Windows NT y Windows 2000. Estas se encuentran en:
http://netgroup-serv.polito.it/winpcap/install/Default.htm
2. Instale Ethereal. Se puede adquirir un binario instalable de Ethereal en la URL
http://www.ethereal.com/download.html#binaries. Descargue el instalador (después de
instalar WinPcap) y ejecútelo.

MANUAL DE ETHEREAL
3 Usando Ethereal
3.1 Introducción
Hasta ahora has instalado Ethereal y es el momento de irse iniciando capturando los primeros
paquetes. En este capítulo se verá:
• Cómo iniciar Ethereal
• Cómo capturar paquetes en Ethereal
• Cómo ver los paquetes en Ethereal
• Cómo filtrar paquetes en Ethereal
En realidad, la mayor parte de laas funcionalidades de Ethereal se ven en este capítulo.
3.2 Iniciar Ethereal

Se puede iniciar Ethereal desde la línea de comandos en UNIX, así como desde la mayoría de
gestores de ventanas. En esta sección veremos como se inicia desde la línea de comandos.
Antes de ver los parámetros de línea de comandos que admite Ethereal, veamos el aspecto de la
propia aplicación. La figura 3-1 muestra cómo es Ethereal en su vista habitual.
Figura 3-1. Ethereal se compone de tres ventanas principales
Ethereal se compone de tres ventanas principales, o paneles.

1. El panel superior es el panel de la lista de paquetes. Muestra un resumen de cada paquete
capturado. Pulsando en los paquetes de este panel se controla lo que se muestra en los
otros dos paneles.

MANUAL DE ETHEREAL
2. El panel intermedio es el panel de vista en árbol. Muestra el paquete seleccionado en el

panel superior en más detalle.
3. El panel inferior es el panel de vista de datos. Muestra los datos del paquete seleccionado
en el panel superior, y resalta el campo seleccionado en el panel de vista en árbol.
Además de los tres paneles principales, hay seis elementos de interés en la barra de filtros,
situada en la parte inferior de la ventana principal de Ethereal.
A. El botón inferior situado más a la izquierda, etiquetado "Filter:", se puede pulsar para que
aparezca la ventana de construcción de filtros.
B. El cuadro de texto de la parte izquierda proporciona un área para introducir o editar
expresiones de filtro. Es también donde se muestra el filtro que está actualmente en efecto. Se
puede pulsar en la flecha desplegable para seleccionar expresiones de filtro anteriores de una lista.
Hay más información disponible sobre mostrar expresiones de filtrado en la sección “Filtrando
paquetes mientras se visualizan”.
C. El botón del medio etiquetado "Add Expresión...", lanza el esistente para crear expresiones de
filtro.
D. El botón del medio a la derecha, etiquetado "Clear", borra el filtro actual.
E. El botón del medio a la derecha, etiquetado "Apply", aplica el filtro tecleado en el cuadro de
texto anterior.
F. El cuadro de texto de la derecha muestra mensajes informativos. Estos mensajes pueden
indicar si se está capturando o no, qué fichero se ha leído en el panel de lista de paquetes si no se
está capturando. Si se ha seleccionado un campo de protocolo del panel de vista de árbol y es
posible filtrar por ese campo entonces la etiqueta de filtro para ese campo de protocolo se mostrará.
Ethereal soporta un gran número de parámetros de línea de comandos. Para ver cuáles son,
simplemente hay que ejecutar el comando ethereal -h y se mostrará la información de ayuda que se
muestra en el Ejemplo 3-1.
Ejemplo 3-1. Información de ayuda disponible en Ethereal
Este es GNU ethereal 0.10.9, compilado con GTK+ 1.2.10, con
GLib 1.2.10, con libpcap 0.6, con libz 1.1.3, con UCD SNMP
4.2.1
ethereal [-vh] [-klpQS] [-b <fuente negrita>] [-B <altura
de vista de byte>] [-c <cuenta>] [-f <filtro de captura>] [-i
<interface>] [-m <fuente media>] [-n] [-N <resolver>] [-o
<ajuste de preferencia>] ... [-P <altura de la lista de
paquetes>] [-r <infile>] [-R <filtro de lectura>] [-s
<snaplen>] [-t <formato de marca de tiempo>] [-T <altura de
vista de árbol>] [-w <savefile>]
Examinaremos cada una de estas opciones de línea de comandos por orden alfabético:
-B <altura de vista de byte>
Esta opción establece la altura inicial del panel de vista de byte. Este panel es el panel inferior
de la pantalla de Ethereal.
-b <fuente negrita>
Esta opción establece el nombre de la fuente negrita que Ethereal utiliza para los datos en el
panel de vista de byte cuando está realzado (es decir, seleccionado en el panel de protocolo)

MANUAL DE ETHEREAL
-c <cuenta>
Esta opción especifica el número de paquetes a capturar cuando se capturan datos en vivo.
Se debería usar junto a la opción -k.
-D
Esta opción cambia el modo con el que Ethereal trata con el campo TOS original del IPv4, de
modo que en vez de considerarlo como el Campo Differentiated Services, lo trata como un
campo Type of Service.
-f <filtro de captura>
Esta opción establece la expresión inicial de filtro de captura que se usará cuando se capturen
paquetes.
-h
La opción -h solicita a Ethereal que imprima su versión e instrucciones de uso y salga.
-i <interface>
La opción -i permite especificar, desde la línea de comandos, por qué interface se deberían
capturar los paquetes.
Un ejemplo sería: ethereal -i eth0.
Para obtener un listado de todos los interfaces en los que se puede capturar, use el comando
ifconfig -a o netstat -i. Desafortunadamente, algunas versiones de UNIX no soportan ifconfig
-a, por lo que habrá que usar netstat -i en estos casos.
-k
La opción -k especifica que Ethereal debería empezar a capturar paquetes inmediatamente.
Esta opción requiere el uso del parámetro -i para especificar el interface desde el que se
capturarán los paquetes
-l
Esta opción activa el scrolling automático del panel de lista paquetes si éste se actualiza
automáticamente según van llegando los paquetes durante una captura (como especifica la
opción -S).
-m <fuente media>
Esta opción establece el nombre de la fuente media que se utiliza para la mayor parte del texto
mostrado por Ethereal.
-n
Esta opción le indica a Ethereal que no realice la traducción de dirección a nombre ni traduzca
los puertos TCP y UDP a nombres.
-N <resolver>
Activa la resolución de nombres para tipos particulares de direcciones y números de puerta; el
argumento es una cadena que puede contener las letras m para habilitar la resolución de
direcciones MAC, n para habilitar la resolución de direcciones de red, y t para habilitar la
resolución de números de puerta de nivel de transporte. Esta opción invalida a la -n si ambas
están presentes.

MANUAL DE ETHEREAL
-o <ajustes de preferencia>
Establece un valor de preferencia, invalidando el valor por defecto y cualquier otro valor leído
de un fichero de preferencia. El argumento es una cadena con la forma prefname:value, donde
prefname es el nombre de la preferencia (que es el mismo nombre que aparecería en el fichero
de preferencia), y value es el valor que se le debería establecer. Se pueden dar múltiples
instancias de -o <ajustes de preferencia > en una única línea de comandos.
Un ejemplo de ajuste de una única preferencia sería:
ethereal -o mgcp.display_dissect_tree:TRUE
Un ejemplo de ajuste de múltiples preferencias sería:
ethereal -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627
-p
No poner el interface en modo promiscuo. Tenga en cuenta que el interface podría estar en
modo promiscuo por alguna otra razón; por lo tanto, -p no se puede utilizar para asegurar que
el único tráfico que se capture sea tráfico enviado a desde la máquina en la que se está
ejecutando Ethereal is running, tráfico broadcast, y tráfico multicast a direcciones recibidas
por esa máquina.
-P <altura de la lista de paquetes>
Esta opción establece la altura inicial del panel de la lista de paquetes, es decir, el panel
superior.
-Q
Esta opción fuerza a Ethereal a salir cuando la captura está completa. Se puede usar con la
opción -c. Se debe usar junto con las opciones -i y -w.
-r <infile>
Esta opción proporciona el nombre de un fichero de captura para que Ethereal lea y muestre.
Este fichero de captura puede ser de uno de los formatos que Ethereal entiende, incluyendo:
• libpcap
• Net Mon
• Snoop
• NetXray
Para una lista completa, vea las páginas man de Ethereal (man ethereal).
-R <filtro de lectura>
Esta opción especifica un filtro de captura para ser aplicado cuando se leen paquetes de un
fichero de captura. La sintaxis de este filtro es la de los filtros de visualización discutidos en
la sección llamada Filtrando paquetes durante la visuelización. Los paquetes que no se
cumplan el filtro se descartan.
-s <snaplen>
Esta opción especifica la longitud de muestra usada cuando se capturan paquetes. Ethereal
sólo capturará <snaplen> bytes de datos de cada paquete.

MANUAL DE ETHEREAL
-S
Esta opción indica que Ethereal mostrará los paquetes según los capture. Esto se hace
capturando en un proceso y mostrándolos en un proceso aparte.
-t <formato de marca de tiempo>
Esta opción establece el formato de marcas de tiempo de paquetes que se muestra en la
ventana de lista de paquetes. El formato puede ser uno de:
• r, que especifica que las marcas de tiempo se muestran relativas al primer paquete
capturado.
• a, que especifica que se muestra la fecha y hora real para todos los paquetes.
• d, que especifica que las marcas de tiempo son relativas al paquete anterior.
-T <altura de vista de árbol>
Esta opción establece la altura inicial del panel de vista de árbol.
-v
La - opción v solicita a Ethereal que imprima su información de versión y salga.
-w <savefile>
Esta opción establece el nombre del fichero a utilizar cuando se guarde un fichero de captura.
3.3 Los menus de Ethereal

El menú de Ethereal descansa a lo largo de la parte superior de la ventana de Ethereal, como se
muestra en el ejemplo de la Figura 3-2.
Figura 3-2. El Menú de Ethereal
Contiene los siguientes elementos:

File
Este menú contiene elementos de menú para abrir y releer ficheros de captura, guardar
ficheros de captura, exportar bytes, imprimir ficheros de captura, y salir de Ethereal.
Edit
Este menú contiene elementos de menú para encontrar una trama, marcar una o más tramas,
establecer referencias de tiempo y establecer las preferencias (cortar, copiar y pegar no están
actualmente implementados).
View
Este menú contiene elementos de menú para modificar opciones de visualización,
ampliar/reducir la fuente de los paneles, colorear tramas, expandir todas las tramas, colapsar
todas las tramas, mostrar un paquete en una ventana aparte, y recargar el fichero de captura
actual.
Go
Este menú contiene elementos de menú para desplazarse entre las tramas.

MANUAL DE ETHEREAL
Capture
This menu permite iniciar y detener capturas, y crear filtros de captura.
Analyze
Este menú contiene elementos de menú para seleccionar y filtrar paquetes coincidentes, seguir
una sesión TCP, crear filtros de visualización, habilitar o deshabilitar la disección de
protocolos, y configurar decodificadores especificados por el usuario.
Statistics
Este menú contiene elementos de menú para obtener un resumen de los paquetes que han sido
capturados, mostrar estadísticas de jerarquía de protocolos, gráficos de entrada/salida, listas
de conversaciones y hosts, tiempos de respuestas y distintos análisis de protocolos
particulares.
Help
Este menú permite mostrar los plugins cargados, contiene el elemento de menú About
Ethereal... y acceso a alguna Ayuda básica.
Cada uno de ellos se describen con más detalle en las secciones que siguen.
3.4 El menú File de Ethereal

El menú File (Archivo) de Ethereal contiene los campos que se muestran en la Tabla 3-1.
Figura 3-3. Menú File de Ethereal

MANUAL DE ETHEREAL
Tabla 3-1. Menú File
Elemento Acelerador Descripción

Open... Ctrl-O Este elemento abre el cuadro de diálogo abrir archivo que permite
cargar un fichero de captura para su visualización. Se discute en más
detalle en la sección llamada El cuadro de diálogo Abrir Archivo.
Open Recent Permite volver a abrir los últimos archivos abiertos
Merge… Este elemento permite anexar un archivo de captura al actual
Close Ctrl-W Este elemento cierra la captura actual. Si no se ha guardado la captura,
se pierde.
Save Ctrl-S Este elemento guarda la captura actual. Si no se ha establecido un
nombre de fichero de captura por defecto (quizás con la opción -w
<capfile>), Ethereal lanza el cuadro de diálogo Guardar Fichero de
captura Como (que se describe más adelante en la sección El cuadro de
diálogo Guardar Fichero de captura Como).
¡Nota!: Si ya ha guardado la captura actual, este menú estará
deshabilitado.
¡Nota!: No se puede guardar una captura mientras está en progreso.
Hay que detener la captura para poder guardarla.
Save As... Mayús- Este elemento permite guardar el fichero de captura actual a cualquier
Ctrl-S fichero que se desee. Lanza el cuadro de diálogo Guardar Fichero de
captura Como (que se describe más adelante en la sección El cuadro de
diálogo Guardar Fichero de captura Como)
Export Este elemento permite exportar los bytes seleccionados de un paquete a
un archivo binario de su elección
Print... Este elemento permite imprimir todos o una selección de los paquetes
del fichero de captura. Lanza el cuadro de diálogo Imprimir de
Ethereal (que se describe más adelante en la sección Imprimiendo
paquetes).
Quit Ctrl-Q Este elemento permite salir de Ethereal. Si no se ha guardado el
fichero de captura actual, pregunta si se desea hacerlo antes de salir.

MANUAL DE ETHEREAL
3.5 El menú Edit de Ethereal

El menú Edit (Editar) de Ethereal contiene los campos que se muestran en la Tabla 3-2.
Figura 3-4. Menú Edit de Ethereal
Tabla 3-2. Menú Edit

Find Packet... Ctrl-F Este elemento muestra un cuadro de diálogo que permite encontrar
una trama introduciendo un filtro de visualización de Ethereal. Hay
más información sobre encontrar tramas en la sección Encontrando
paquetes.
Find Next Ctrl-N Continúa la última búsqueda hacia delante
Find Previous Ctrl-B Continúa la última búsqueda hacia atrás
Time Reference Esta opción permite fijar referencias de tiempo en la captura actual
(opción Set Time Referente (toggle)). En estas referencias se pone
a 0 el contador de tiempos del formato “Segundos desde el
comienzo de la captura” (ver la sección El menú View). También
permite desplazarse entre referencias de tiempo (con las opciones
Find Next y Find Previous)
Mark Packet Ctrl-M Este elemento "marca" la trama actualmente seleccionada. Vea la
sección El cuadro de diálogo Guardar Fichero de captura Como

MANUAL DE ETHEREAL

para más información sobre guardar tramas marcadas.
Mark All Este elemento "marca" todas las tramas. Vea la sección El cuadro
Packets de diálogo Guardar Fichero de captura Como para más información
sobre guardar tramas marcadas.
Unmark All Este elemento "desmarca" todas las tramas marcadas.
Packets
Preferences... Mayús-Ctrl- Este elemento muestra un cuadro de diálogo que permite establecer
P las preferencias para muchos parámetros que controlan Ethereal.
También se pueden guardar las preferencias de modo que Ethereal
las use la próxima vez que se inicie. Más detalles en la sección
Preferencias de Ethereal
3.6 El menú View de Ethereal

El menú View (Ver) de Ethereal contiene los campos que se muestran en la Tabla 3-3.
Figura 3-5. Menú View de Ethereal
Tabla 3-5. Menú View

Main Toolbar Permite mostrar u ocultar la barra de herramientas principal.
Filter Toolbar Permite mostrar u ocultar la barra de herramientas de filtros.
Statusbar Este elemento permite mostrar u ocultar la barra de estado.
Packet List Este elemento permite mostrar u ocultar el panel de lista de paquetes.

MANUAL DE ETHEREAL

Packet Details Permite mostrar u ocultar el panel de detalles de paquete.
Packet Bytes Este elemento permite mostrar u ocultar el panel de bytes de paquete.
Time Display Este elemento controla el modo en que Ethereal muestra las marcas de
Format tiempo. Ofrece la siguientes opciones:
Time of day
Seleccionando este botón de radio se indica a Ethereal que
muestre las marcas de tiempo en formato Hora del día. Este
campo, "Date and time of day", "Seconds since beginning of
capture" y "Seconds since previous frame" son mutuamente
exclusivos.
Date and time of day
muestre las marcas de tiempo tiempo en formato Fecha y hora.
"Time of day", este campo, "Seconds since beginning of
capture" y "Seconds since previous frame" son mutuamente
exclusivos.
Seconds since beginning of capture
muestre las marcas de tiempo en formato Segundos desde el
comienzo de la captura. "Time of day", "Date and time of day",
este campo y "Seconds since previous frame" son mutuamente
exclusivos.
Seconds since previous packet
Este botón de radio indica a Ethereal que muestre marcas de
tiempo tiempo en formato Segundos desde la trama anterior.
"Time of day", "Date and time of day", "Seconds since
beginning of capture" y este campo son mutuamente exclusivos.
Name Este elemento controla el modo en que Ethereal muestra alguna
Resolution información sobre los paquetes. En concreto, si las direcciones y otros
números son traducidos. Ofrece la siguientes opciones:
Resolve Name
Este campo activa la resolución de nombres mientras se
visualizan paquetes.
Enable for MAC Layer
Este campo, cuando se selecciona, le indica a Ethereal que
traduzca los primeros tres octetos de las direcciones MAC (el
identificador de fabricante) a nombres (cuando pueda).
Enable for Network Layer
Este campo, cuando se selecciona, le indica a Ethereal que
traduzca direcciones IP a nombres de dominio (cuando pueda).

MANUAL DE ETHEREAL

Nota: Si se selecciona esta opción y el servidor DNS no está
disponible ethereal será muy lento ya que espera a que venza el
temporizador para respuestas del servidor DNS.
Enable for Transport Layer
Cuando se selecciona, le indica a Ethereal que traduzca las
direcciones del nivel de transporte (números de puerta
TCP/UDP) a nombres de servicios well-known (donde pueda).
Auto Scroll in Este elemento, cuando se selecciona, le indica a Ethereal que haga
Live Capture scrolling del panel de lista de paquetes cuando se capturen nuevos
paquetes.
Zoom In Ctrl-+ Agranda la fuente en la que se visualizan los datos de los distintos
paneles.
Zoom Out Ctrl-- Disminuye la fuente en la que se visualizan los datos de los distintos
paneles.
Normal Size Ctrl-= Reestablece la fuente en la que se visualizan los datos de los distintos
paneles a su tamaño original establecido en las Preferencias de
Ethereal. Más detalles en la sección Preferencias de Ethereal.
Collapse All Ethereal mantiene un lista de todos los subárboles de protocolo que se
expanden, y la utiliza para asegurar que los subárboles correctos se
expanden cuando se muestra un paquete. Este elemento contrae la
vista de árbol de todos los paquetes en la lista de captura.
Expand All Este elemento expande todos los subárboles de todos los paquetes de
la captura.
Expand Tree Este elemento expande el árbol actualmente seleccionado.
Coloring Este elemento muestra un cuadro de diálogo que permite colorear
Rules paquetes en el panel de lista de paquetes en función de las expresiones
de filtro que se escojan. Puede ser muy útil para distinguir ciertos tipos
de paquetes.
Show Packet Este elemento muestra el paquete seleccionado en una ventana aparte.
in New Esta ventana sólo muestra los paneles de vista de árbo y de vista de
Window byte.
Reload Ctrl-R Este elemento permite recargar el fichero de captura actual. Este
elemento ya no es necesario, y puede ser eliminado en futuras
versiones de Ethereal

MANUAL DE ETHEREAL
3.7 El menú Go de Ethereal

El menú Go (Ir) de Ethereal contiene los campos que se muestran en la Tabla 3-2.
Figura 3-4. Menú Go de Ethereal
Tabla 3-2. Menú Go

Back Alt-Left Va a la trama anterior
Forward Alt-Right Va a la siguiente trama
Go to First Va al primer paquete de la lista
Packet
Go to Last Va al último paquete de la lista
Packet
Go to Packet… Ctrl-G Este elemento muestra un cuadro de diálogo que permite
especificar una trama a la que ir por número de trama.

MANUAL DE ETHEREAL
3.8 El menú Capture de Ethereal

El menú Capture (Capturar) de Ethereal contiene los campos que se muestran en la Tabla 3-4.
Figura 3-6. Menú Capture de Ethereal
Tabla 3-4. Menú Capture

Start... Ctrl-K Este elemento muestra el cuadro de diálogo Preferencias de Captura
(descrito más adelante en la sección Capturando paquetes con Ethereal) y
permite empezar a capturar paquetes.
Stop Ctrl-E Este elemento detiene la captura actualmente en curso.
Interfaces Muestra los interfaces de captura disponibles y su tráfico actual.
Capture Este elemento muestra un cuadro de diálogo que permite crear y editar
Filters... filtros de captura. Se puede dar nombre a los filtros, y se pueden guardar
para uso futuro. Hay más detalles sobre este tema en la sección Definiendo
y guardando filtros

MANUAL DE ETHEREAL
3.9 El menú Analyze de Ethereal

El menú Analyze (Analizar) de Ethereal contiene los campos que se muestran en la Tabla 3-5.
Figura 3-7. Menú Analyze de Ethereal
Tabla 3-5. Menú Analyze

Display Este elemento muestra un cuadro de diálogo que permite crear y
Filters... editar filtros de visualización. Se puede dar nombre a los filtros, y se
pueden guardar para uso futuro. Hay más detalles sobre este tema en
la sección Definiendo y guardando filtros
Apply as Filter Este elemento permite seleccionar todos los paquetes que tienen un
valor coincidente en el campo seleccionado en el panel de vista de
árbol (panel central), componer la expresión de filtro para ellos y
hacerla, añadirla o excluirla de la expresión de filtro actual. Esta
opción aplica el filtro resultante inmediatamente
Prepare a Filter Este elemento es igual al anterior, sólo que no aplica
Enabled Mayús- Este elemento muestra un cuadro de diálogo que permite habilitar o
Protocols... Ctrl-R deshabilitar la disección de protocolos individuales.
Decode As... Permite forzar a Ethereal a decodificar o no los protocolos indicados
en el nivel de enlace (ethertype), de red (protocolo IP) o de transporte

MANUAL DE ETHEREAL

(puerta origen, destino o ambas) como un protocolo particular
User Specified Este elemento permite al usuario ver la lista de asociaciones de
Decodes... protocolos definidas por el usuario con el elemento anterior.
Follow TCP Este elemento abre una ventana aparte (ver Figura 3.8) y muestra
Stream todos los segmentos TCP capturados que están en la misma conexión
TCP que el paquete seleccionado. Los datos en el flujo TCP se
ordena, y los segmentos duplicados se borran, y es entonces
mostrado en ascii. Se puede cambiar el formato si se desea o mostrar
sólo un sentido de la conversación, así como guardar, imprimir o
filtrar el flujo TCP.
Figura 3.8. Ventana Follow TCP Stream

MANUAL DE ETHEREAL
3.10 El menú Statistics de Ethereal

El menú Statistics (Estadísticas) de Ethereal contiene los campos mostrados en la Tabla 3-6.
Figura 3-9. Menú Statistics de Ethereal
Tabla 3-6. Menú Statistics
Elemento Descripción
Summary Este elemento muestra una ventana de estadísticas con información sobre los
paquetes capturados. Vea la Figura 3-10.
Protocol Este elemento muestra un árbol jerárquico de estadísticas de paquetes Vea la
Hierarchy Figura 3-11.
Statistics
Conversations Este elemento muestra un resumen de todas las conversaciones existentes. Los
prootcolos pueden ser Ethernet, FDDI, Fibre Channel, IPX, IPv4, TCP (IPv4 y
IPv6), Token Ring o UDP (IPv4 y IPv6).
Endpoints Este elemento muestra un resumen de todos los nodos (hosts) existentes. Los
protocolos pueden ser Ethernet, FDDI, Fibre Channel, IPX, IPv4, TCP (IPv4 y
IPv6), Token Ring o UDP (IPv4 y IPv6).
IO Graphs Este elemento muestra una gráfica de las tramas capturadas en función del
tiempo. Vea la Figura 3-12.

MANUAL DE ETHEREAL
Elemento Descripción
Conversation Este elemento muestra una lista de todas las conversaciones existentes y el
List tráfico en uno y otro sentido según un protocolo concreto. Los prootcolos
pueden ser Ethernet, FDDI, Fibre Channel, IPX, IPv4, TCP (IPv4 y IPv6),
Token Ring o UDP(IPv4 y IPv6).
Endpoint List Este elemento muestra una lista de todos los nodos (hosts) existentes y el tráfico
entrante y saliente según un protocolo concreto. Los protocolos pueden ser
Ethernet, FDDI, Fibre Channel, IPX, IPv4, TCP (IPv4 y IPv6), Token Ring o
UDP(IPv4 y IPv6).
Service Este elemento muestra estadísticas de tiempos de respuesta ante distintos
Response Time servicios. Los servicios pueden ser DCE-RPC, Fibre Channel, ITU-T H.225
RAS, LDAP, ONE-RPC o SMB.
ANSI Este elemento lleva la cuenta de las llamadas a las distintas funciones de
distintos protocolos ANSI. Incluye A-Interface BSMAP, A-Interface DTAP y la
operación MAP.
BOOTP-DHCP Este elemento lleva la cuenta de los distintos tipos de mensajes DHCP.
GSM Este elemento lleva la cuenta de las llamadas a las distintas funciones del
protocolo GSM. Incluye A-Interface BSSMAP, A-Interface DTAP (incluyendo
el control de llamada; la gestión de la movilidad GPRS, de la sesión GPRS, de la
movilidad y de los recursos de radio; el servicio de mensajes cortos; y los
servicios suplementarios) y la operación MAP.
H.225 Lleva la cuenta de los distintos tipos o razones de mensajes ITU-T H.225.
H.223 Lleva la cuenta y analiza las conversaciones ITU-T H.223.
Conversations
HTTP Este elemento lleva la cuenta de las solicitudes HTTP y las distintas respuestas
obtenidas (informativas, éxito, etc.).
ISUP Message Este elemento lleva la cuenta de los distintos tipos de mensajes ISUP.
Types
MTP3 Este elemento analiza el tráfico MTP3.
ONC-RPC Este elemento lleva la cuenta de las llamadas a los distintos programas ONE-
Programs RPC y sus tiempos de respuesta.
RTP Este elemento muestra las estadísticas de los flujos RTP de la captura o analiza
un flujo RTP concreto.
SIP Este elemento lleva la cuenta de los distintos tipos de mensajes SIP.
TCP Stream Este Elemento Analiza Gráficamente Flujos TCP. Permite representar el RTT,
Graph el throughput o la secuencia de tiempos (estilo Stevens o tcptrace). Vea un
ejemplo en la Figura 3-13.
WAP-WSP Este elemento lleva la cuenta de los distintos tipos de PDU y códigos de estado.

MANUAL DE ETHEREAL
Figura 3-10. Ventana Summary
Figura 3-11. Ventana Protocol Hierarchy Statistics

MANUAL DE ETHEREAL
Figura 3-12. Ventana IO Graphs
Figura 3-13. Gráficos TCP

MANUAL DE ETHEREAL
3.11 El menú Help de Ethereal

El menú Help (Herramientas) de Ethereal contiene los campos que se muestran en la Tabla 3-7.
Figura 3-13. Menú Help de Ethereal
Tabla 3-7. Menú Help

Contents Este elemento muestra un sistema de ayuda básico.
Supported Este elemento muestra una lista de los protocolos soportados por
Protocols… Ethereal y los campos disponibles para crear filtros de visualización.
Manual Pages Este elemento muestra la ayuda HTML de Ethereal.
Ethereal online Este elemento conecta con el web de Ethereal.
About Este elemento muestra una ventana con información simple sobre
Ethereal... Ethereal.
3.12 Capturando paquetes con Ethereal

Hay dos métodos que se pueden usar para capturar paquetes con Ethereal:
1. Desde la línea de comandos introduciendo:
ethereal -i eth0 -k

MANUAL DE ETHEREAL
2. Iniciando Ethereal y seleccionando Start... desde el menú Capture. Esta muestra el cuadro de
diálogo Preferencias de Captura y se tratará en más detalle en la sección Cuadro de diálogo
Preferencias de Captura.
Cuadro de diálogo Preferencias de Captura

Cuando se selecciona Start... desde el menú Capture, Ethereal muestra cuadro de diálogo
Preferencias de Captura como muestra la Figura 3-14.
Figura 3-14. El cuadro de diálogo Preferencias de Captura
Se pueden establecer los siguientes campos en este cuadro de diálogo:

Interface
Este campo especifica el interface sobre el que se desea capturar. Sólo se puede capturar en
un interface, y sólo se puede capturar en los interfaces que Ethereal ha encontrado en el
sistema. Es una lista desplegable, por tanto sólo hay que pulsar el botón del lado derecho y
seleccionar el interface que se desee. Por defecto es el primer interface no loopback que
soporta capturas, y si no hay ninguno, el primer. En algunos sistemas, los interfaces loopback
no se pueden utilizar para capturas. Este campo realiza la misma función que la opción de
línea de comandos -i <interface>.
Capture limits
Aquí se especifica el número de paquetes que se quieren capturar. Se puede poner el límite de
la captura por número de paquetes, por volumen de datos o por tiempo transcurrido.

MANUAL DE ETHEREAL
Filter
Este campo permite especificar un filtro de captura. Los filtros de captura se discuten en más
detalle en la sección Filtrando mientras se Captura. Por defecto está vacío, o sin filtro.
También se puede pulsar el botón/etiqueta Filter, y Ethereal mostrará el cuadro de diálogo
Filtros y permitirá crear o seleccionar un filtro. Vea la sección Definiendo y guardando filtros
File
Este campo permite especificar el nombre de archivo que se usará para la captura cuando más
tarde se escoja Save... o Save As... del menú File de Ethereal. No hay valor por defecto para
este campo.
Capture length
Este campo permite especificar la cantidad máxima de datos que se capturarán para cada
paquete, y es a lo que algunas veces se llama snaplen. Por defecto es 65535, que será
suficiente para la mayoría de los protocolos. Debería ser al menos la MTU del interface en el
que se está capturando.
Capture packets in promiscuous mode
Este botón de radio permite especificar que Ethereal debería poner el interface en modo
promiscuo durante la captura. Si no se especifica, Ethereal sólo capturará los paquetes que
van desde y hacia su ordenador (no todos los paquetes que pasan por el interface).
Nota: Si algún otro proceso ha puesto el interface en modo promiscuo se puede estar capturando en modo
promiscuo incluso si se desmarca esta opción
Update list of packets in real time
This botón de radio permite especificar que Ethereal debería actualizar el panel de lista de
paquetes en tiempo real. Si no se especifica, Ethereal no muestra ningún paquete hasta que se
cancele la captura. Cuando se pulsa este botón de radio, Ethereal captura en un proceso aparte
y envía las capturas al proceso de visualización.
Nota: A veces esta opción no funciona correctamente en Windows
Automatic scrolling in live capture
This botón de radio permite especificar que Ethereal debería hacer scrolling del panel de lista
de paquetes según llegan nuevos paquetes, de modo que siempre se vea el último paquete. Si
no se especifica, Ethereal simplemente añade nuevos paquetes al final de la lista, pero no hace
scrolling del panel de lista de paquetes.
Enable MAC name resolution
This botón de radio permite controlar si Ethereal traduce o no los primeros tres octetos de las
direcciones MAC al nombre del fabricante al que le ha asignado ese prefijo el IETF.
Enable network name resolution
This botón de radio permite controlar si Ethereal traduce o no las direcciones IP a nombres de
dominio DNS. Pulsando este botón de radio, el panel de lista de paquetes tendrá más
información útil, pero también ocasionará que se produzcan solicitudes de búsqueda de
nombres, lo que podría interferir con la captura.
Nota: Si no se puede alcanzar el servidor de nombres, puede suceder que Ethereal tarde mucho tiempo en
actualizar el panel de lista de paquetes ya que espera a que venza el tiempo de traducción del nombre.

MANUAL DE ETHEREAL
Enable transport name resolution

This botón de radio permite controlar si Ethereal traduce o no los números de puerta a
protocolos.
Una vez que se han establecido los valores deseados y seleccionado los botones de radio que se
necesitan, pulse simplemente en OK para comenzar la captura, o Cancel para cancelarla. Si se
inicia una captura, Ethereal abre un cuadro de diálogo que muestra el progreso de la captura y
permite detener la captura cuando se tienen suficientes paquetes capturados.
3.13 Filtrando mientras se captura

Ethereal utiliza el lenguaje de filtros libpcap para los filtros de captura. Este se explica en la
página man de tcpdump.
Se introduce el filtro de captura en el campo Filter field del sección Cuadro de diálogo
Preferencias de Captura de Ethereal, como se muestra en la Figura 3-14. A continuación hay un
resumen de la sintaxis del lenguaje de filtros de captura de tcpdump.
Un filtro de captura toma la forma de una serie de primitivas de expresión conectadas por
conjunciones y opcionalmente precedidas por not:
[not] primitiva [and|or [not] primitiva ...]
Se muestra un ejemplo en el Ejemplo 3-2.
Ejemplo 3-2. Un filtro de captura para telnet que captura tráfico hacia y desde un host en particular
tcp port 23 and host 10.0.0.5
Este ejemplo captura tráfico telnet hacia y desde el host 10.0.0.5, y muestra cómo utilizar dos
primitivas y la conjunción and. Otro ejemplo se muestra en el Ejemplo 3-3, y muestra cómo
capturar todo el tráfico telnet excepto el que viene de 10.0.0.5.
Ejemplo 3-3. Capturando todo el tráfico telnet que no viene de 10.0.0.5
tcp port 23 and not host 10.0.0.5
Una primitiva es simplemente una de las siguientes:
[src|dst] host <host>
Esta primitiva permite filtrar por una dirección IP o nombre de host. Opcionalmente se puede
preceder la primitiva con la palabra clave src|dst para especificar que sólo se está interesado
en direcciones origen o destino. Si no están presentes, se selecionaran los paquetes donde la
dirección especificada aparezca como dirección tanto origen como destino.
ether [src|dst] host <ehost>
Esta primitiva permite filtrar por direcciones de host Ethernet. Opcionalmente se puede
incluir la palabra clave src|dst entre las palabras clave ether y host para especificar que sólo
se está interesado en direcciones origen o destino. Si no están presentes, se selecionaran los
paquetes donde la dirección especificada aparezca como dirección tanto origen como destino.
gateway host <host>
Esta primitiva permite filtrar los paquetes que utilizan host como un gateway. Es decir, donde
el origen o destino Ethernet es host pero ni la dirección IP origen ni destino son host.

MANUAL DE ETHEREAL
[src|dst] net <red> [{mask <máscara>}|{len <longitud>}]

Esta primitiva permite filtrar por números de red. Opcionalmente se puede preceder la
primitiva con la palabra clave src|dst para especificar que sólo se está interesado en redes
origen o destino. Si no están presentes, se selecionaran los paquetes que tengan la red
especificada en la dirección tanto origen como destino. Además, se puede especificar tanto la
máscara de red como el prefijo CIDR para la red si son diferentes de los propios.
[tcp|udp] [src|dst] port <puerta>
This primitiva permite filtrar por números de puerta TCP y UDP. . Opcionalmente se puede
preceder la primitiva con las palabras clave src|dst y tcp|udp para especificar que sólo se está
interesado en puertas origen o destino y en paquetes TCP o UDP respectivamente. las
palabras clave tcp|udp deben aparecer antes que src|dst.
Si no se especifican, se selecionaran los paquetes para ambos protocolos TCP y UDP, y donde
la puerta especificada aparezca en elcampo puerta tanto origen como destino.
less|greater <longitud>
Esta primitiva permite filtrar paquetes cuya longitud sea menor o igual que la longitud
especificada, o mayor o igual que la longitud especificada, respectivamente.
ip|ether proto <protocolo>
Esta primitiva permite filtrar por el protocolo especificado tanto en el nivel Ethernet como en
el nivel IP.
ether|ip broadcast|multicast
Esta primitiva permite filtrar broadcasts o multicasts tanto Ethernet como IP.
<expr> relop <expr>
Esta primitiva permite crear expresiones de filtro complejas que seleccionen bytes o rangos de
bytes en los paquetes. Cea las páginas man de tcpdump para más detalles.
3.14 Viendo los paquetes que se han capturado

Una vez que se han capturado algunos paquetes, o se ha abierto un fichero de captura
previamente guardado, se pueden ver los paquetes que se muestran en el panel de lista de paquetes
simplemente pulsando en ese paquete en el panel de lista de paquetes, lo que llevará el paquete
seleccionado a los paneles de vista de árbol y de vista de byte.
Se puede entonces expandir cualquier parte de la vista de árbol pulsando en el signo más a la
izquierda de esa parte del paquete, y se pueden seleccionar campos individuales pulsando en ellos
en el panel de vista de árbol. Se muestra un ejemplo con un segmento TCP seleccionado en la
Figura 3-15. También tiene el número de Acknowledgment en el cabecero TCP seleccionado, que
se muestra en la vista de byte como bytes seleccionados.

MANUAL DE ETHEREAL
Figura 3-15. Ethereal con un segmento TCP seleccionado para visualización
También se pueden seleccionar y ver paquetes cuando Ethereal está capturando si se seleccionó
"Actualizar lista of paquetes en tiempo real" en el cuadro de diálogo Preferencias de Captura de
Ethereal.
Además, se pueden ver paquetes individuales en una ventana aparte como se muestra en la
Figura 3-16. Esto se hace seleccionando el paquete en el que se está interestado en el panel de lista
de paquetes, y a continuación "Show Packet in New Window" en el menú View. Esto permite
comparar fácilmente dos o más paquetes.
Figura 3-16. Viendo un paquete en una ventana aparte
Finalmente, se puede abrir un menú contextual tanto en el panel de lista de paquetes como en el
panel de vista de árbol pulsando el botón derecho del ratón. Los menus que aparecen contienen,
entre otros, los siguientes elementos:

MANUAL DE ETHEREAL
Figura 3-17. Menú contextual del Panel de Paquetes
Follow TCP Stream

Este elemento es el mismo que el elemento del menú View del mismo nombre. Permite ver
todos los datos en un flujo TCP entre una pareja de nodos.
Decode As...
Este elemento es el mismo que el elemento del menú View del mismo nombre.
Display filters...
Este elemento es el mismo que el elemento del menú Edit del mismo nombre. Permite
especificar y gestionar filtros.
Mark Packet
Este elemento es el mismo que el elemento del menú Edit del mismo nombre.
Time Reference
Este elemento es el mismo que el elemento del menú Edit del mismo nombre.
Match
Este elemento es el mismo que el elemento del menú Analyze del mismo nombre.
Prepare

MANUAL DE ETHEREAL
Coloring Rules...
Este elemento es el mismo que el elemento del menú View del mismo nombre. Permite
colorear paquetes en el panel de lista de paquetes.
Print...
Este elemento es el mismo que el elemento del menú File del mismo nombre. Permite
imprimir paquetes.
Show Packet in New Window
Este elemento es el mismo que el elemento del menú View del mismo nombre. Permite
mostrar el paquete seleccionado en otra ventana.
Figura 3-18. Menú contextual del Panel de Vista de Árbol
Follow TCP Stream

Este elemento es el mismo que el elemento del menú View del mismo nombre. Permite ver
todos los datos en un flujo TCP entre una pareja de nodos.
Decode As...
Este elemento es el mismo que el elemento del menú View del mismo nombre.
Display filters...
Este elemento es el mismo que el elemento del menú Edit del mismo nombre. Permite
especificar y gestionar filtros.

MANUAL DE ETHEREAL
Resolve Name
Este elemento hace que se realice la resolución de nombre para el paquete seleccionado, pero
NO para cada paquete dela captura.
Export Selected Packet Bytes...
Este elemento exporta los bytes seleccionados del paquete actual a un fichero binario. Hace lo
mismo que la opción Export del menú File.
Protocol Preferences...
Este elemento lleva al cuadro de diálogo de preferencias de protocolo si hay propiedades
asociadas con los campos resaltados. Se puede encontrar más información sobre las
preferencias en la Figura 3-33.
Apply as filter…
Prepare a filter…
Collapse All
Ethereal mantiene un lista de todos los subárboles de protocolo que se expanden, y la utiliza
para asegurar que los subárboles correctos se expanden cuando se muestra un paquete. Este
elemento contrae la vista de árbol de todos los paquetes en la lista de captura.
Expand All
Este elemento expande todos los subárboles de todos los paquetes de la captura.
Expand Tree
Este elemento expande el árbol actual.
3.15 Guardando los paquetes capturados

Se pueden guardar los paquetes capturados simplemente usando el elemento de menú Save As...
del menú File de Ethereal. Se puede elegir guardar todos los paquetes capturados o sólo los
paquetes que están visualizándose.
Cuadro de diálogo Guardar Fichero de captura Como

El cuadro de diálogo Guardar Fichero de captura Como permite guardar la captura actual a un
fichero. La Figura 3-19 muestra un ejemplo de éste cuadro de diálogo.

MANUAL DE ETHEREAL
Figura 3-19. El cuadro de diálogo Guardar Fichero de captura Como
Con este cuadro de diálogo, se pueden realizar las siguientes acciones:

1. Seleccionar ficheros y directorios con las listas "Name" y "Save in folder" y la lista
desplegable "Browse for other folders".
2. Guardar sólo los paquetes que están siendo actualmente visualizados (en contraposición a
todos los paquetes capturados) pulsando en el botón de radio "Save only packets currently
being displayed".
3. Guardar sólo los paquetes marcados (en contraposición a todos los paquetes capturados)
pulsando en el botón de radio "Save only marked packets". Se puede encontrar más
información sobre Marcar paquetes en la sección El menú Edit de Ethereal.
4. Especificar el formato del fichero de captura guardado pulsando en la lista desplegable
"File type". Se puede escoger entre los siguientes tipos:
a. libpcap (tcpdump, Ethereal, etc.)
b. libpcap modificado (tcpdump)
c. RedHat Linux libpcap (tcpdump)
d. Network Associates Sniffer (basado en DOS)
e. Sun Snoop
f. Microsoft Network Monitor 1.x
g. Network Associates Sniffer (basado en Windows) 1.1
¡Nota!: Algunos formatos de captura pueden no estar disponibles, dependiendo de los tipos de trama
capturados.

MANUAL DE ETHEREAL
¡Nota!: Se pueden convertir ficheros de captura de un formato a otro leyendo un fichero de captura y
guardándolo con otro nombre usando un formato diferente.
5. Teclear el nombre del fichero en el que se desean guardar los paquetes capturados, como
un nombre de fichero estándar del sistema de ficheros.
6. Pulsar OK para aceptar el fichero seleccionado y guardarlo. Si Ethereal tiene algún
problema guardando los paquetes capturados al fichero que se especificó, se mostrará un
cuadro de diálogo de error. Después de pulsar OK, se puede probar con otro fichero.
7. Pulsar Cancel para volver a Ethereal sin guardar los paquetes capturados.
3.16 Leyendo ficheros de captura

Ethereal puede leer ficheros de captura guardados previamente, y además, debido a que está
compilado con una librería de subrutinas llamada libwiretap, puede leer ficheros de captura de otros
variosr programas de captura paquetes también. A continuación está la lista de formatos de captura
que entiende:
• tcpdump y Ethereal
• snoop (incluyendo Shomiti) y atmsnoop
• LanAlyzer
• Sniffer (comprimido o no comprimido) y Sniffer Pro para DOS o Windows
• Microsoft Network Monitor
• NetXray
• El analizador WAN/LAN de RADCOM
• La salida dump de los routers ISDN de Toshiba
• Cinco Networks NetXRay
• iptrace de AIX
• AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek
• Productos de acceso Lucent/Ascend
• nettl de HP-UX
• Salida en formato IPLog del Cisco Secure Intrusion Detection System
• Logs pppd (formato pppdump)
• Utilidad TCPIPtrace de VMS
• Salida de texto de la utilidad DBS Etherwatch VMS
• Ficheros de capura de tráfico de Visual UpTime de Visual Networks
• Salida debug de CoSine L2
• Utilidad i4btrace de ISDN4BSD
Sólo se necesita tener estos ficheros en el sistema y Ethereal podrá leerlos. Para leerlos,
simplemente selecciona el elemento de menú Open del menú File. Ethereal lanzará el cuadro de
diálogo Abrir Fichero, que se discute en más detalle en la sección el cuadro de diálogo Abrir
Fichero

MANUAL DE ETHEREAL
El cuadro de diálogo Abrir Fichero

El cuadro de diálogo Abrir Fichero de Ethereal permite buscar un fichero de captura que
contenga paquetes previamente capturados para visualizarlo en Ethereal. La Figura 3-20 muestra un
ejemplo del cuadro de diálogo Abrir Fichero de Ethereal.
Figura 3-20. El cuadro de diálogo Abrir Fichero
Con este cuadro de diálogo, se pueden realizar las siguientes acciones:

1. Seleccionar ficheros y directorios con las listas de unidads, directorios y ficheros.
2. Especificar un filtro de visualización con el botón "Filter" y el campo "filter". Al pulsar el
botón "Filter" Ethereal lanza el cuadro de diálogo Filtros (que se discute más adelante en
la sección Filtrando paquetes mientras se ven).
3. Especificar que se realice la resolución de nombres MAC para todas las direcciones MAC
en paquetes marcando la casilla de verificación "Enable MAC name resolution".
4. Especificar que se realice la resolución de nombres DNS para todas las direcciones IP en
paquetes marcando la casilla de verificación "Enable network name resolution".
Nota: Enabling network name resolution when your DNS server is unavailable may significantly slow
ethereal while it waits for all of the DNS requests to time out
5. Especificar que se realice la resolución de nombres de transporte para todas las
direcciones de transporte (puertas TCP/UDP) en paquetes marcando la casilla de
verificación "Enable transport name resolution".

MANUAL DE ETHEREAL
6. Pulsar OK para aceptar el fichero seleccionado y abrirlo. Si Ethereal reconoce el formato

de captura, mostrará los paquetes leídos del fichero de captura en el panel de lista de
paquetes. Si no reconoce el formato de captura, mostrará un cuadro de diálogo de error.
Después de pulsar OK, se puede probar con otro fichero.
7. Pulsar Cancel para volver a Ethereal sin cargar un fichero de captura.
3.17 Filtrando paquetes mientras se ven

Ethereal tiene dos lenguajes de filtrado: Uno utilizado cuando se capturan paquetes, y el otro
cuando se visualizan paquetes. En esta sección se explora este segundo tipo de filtros: los filtros de
visualización. El primer tipo ya ha sido tratado en la sección Filtrando mientras se captura.
Los filtros de visualización permiten concentrarse en los paquetes en que se está interesado.
Permiten seleccionar paquetes por:
• Protocolo
• La presencia de un campo
• Los valores de campos
• Una comparación entre campos
Para seleccionar paquetes basándose en el tipo de protocolo, simplemente hay que teclear el
protocolo en que se está interesado en el campo Filter: de la esquina inferior izquierda d la ventana
de Ethereal y presionar enter para iniciar el filtro. La Figura 3-21 muestra un ejemplo de lo que
sucede cuando se teclea smb en el campo filtro.
¡Nota!: Todas las expresiones de filtro se introducen en minúsculas. Además, no hay que olvidar
presionar enter después de introducir la expresión de filtro.

MANUAL DE ETHEREAL
Figura 3-21. Filtrando por el protocolo SMB
¡Nota!: Los paquetes seleccionados en la Figura 3-21 aparecen todos como paquetes BROWSER pero
son transportados en paquetes SMB.
Se puede filtrar por cualquier protocolo que Ethereal entienda. Sin embargo, también se puede
filtrar por cualquier campo que un disector añada a la vista de árbol, pero sólo si el disector ha
añadido una abreviatura para el campo. Una lista de estos campos está disponible en Ethereal en el
cuadro de diálogo Añadir Expresión.... Se puede encontrar más información sobre el cuadro de
diálogo Añadir Expresión... en la sección El Diálogo Añadir Expresión.
Por ejemplo, para reducer la lista de paquetes sólo a aquellos paquetes que vaya desde o hacia
10.0.0.5, use ip.addr==10.0.0.5.
¡Nota!: Para borrar el filtro, pulse en el botón Reset a la derecha del campo filtro.
Construyendo expresiones de filtro

Ethereal proporciona un lenguaje de filtros de visualización sencillo con el que se pueden
construir expresiones de filtrado bastante complejas. Se pueden comparar valores en paquetes así
como combinar expresiones en expresiones más específicas. Las siguientes secciones proporcionan
más información sobre como hacer esto.
Comparando valores
Se pueden construir filtros de visualización que comparen valores usando varios operadores de
comparación diferentes. Estos se muestran en la Tabla 3-8.

MANUAL DE ETHEREAL
Tabla 3-8. Operadores de comparación de filtros de visualización
Inglés Tipo C Descripción y ejemplo

eq == Igual
ip.addr==10.0.0.5
ne != Distinto
ip.addr!=10.0.0.5
gt > Mayor que
.pkt_len > 10
lt < Menor que
frame.pkt_len < 128
ge >= Mayor o igual que
frame.pkt_len ge 0x100
le <= Menor o igual que
frame.pkt_len <= 0x20
is present Está presente
contains Contiene
matches Cumple o encaja
Además, todos los campos de protocolo tienen tipo. La tabla 3-9 proporciona una lista de los
tipos y un ejemplo de como expresarlos.
Tabla 3-9. Tipos de Campo
Tipo Ejemplo
Entero sin signo Se pueden expresar enteros en formato decimal, octal o hexadecimal. Los
(8-bit, 16-bit, 24-bit, siguientes filtros de visualización son equivalentes:
32-bit) ip.len le 1500
ip.len le 02734
ip.len le 0x436
Entero con signo (8-
bit, 16-bit, 24-bit, 32-
bit)
Booleano o lógico Un campo lógico está presente en la decodificación de protocolo sólo si su
valor es true.
Por ejemplo, tcp.flags.syn está presente, y por lo tanto es true, sólo si el flag
SYN está presente en el cabecero del segmento TCP.
Por lo tanto la expresión de filtro tcp.flags.syn seleccionará solo aquellos
paquetes para los que este flag existe, esto es, los segmentos TCP donde el
cabecero del segmento contiene el flag SYN. Similarmente, para encontrar
paquetes token ring con source-routing, use una expresión de filtro de tr.sr.
Dirección Ethernet (6
bytes)

MANUAL DE ETHEREAL
Tipo Ejemplo
Dirección IPv4
Dirección IPv6
Número de Red IPX
String (texto)
Número de coma
flotante de doble
precisión
Combinando expresiones
Se pueden combinar expresiones de filtro en Ethereal usando los operadores lógicos mostrados
en la Tabla 3-10
Tabla 3-10. Operaciones lógicas de filtros de visualización

and && Y lógico
ip.addr==10.0.0.5 and tcp.flags.fin
or || O lógico
ip.addr==10.0.0.5 or ip.addr==192.1.1.1
xor ^^ XOR (O exclusivo) lógico
tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == 0.6.30
not ! NO lógico
not llc
[...] Operador de subcadena
Ethereal permite seleccionar subsecuencias de una secuencia de formas bastante
elaboradas. Después de una etiqueta se pueden colocar un par de corchetes []
conteniendo una lista separada por comas de especificadotes de rango.
eth.src[0:3] == 00:00:83
El ejemplo anterior usa el formato n:m para especificar un rango sencillo. En este
caso n es el offset inicial y m es la longitud del rango que está sendo especificado.
eth.src[1-2] == 00:83
El ejemplo anterior usa el formato n-m para especificar un rango sencillo. En este
caso n es el offset inicial y m es el offset final.
eth.src[:4] == 00:00:83:00
El ejemplo anterior usa el formato:m, que toma todo desde el comienzo de una
secuencia hasta el offset m. Es equivalente a 0:m
eth.src[4:] == 20:20
El ejemplo anterior usa el formato n:, que toma todo desde el offset n hasta el fin

MANUAL DE ETHEREAL

de la secuencia.
eth.src[2] == 83
El ejemplo anterior usa el formato n para especificar un rango sencillo. En este
caso se selecciona el elemento de la secuence con el offset n. Es equivalente a n:1.
eth.src[0:3,1-2,:4,4:,2] == 00:00:83:00:83:00:00:83:00:20:20:83
Este último ejemplo muestra como concatenar varios rangos separando la lista de
rangos con comas
3.18 Coloreado de paquetes

Un mecanismo muy útil disponible en Ethereal e el coloreado de paquetes. Se puede configurar
Ethereal de modo que coloree paquetes de acuerdo con un filtro. Esto permite emfatizar los
paquetes en que se está interesado.
Para colorear paquetes, seleccione el elemento de menú Coloring Rules... del menú View, y
Ethereal lanzará el cuadro de diálogo Añadir Color a Protocolos como se muestra en la Figura 3-22.
Figura 3-22. El cuadro de diálogo Añadir Color a Protocolos de Ethereal
Una vez que el cuadro de diálogo Añadir Color a Protocolos aparece, hay varios botones que se
pueden utilizar, dependiendo de si ya se han instalado o no filtros de color. Si es la primera vez que
se utiliza Añadir Color a Protocolos, pulse en New para mostrar el cuadro de diálogo Editar filtro
de color como se muestra en la Figura 3-23.

MANUAL DE ETHEREAL
Figura 3-23. El cuadro de diálogo Editar filtro de color de Ethereal
En el cuadro de diálogo Editar filtro de color, simplemente introduzca un nombre para el filtro
de color, e introduzaca una expresión de filtro en el campote texto Filter. La Figura 3-23 muestra
los valores smb y smb lo que significa que el nombre del filtro de color es smb y el filtro
seleccionará protocolos de tipo smb.
Una vez que se han introducido estos valores, se pueden elegir un color de texto y un color de
fondo para los paquetes que cumplan la expresión de filtro. Pulse en Choose background color o
Choose foreground color para conseguir esto y Ethereal lanzará el cuadro de diálogo Elegir color
de texto/fondo para protocolo como se muestra en la Figura 3-24.
Figura 3-24. El cuadro de diálogo Elegir color de Ethereal
Seleccione el color deseado para los paquetes seleccionados y pulse OK.

¡Nota!: Se debe seleccionar un color en la barra de color próxima a la rueda de color para cargar valores
en los deslizadores RGB. Como alternativa, se pueden usar los deslizadores para seleccionar el color que
se desea.
Es necesario seleccionar cuidadosamente el orden en que se listan los filtros (y por lo tanto se
aplican) ya que éstos se aplican en orden. Por lo tanto, los filtros más específicos se deben listar
antes que los filtros más generales. Por ejemplo, si se tiene un filtro de color para UDP antes que
uno para DNS, el filtro de color para DNS nunca se aplicará.

MANUAL DE ETHEREAL
La Figura 3-25 muestra un ejemplo de varios filtros de color siendo usados en Ethereal.
Figura 3-25. Usando filtros de color con Ethereal
3.19 Encontrando paquetes

Se pueden encontrar tramas fácilmente una vez que se han capturado algunos paquetes o se ha
leído un fichero de captura previamente guardado. Simplemente seleccione el elemento de menú
Find Packet... del menú Edit. Ethereal lanzará el cuadro de diálogo mostrado en la Figura 3-26.
Figura 3-26. El cuadro de diálogo Find Packet de Ethereal
Simplemente introduzca una expresión de filtro de visualización en el campo Filter:, seleccione

una dirección, y pulse OK.

MANUAL DE ETHEREAL
Por ejemplo, para encontrar el three way handshake para una conexión desde el host 10.0.0.5,
use la siguiente expresión de filtro:
ip.addr==10.0.0.5 and tcp.flags.syn
Para más detalles sobre filtros de visualización, vea la sección Filtrando paquetes mientras s
visualizan.
3.20 Siguiendo flujos TCP

Habrá ocasiones en las que se deseen ver los datos de una sesión TCP en el orden en que el nivel
de aplicación los vería. Quizá se están buscando passwords en un flujo Telnet, o quizá se está
intentando dar sentido a un flujo de datos. Si es así, la habilidad de Ethereal de seguir un flujo TCP
será útil para conseguirlo.
Simplemente seleccione un segmento TCP del flujo/conexión que le interese y seleccione el
elemento de menú Follow TCP Stream del menú Analyze de Ethereal. Ethereal lanzará una ventana
aparte con todos los datos del flujo TCP clasificados en orden, como muestra la Figura 3-27.
Figura 3-27. Siguiendo un Flujo TCP
Se pueden elegir cuatro formatos para ver los datos:

1. ASCII. En esta vista se ven los datos de cada extremo en ASCII, pero alternados en
función de cuando envió los datos cada extremo. Desafortunadamente, los caracteres no
imprimibles no se imprimen.
2. EBCDIC. Antiguo sistema de codificación de caracteres ya en desuso.

MANUAL DE ETHEREAL
3. HEX Dump. Permite ver todos los datos, pero se pierde la capacidad de leerlos en ASCII.
4. C Arrays. Permite ver los datos en formato de vectores C.
¡Nota!: Merece la pena destacar que Follow TCP Stream instala un filtro para seleccionar todos los
paquetes del flujo TCP que se ha seleccionado.
También permite optar por mostrar sólo un sentido de la conversación (lista Entire
conversation), así como guardar (botón Save As), imprimir (botón Print) o filtrar el flujo TCP
(botón Filter out this stream).
3.21 Definiendo y guardando filtros

Se pueden definir filtros con Ethereal y darles etiquetas para su uso posterior. Esto puede ahorrar
tiempo para recordar y volver a teclear algunos de los filtros más complejos que se utilicen.
Para definir un nuevo filtro o editar uno existente, seleccione el elemento de menú Filters... del
menú Edit. Ethereal lanzará entonces el cuadro de diálogo Filtros como muestra la Figura 3-28.
Figura 3-28. El cuadro de diálogo Filtros de Ethereal
Se debe introducir un nombre de filtro en el campo Filter name, y una expresión de filtro en el
campo Filter string. Sin embargo, para la mayoría de las otras acciones, hay que seleccionar un
filtro del cuadro de lista (que rellenará el nombre y la expresión en los campos de la parte inferior
del cuadro de diálogo), y hacer cualquier cambio que se desee. Entonces se debería elegir uno de
los botones de la parte izquierda del cuadro de diálogo. Los botones tienen los siguientes
significados:
New
Este botón añade la expresión de filtro introducida en el campo Filter string con el nombre
proporcionado en el campo Filter name.

MANUAL DE ETHEREAL
¡Nota!: Se pueden añadir múltiples filtros con el mismo nombre. Esto no es muy útil.
Delete
Este botón borra el filtro seleccionado.
Apply
Este botón aplica el filtro seleccionado a la vista actual.
Add Expression...
Este botón lanza el cuadro de diálogo Añadir Expresión que asiste en la construcción de
expresiones de filtro. Se puede encontrar más información sobre el cuadro de diálogo Añadir
Expresión en la sección El cuadro de diálogo Añadir Expresión.
3.22 El cuadro de diálogo Añadir Expresión

Cuando se está acostumbrado al sistema de filtrado de Ethereal y se conocen las etiquetas que se
desean utilizar en los filtros puede ser muy rápido teclear simplemente una expresión de filtro. Sin
embargo, si se es nuevo en Ethereal o se está trabajando con un protocolo ligeramente poco familiar
puede ser muy confuso intentar averiguar que teclear. El cuadro de diálogo Añadir Expresión ayuda
a hacerlo.
Figura 3-29. El cuadro de diálogo Añadir Expresión
Cuando se abre por primera vez el cuadro de diálogo Añadir Expresión se muestra una lista de
árbol de nombres de campo, organizados por protocolo, y un cuadro para seleccionar una relación.
Field Name
Seleccione un campo de protocolo del árbol de campos de protocolos. Cada protocolo con
campos filtrables se lista en el nivel máximo. Pulsando en el "+" próximo al nombre de

MANUAL DE ETHEREAL
protocolo se puede obtener una lista de los nombres de campo disponibles para filtrado para
ese protocolo.
Relation
Seleccione una relación de la lista de relaciones disponibles. is present es una relación unaria
que es cierta si el campo seleccionado está presente en un paquete. Todas las demás
relaciones listadas son relaciones binarias y requieren datos adicionales (es decir, un valor a
cumplir) para completarlas.
Cuando se selecciona un campo de la lista field name y una relación binaria (como la relación de
igualdad ==) se dará la oportunidad de introducir un valor, y posiblemente alguna información de
rango.
Value
Se puede introducir un valor apropiado en el cuadro de texto Value. Value también indicará
el tipo de valor para el nombre de campo que se ha seleccionado (como cadena de caracteres).
Accept
Cuando se ha compuesto una expresión satisfactoria pulse Accept y la expresión de filtro se
construirá para usted.
Close
Se puede dejar el cuadro de diálogo Add Expression... sin ningún efecto pulsando el botón
Close
Figura 3-31. Resultado de contruir una expresión de filtro usando el cuadro de diálogo Añadir Expresión.

MANUAL DE ETHEREAL
El cuadro de diálogo Añadir Expresión es un modo excelente de aprender a escribir expresiones

de filtro de visualización en Ethereal.
3.23 Imprimiendo paquetes

Para imprimir paquetes de una captura, seleccione el elemento de menú Print... del menú File.
Cuando se hace esto, Ethereal lanza el cuadro de diálogo Imprimir como muestra la Figura 3-32.
Figura 3-32. El cuadro de diálogo Imprimir de Ethereal
Los siguientes campos están disponibles en el cuadro de diálogo Imprimir:

Printer
Este campo contiene un par de botones de radio mutuamente excluyentes:
• Plain Text, que especifica que la impresión del paquete debería ser en texto plano.
• PostScript, que especifica que el proceso de impresión del paquete debería usar
Postscript para generar una mejor impresión.
Output to File
Este campo especifica la impresión se redirija al fichero especificado en el cuadro de texto a
su derecha. Pulse Browse para elegir el directorio y archivo deseado
Packet range
Aquí se especifica si se desean imprimir todos los paquetes, sólo el seleccionado, sólo los
marcados, del primer al último paquete marcado, o un rango de paquetes especificado. Se
pueden elegir estas opciones tanto para la captura total como para los paquetes que están
siendo visualizados en el momento.

MANUAL DE ETHEREAL
Packet details
Esta casilla de verificación selecciona si Ethereal imprime o no un resumen o los detalles para
cada paquete impreso.
All dissections collapsed, Dissections as displayed y All dissections expanded
Estos botones de radio mutuamente excluyentes selecciona si Ethereal expande o no todos los
detalles para todos los paquetes impresos, o los imprime como se visualizan (es decir,
expandiendo sólo los árboles de protocolo actualmente expandidos.
Packet hex data
Esta casilla de verificación controla si Ethereal imprime o no los datos hexadecimales para
cada paquete seleccionado.
3.24 Preferencias de Ethereal

Hay varias preferencias que se pueden configurar desde un único lugar. Simplemente seleccione
el elemento de menú Preferences... del menú Edit, y Ethereal lanzará el cuadro de diálogo
Preferencias como se muestra en la Figura 3-33.
Figura 3-33. El cuadro de diálogo Preferencias de Ethereal

MANUAL DE ETHEREAL
El cuadro de diálogo Preferencias de Ethereal es un cuadro de diálogo con varias categorías que
permite establecer preferencias para cada uno de los siguientes elementos:
Printing
Esta categoría permite definir el comando de impresión por defecto que Ethereal utilizará así
como el nombre por defecto del fichero de salida cuando se imprema a un fichero. Estos
parámetros se discuten en más detalle en la sección Imprimiendo paquetes
Columns
Esta categoría permite seleccionar que columnas aparecen en el Panel de Lista de Paquetes.
Fonts
Esta categoría permite seleccionar las fuentes a utilizar en Ethereal.
Colors
Esta categoría permite cambiar los colores de texto y de fondo usados en la ventana Follow
TCP Stream descrita en la sección Siguiendo flujos TCP.
Name resolution
Esta pestaña permite configurar varias opciones de resolución automática de nombres.
Otras categorías
Las restantes categorías permiten configurar varias preferencias para la disección de varios
protocolos de red.

MANUAL DE ETHEREAL
4 GNU Free Documentation License

Version 1.2, November 2002
Copyright (C) 2000,2001,2002 Free Software Foundation, Inc.

59 Temple Place, Suite 330, Boston, MA 02111-1307 USA
Everyone is permitted to copy and distribute verbatim copies
of this license document, but changing it is not allowed.
0. PREAMBLE
The purpose of this License is to make a manual, textbook, or other functional and useful
document "free" in the sense of freedom: to assure everyone the effective freedom to copy and
redistribute it, with or without modifying it, either commercially or noncommercially. Secondarily,
this License preserves for the author and publisher a way to get credit for their work, while not
being considered responsible for modifications made by others.
This License is a kind of "copyleft", which means that derivative works of the document must
themselves be free in the same sense. It complements the GNU General Public License, which is a
copyleft license designed for free software.
We have designed this License in order to use it for manuals for free software, because free
software needs free documentation: a free program should come with manuals providing the same
freedoms that the software does. But this License is not limited to software manuals; it can be used
for any textual work, regardless of subject matter or whether it is published as a printed book. We
recommend this License principally for works whose purpose is instruction or reference.
1. APPLICABILITY AND DEFINITIONS
This License applies to any manual or other work, in any medium, that contains a notice placed
by the copyright holder saying it can be distributed under the terms of this License. Such a notice
grants a world-wide, royalty-free license, unlimited in duration, to use that work under the
conditions stated herein. The "Document", below, refers to any such manual or work. Any member
of the public is a licensee, and is addressed as "you". You accept the license if you copy, modify or
distribute the work in a way requiring permission under copyright law.
A "Modified Version" of the Document means any work containing the Document or a portion
of it, either copied verbatim, or with modifications and/or translated into another language.
A "Secondary Section" is a named appendix or a front-matter section of the Document that deals
exclusively with the relationship of the publishers or authors of the Document to the Document's
overall subject (or to related matters) and contains nothing that could fall directly within that
overall subject. (Thus, if the Document is in part a textbook of mathematics, a Secondary Section
may not explain any mathematics.) The relationship could be a matter of historical connection with
the subject or with related matters, or of legal, commercial, philosophical, ethical or political
position regarding them.
The "Invariant Sections" are certain Secondary Sections whose titles are designated, as being
those of Invariant Sections, in the notice that says that the Document is released under this License.
If a section does not fit the above definition of Secondary then it is not allowed to be designated as
Invariant. The Document may contain zero Invariant Sections. If the Document does not identify
any Invariant Sections then there are none.

MANUAL DE ETHEREAL
The "Cover Texts" are certain short passages of text that are listed, as Front-Cover Texts or
Back-Cover Texts, in the notice that says that the Document is released under this License. A
Front-Cover Text may be at most 5 words, and a Back-Cover Text may be at most 25 words.
A "Transparent" copy of the Document means a machine-readable copy, represented in a format
whose specification is available to the general public, that is suitable for revising the document
straightforwardly with generic text editors or (for images composed of pixels) generic paint
programs or (for drawings) some widely available drawing editor, and that is suitable for input to
text formatters or for automatic translation to a variety of formats suitable for input to text
formatters. A copy made in an otherwise Transparent file format whose markup, or absence of
markup, has been arranged to thwart or discourage subsequent modification by readers is not
Transparent. An image format is not Transparent if used for any substantial amount of text. A copy
that is not "Transparent" is called "Opaque".
Examples of suitable formats for Transparent copies include plain ASCII without markup,
Texinfo input format, LaTeX input format, SGML or XML using a publicly available DTD, and
standard-conforming simple HTML, PostScript or PDF designed for human modification.
Examples of transparent image formats include PNG, XCF and JPG. Opaque formats include
proprietary formats that can be read and edited only by proprietary word processors, SGML or
XML for which the DTD and/or processing tools are not generally available, and the machine-
generated HTML, PostScript or PDF produced by some word processors for output purposes only.
The "Title Page" means, for a printed book, the title page itself, plus such following pages as are
needed to hold, legibly, the material this License requires to appear in the title page. For works in
formats which do not have any title page as such, "Title Page" means the text near the most
prominent appearance of the work's title, preceding the beginning of the body of the text.
A section "Entitled XYZ" means a named subunit of the Document whose title either is
precisely XYZ or contains XYZ in parentheses following text that translates XYZ in another
language. (Here XYZ stands for a specific section name mentioned below, such as
"Acknowledgements", "Dedications", "Endorsements", or "History".) To "Preserve the Title" of
such a section when you modify the Document means that it remains a section "Entitled XYZ"
according to this definition.
The Document may include Warranty Disclaimers next to the notice which states that this
License applies to the Document. These Warranty Disclaimers are considered to be included by
reference in this License, but only as regards disclaiming warranties: any other implication that
these Warranty Disclaimers may have is void and has no effect on the meaning of this License.
2. VERBATIM COPYING
You may copy and distribute the Document in any medium, either commercially or
noncommercially, provided that this License, the copyright notices, and the license notice saying
this License applies to the Document are reproduced in all copies, and that you add no other
conditions whatsoever to those of this License. You may not use technical measures to obstruct or
control the reading or further copying of the copies you make or distribute. However, you may
accept compensation in exchange for copies. If you distribute a large enough number of copies you
must also follow the conditions in section 3.
You may also lend copies, under the same conditions stated above, and you may publicly
display copies.
3. COPYING IN QUANTITY
If you publish printed copies (or copies in media that commonly have printed covers) of the
Document, numbering more than 100, and the Document's license notice requires Cover Texts, you

MANUAL DE ETHEREAL
must enclose the copies in covers that carry, clearly and legibly, all these Cover Texts: Front-Cover
Texts on the front cover, and Back-Cover Texts on the back cover. Both covers must also clearly
and legibly identify you as the publisher of these copies. The front cover must present the full title
with all words of the title equally prominent and visible. You may add other material on the covers
in addition. Copying with changes limited to the covers, as long as they preserve the title of the
Document and satisfy these conditions, can be treated as verbatim copying in other respects.
If the required texts for either cover are too voluminous to fit legibly, you should put the first
ones listed (as many as fit reasonably) on the actual cover, and continue the rest onto adjacent
pages.
If you publish or distribute Opaque copies of the Document numbering more than 100, you must
either include a machine-readable Transparent copy along with each Opaque copy, or state in or
with each Opaque copy a computer-network location from which the general network-using public
has access to download using public-standard network protocols a complete Transparent copy of
the Document, free of added material. If you use the latter option, you must take reasonably prudent
steps, when you begin distribution of Opaque copies in quantity, to ensure that this Transparent
copy will remain thus accessible at the stated location until at least one year after the last time you
distribute an Opaque copy (directly or through your agents or retailers) of that edition to the public.
It is requested, but not required, that you contact the authors of the Document well before
redistributing any large number of copies, to give them a chance to provide you with an updated
version of the Document.
4. MODIFICATIONS
You may copy and distribute a Modified Version of the Document under the conditions of
sections 2 and 3 above, provided that you release the Modified Version under precisely this
License, with the Modified Version filling the role of the Document, thus licensing distribution and
modification of the Modified Version to whoever possesses a copy of it. In addition, you must do
these things in the Modified Version:
• A. Use in the Title Page (and on the covers, if any) a title distinct from that of the
Document, and from those of previous versions (which should, if there were any, be listed
in the History section of the Document). You may use the same title as a previous version if
the original publisher of that version gives permission.
• B. List on the Title Page, as authors, one or more persons or entities responsible for
authorship of the modifications in the Modified Version, together with at least five of the
principal authors of the Document (all of its principal authors, if it has fewer than five),
unless they release you from this requirement.
• C. State on the Title page the name of the publisher of the Modified Version, as the
publisher.
• D. Preserve all the copyright notices of the Document.
• E. Add an appropriate copyright notice for your modifications adjacent to the other
copyright notices.
• F. Include, immediately after the copyright notices, a license notice giving the public
permission to use the Modified Version under the terms of this License, in the form shown
in the Addendum below.
• G. Preserve in that license notice the full lists of Invariant Sections and required Cover
Texts given in the Document's license notice.

MANUAL DE ETHEREAL
• H. Include an unaltered copy of this License.

• I. Preserve the section Entitled "History", Preserve its Title, and add to it an item stating at
least the title, year, new authors, and publisher of the Modified Version as given on the Title
Page. If there is no section Entitled "History" in the Document, create one stating the title,
year, authors, and publisher of the Document as given on its Title Page, then add an item
describing the Modified Version as stated in the previous sentence.
• J. Preserve the network location, if any, given in the Document for public access to a
Transparent copy of the Document, and likewise the network locations given in the
Document for previous versions it was based on. These may be placed in the "History"
section. You may omit a network location for a work that was published at least four years
before the Document itself, or if the original publisher of the version it refers to gives
permission.
• K. For any section Entitled "Acknowledgements" or "Dedications", Preserve the Title of the
section, and preserve in the section all the substance and tone of each of the contributor
acknowledgements and/or dedications given therein.
• L. Preserve all the Invariant Sections of the Document, unaltered in their text and in their
titles. Section numbers or the equivalent are not considered part of the section titles.
• M. Delete any section Entitled "Endorsements". Such a section may not be included in the
Modified Version.
• N. Do not retitle any existing section to be Entitled "Endorsements" or to conflict in title
with any Invariant Section.
• O. Preserve any Warranty Disclaimers.
If the Modified Version includes new front-matter sections or appendices that qualify as
Secondary Sections and contain no material copied from the Document, you may at your option
designate some or all of these sections as invariant. To do this, add their titles to the list of Invariant
Sections in the Modified Version's license notice. These titles must be distinct from any other
section titles.
You may add a section Entitled "Endorsements", provided it contains nothing but endorsements
of your Modified Version by various parties--for example, statements of peer review or that the text
has been approved by an organization as the authoritative definition of a standard.
You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25
words as a Back-Cover Text, to the end of the list of Cover Texts in the Modified Version. Only
one passage of Front-Cover Text and one of Back-Cover Text may be added by (or through
arrangements made by) any one entity. If the Document already includes a cover text for the same
cover, previously added by you or by arrangement made by the same entity you are acting on
behalf of, you may not add another; but you may replace the old one, on explicit permission from
the previous publisher that added the old one.
The author(s) and publisher(s) of the Document do not by this License give permission to use
their names for publicity for or to assert or imply endorsement of any Modified Version.
5. COMBINING DOCUMENTS
You may combine the Document with other documents released under this License, under the
terms defined in section 4 above for modified versions, provided that you include in the
combination all of the Invariant Sections of all of the original documents, unmodified, and list them

MANUAL DE ETHEREAL
all as Invariant Sections of your combined work in its license notice, and that you preserve all their
Warranty Disclaimers.
The combined work need only contain one copy of this License, and multiple identical Invariant
Sections may be replaced with a single copy. If there are multiple Invariant Sections with the same
name but different contents, make the title of each such section unique by adding at the end of it, in
parentheses, the name of the original author or publisher of that section if known, or else a unique
number. Make the same adjustment to the section titles in the list of Invariant Sections in the
license notice of the combined work.
In the combination, you must combine any sections Entitled "History" in the various original
documents, forming one section Entitled "History"; likewise combine any sections Entitled
"Acknowledgements", and any sections Entitled "Dedications". You must delete all sections
Entitled "Endorsements."
6. COLLECTIONS OF DOCUMENTS
You may make a collection consisting of the Document and other documents released under this
License, and replace the individual copies of this License in the various documents with a single
copy that is included in the collection, provided that you follow the rules of this License for
verbatim copying of each of the documents in all other respects.
You may extract a single document from such a collection, and distribute it individually under
this License, provided you insert a copy of this License into the extracted document, and follow this
License in all other respects regarding verbatim copying of that document.
7. AGGREGATION WITH INDEPENDENT WORKS
A compilation of the Document or its derivatives with other separate and independent
documents or works, in or on a volume of a storage or distribution medium, is called an "aggregate"
if the copyright resulting from the compilation is not used to limit the legal rights of the
compilation's users beyond what the individual works permit. When the Document is included in an
aggregate, this License does not apply to the other works in the aggregate which are not themselves
derivative works of the Document.
If the Cover Text requirement of section 3 is applicable to these copies of the Document, then if
the Document is less than one half of the entire aggregate, the Document's Cover Texts may be
placed on covers that bracket the Document within the aggregate, or the electronic equivalent of
covers if the Document is in electronic form. Otherwise they must appear on printed covers that
bracket the whole aggregate.
8. TRANSLATION
Translation is considered a kind of modification, so you may distribute translations of the
Document under the terms of section 4. Replacing Invariant Sections with translations requires
special permission from their copyright holders, but you may include translations of some or all
Invariant Sections in addition to the original versions of these Invariant Sections. You may include
a translation of this License, and all the license notices in the Document, and any Warranty
Disclaimers, provided that you also include the original English version of this License and the
original versions of those notices and disclaimers. In case of a disagreement between the translation
and the original version of this License or a notice or disclaimer, the original version will prevail.
If a section in the Document is Entitled "Acknowledgements", "Dedications", or "History", the
requirement (section 4) to Preserve its Title (section 1) will typically require changing the actual
title.
9. TERMINATION

MANUAL DE ETHEREAL
You may not copy, modify, sublicense, or distribute the Document except as expressly provided
for under this License. Any other attempt to copy, modify, sublicense or distribute the Document is
void, and will automatically terminate your rights under this License. However, parties who have
received copies, or rights, from you under this License will not have their licenses terminated so
long as such parties remain in full compliance.
10. FUTURE REVISIONS OF THIS LICENSE
The Free Software Foundation may publish new, revised versions of the GNU Free
Documentation License from time to time. Such new versions will be similar in spirit to the present
version, but may differ in detail to address new problems or concerns. See
http://www.gnu.org/copyleft/.
Each version of the License is given a distinguishing version number. If the Document specifies
that a particular numbered version of this License "or any later version" applies to it, you have the
option of following the terms and conditions either of that specified version or of any later version
that has been published (not as a draft) by the Free Software Foundation. If the Document does not
specify a version number of this License, you may choose any version ever published (not as a
draft) by the Free Software Foundation.

FILTROS DE VISUALIZACIÓN
NOMBRES DE CAMPOS DE PROTOCOLOS
L&M Data Communications 2005

Ethereal
Search:
Ethereal: Display Filter Reference: Frame, Ethernet, IEEE 802.11 WLAN
Home | Introduction | Download | Documentation | Lists | FAQ | Development

Display Filter Reference
FRAME
Protocol field name: frame
Versions: 0.9.0 to 0.10.3
Field name Type Description Versions

frame.cap_len Unsigned 32-bit integer Capture Frame Length 0.9.0 to 0.10.9
frame.file_off Signed 32-bit integer File Offset 0.9.0 to 0.10.9
frame.marked Boolean Frame is marked 0.9.4 to 0.10.9
frame.number Unsigned 32-bit integer Frame Number 0.9.0 to 0.10.9
frame.p2p_dir Unsigned 8-bit integer Point-to-Point Direction 0.9.0 to 0.10.9
frame.pkt_len Unsigned 32-bit integer Total Frame Length 0.9.0 to 0.10.9
frame.ref_time None This is a Ref Time frame 0.9.16 to 0.10.9
frame.time Date/Time stamp Arrival Time 0.9.0 to 0.10.9
frame.time_delta Time duration Time delta from previous packet 0.9.0 to 0.10.9
frame.time_relative Time duration Time since reference or first frame 0.9.0 to 0.10.9
ETHERNET
Protocol field name: eth

eth.addr 6-byte Hardware (MAC) Address Source or Destination Address 0.9.0 to 0.10.9
eth.dst 6-byte Hardware (MAC) Address Destination 0.9.0 to 0.10.9
eth.len Unsigned 16-bit integer Length 0.9.0 to 0.10.9
eth.src 6-byte Hardware (MAC) Address Source 0.9.0 to 0.10.9
eth.trailer Byte array Trailer 0.9.0 to 0.10.9
eth.type Unsigned 16-bit integer Type 0.9.0 to 0.10.9
IEEE 802.11 WIRELESS LAN

Protocol field name: wlan

wlan.addr 6-byte Hardware (MAC) Address Source or Destination address 0.9.0 to 0.10.9
wlan.aid Unsigned 16-bit integer Association ID 0.9.0 to 0.10.9
wlan.bssid 6-byte Hardware (MAC) Address BSS Id 0.9.0 to 0.10.9
wlan.ccmp.extiv String CCMP Ext. Initialization Vector 0.10.5 to 0.10.9
wlan.channel Unsigned 8-bit integer Channel 0.9.4 to 0.10.9
wlan.da 6-byte Hardware (MAC) Address Destination address 0.9.0 to 0.10.9
wlan.data_rate Unsigned 8-bit integer Data Rate 0.9.4 to 0.10.9
wlan.duration Unsigned 16-bit integer Duration 0.9.0 to 0.10.9
wlan.fc Unsigned 16-bit integer Frame Control Field 0.9.0 to 0.10.9
wlan.fc.ds Unsigned 8-bit integer DS status 0.9.0 to 0.10.9
wlan.fc.frag Boolean More Fragments 0.9.0 to 0.10.9
wlan.fc.fromds Boolean From DS 0.9.0 to 0.10.9
wlan.fc.moredata Boolean More Data 0.9.0 to 0.10.9
IEEE 802.11 WIRELESS LAN (CONT.)
Protocol field name: wlan
wlan.fc.order Boolean Order flag 0.9.0 to 0.10.9

wlan.fc.pwrmgt Boolean PWR MGT 0.9.0 to 0.10.9
wlan.fc.retry Boolean Retry 0.9.0 to 0.10.9
wlan.fc.subtype Unsigned 8-bit integer Subtype 0.9.0 to 0.10.9
wlan.fc.tods Boolean To DS 0.9.0 to 0.10.9
wlan.fc.type Unsigned 8-bit integer Type 0.9.0 to 0.10.9
wlan.fc.type_subtype Unsigned 16-bit integer Type/Subtype 0.9.0 to 0.10.9
wlan.fc.version Unsigned 8-bit integer Version 0.9.0 to 0.10.9
wlan.fc.wep Boolean WEP flag 0.9.0 to 0.10.9
wlan.fcs Unsigned 32-bit integer Frame check sequence 0.9.0 to 0.10.9
wlan.flags Unsigned 8-bit integer Protocol Flags 0.9.0 to 0.10.9
wlan.frag Unsigned 16-bit integer Fragment number 0.9.0 to 0.10.9
wlan.fragment Frame number 802.11 Fragment 0.9.4 to 0.10.9
wlan.fragment.error Frame number Defragmentation error 0.9.4 to 0.10.9
wlan.fragment.multipletails Boolean Multiple tail fragments found 0.9.4 to 0.10.9
wlan.fragment.overlap Boolean Fragment overlap 0.9.4 to 0.10.9
Conflicting data in fragment
wlan.fragment.overlap.conflict Boolean 0.9.4 to 0.10.9
overlap
wlan.fragment.toolongfragment Boolean Fragment too long 0.9.4 to 0.10.9
wlan.fragments None 802.11 Fragments 0.9.4 to 0.10.9
wlan.qos.ack Unsigned 16-bit integer Ack Policy 0.10.5 to 0.10.9
wlan.qos.priority Unsigned 16-bit integer Priority 0.10.5 to 0.10.9
6-byte Hardware (MAC)
wlan.ra Receiver address 0.9.0 to 0.10.9
Address
wlan.reassembled_in Frame number Reassembled 802.11 in frame 0.9.12 to 0.10.9
wlan.sa Source address 0.9.0 to 0.10.9
Address
wlan.seq Unsigned 16-bit integer Sequence number 0.9.0 to 0.10.9
wlan.signal_strength Unsigned 8-bit integer Signal Strength 0.9.4 to 0.10.9
wlan.ta Transmitter address 0.9.0 to 0.10.9
Address
wlan.tkip.extiv String TKIP Ext. Initialization Vector 0.10.5 to 0.10.9
wlan.wep.crc Unsigned 32-bit integer WEP CRC (not verified) 0.9.0 to 0.9.5
wlan.wep.icv Unsigned 32-bit integer WEP ICV 0.9.5 to 0.10.9
wlan.wep.iv Unsigned 24-bit integer Initialization Vector 0.9.0 to 0.10.9
wlan.wep.key Unsigned 8-bit integer Key 0.9.0 to 0.10.9
wlan.wep.weakiv Boolean Weak IV 0.10.9
Please send support questions about Ethereal to the ethereal-users[AT]ethereal.com mailing list.
For corrections/additions/suggestions for this web page (and not Ethereal support questions), please send email to ethereal-web[AT]
ethereal.com .
Last modified: Thu, January 20 2005.
Ethereal
Search:
Display Filter Reference: Internet Protocol
Home | Introduction | Download | Documentation | Lists | FAQ | Development | Wiki

IP Routing Software Network Protocol Handbook

RIP, OSPF, IS-IS, BGP, CSPF, VPNs, MPLS All active protocol fully explained Well
for Switches and Routers illustrated with charts & maps
Ads by Goooooogle
INTERNET PROTOCOL
Protocol field name: ip

ip.addr IPv4 address Source or Destination Address 0.9.0 to 0.10.9
ip.checksum Unsigned 16-bit integer Header checksum 0.9.0 to 0.10.9
ip.checksum_bad Boolean Bad Header checksum 0.9.0 to 0.10.9
ip.dsfield Unsigned 8-bit integer Differentiated Services field 0.9.0 to 0.10.9
ip.dsfield.ce Unsigned 8-bit integer ECN-CE 0.9.0 to 0.10.9
ip.dsfield.dscp Unsigned 8-bit integer Differentiated Services Codepoint 0.9.0 to 0.10.9
ip.dsfield.ect Unsigned 8-bit integer ECN-Capable Transport (ECT) 0.9.0 to 0.10.9
ip.dst IPv4 address Destination 0.9.0 to 0.10.9
ip.flags Unsigned 8-bit integer Flags 0.9.0 to 0.10.9
ip.flags.df Boolean Don't fragment 0.9.0 to 0.10.9
ip.flags.mf Boolean More fragments 0.9.0 to 0.10.9
ip.flags.rb Boolean Reserved bit 0.10.1 to 0.10.9
ip.frag_offset Unsigned 16-bit integer Fragment offset 0.9.0 to 0.10.9
ip.fragment Frame number IP Fragment 0.9.0 to 0.10.9
ip.fragment.error Frame number Defragmentation error 0.9.0 to 0.10.9
ip.fragment.multipletails Boolean Multiple tail fragments found 0.9.0 to 0.10.9
ip.fragment.overlap Boolean Fragment overlap 0.9.0 to 0.10.9
ip.fragment.overlap.conflict Boolean Conflicting data in fragment overlap 0.9.0 to 0.10.9
ip.fragment.toolongfragment Boolean Fragment too long 0.9.0 to 0.10.9
ip.fragments None IP Fragments 0.9.0 to 0.10.9
ip.hdr_len Unsigned 8-bit integer Header Length 0.9.0 to 0.10.9
ip.id Unsigned 16-bit integer Identification 0.9.0 to 0.10.9
ip.len Unsigned 16-bit integer Total Length 0.9.0 to 0.10.9
ip.proto Unsigned 8-bit integer Protocol 0.9.0 to 0.10.9
ip.reassembled_in Frame number Reassembled IP in frame 0.9.12 to 0.10.9
ip.src IPv4 address Source 0.9.0 to 0.10.9
ip.tos Unsigned 8-bit integer Type of Service 0.9.0 to 0.10.9
ip.tos.cost Boolean Cost 0.9.0 to 0.10.9
ip.tos.delay Boolean Delay 0.9.0 to 0.10.9
ip.tos.precedence Unsigned 8-bit integer Precedence 0.9.0 to 0.10.9
ip.tos.reliability Boolean Reliability 0.9.0 to 0.10.9
ip.tos.throughput Boolean Throughput 0.9.0 to 0.10.9
ip.ttl Unsigned 8-bit integer Time to live 0.9.0 to 0.10.9
ip.version Unsigned 8-bit integer Version 0.9.0 to 0.10.9
ethereal.com .
Ethereal
Search:
Display Filter Reference: Internet Protocol Version 6

IPv6 Training IPv6 Training

Advanced IP Version 6 Training 2-Day IPv6 Customized, hands-on IPv6 training
vClasses for CCIE Prep programs delivered onsite
Ads by Goooooogle
INTERNET PROTOCOL VERSION 6

Protocol field name: ipv6

ipv6.addr IPv6 address Address 0.9.0 to 0.10.9
ipv6.class Unsigned 8-bit integer Traffic class 0.9.0 to 0.10.9
ipv6.dst IPv6 address Destination 0.9.0 to 0.10.9
ipv6.flow Unsigned 32-bit integer Flowlabel 0.9.0 to 0.10.9
ipv6.fragment Frame number IPv6 Fragment 0.9.0 to 0.10.9
ipv6.fragment.error Frame number Defragmentation error 0.9.0 to 0.10.9
ipv6.fragment.multipletails Boolean Multiple tail fragments found 0.9.0 to 0.10.9
ipv6.fragment.overlap Boolean Fragment overlap 0.9.0 to 0.10.9
ipv6.fragment.overlap.conflict Boolean Conflicting data in fragment overlap 0.9.0 to 0.10.9
ipv6.fragment.toolongfragment Boolean Fragment too long 0.9.0 to 0.10.9
ipv6.fragments None IPv6 Fragments 0.9.0 to 0.10.9
ipv6.hlim Unsigned 8-bit integer Hop limit 0.9.0 to 0.10.9
ipv6.mipv6_a_flag Boolean Acknowledge (A) 0.9.0 to 0.9.10
ipv6.mipv6_b_flag Boolean Bicasting all (B) 0.9.0 to 0.9.10
ipv6.mipv6_d_flag Boolean Duplicate Address Detection (D) 0.9.0 to 0.9.10
ipv6.mipv6_h_flag Boolean Home Registration (H) 0.9.0 to 0.9.10
ipv6.mipv6_home_address IPv6 address Home Address 0.9.0 to 0.10.9
ipv6.mipv6_length Unsigned 8-bit integer Option Length 0.9.0 to 0.10.9
ipv6.mipv6_life_time Unsigned 32-bit integer Life Time 0.9.0 to 0.9.10
ipv6.mipv6_m_flag Boolean MAP Registration (M) 0.9.0 to 0.9.10
ipv6.mipv6_prefix_length Unsigned 8-bit integer Prefix Length 0.9.0 to 0.9.10
ipv6.mipv6_r_flag Boolean Router (R) 0.9.0 to 0.9.10
ipv6.mipv6_refresh Unsigned 32-bit integer Refresh 0.9.0 to 0.9.10
ipv6.mipv6_sequence_number Unsigned 16-bit integer Sequence Number 0.9.0 to 0.9.10
ipv6.mipv6_status Unsigned 8-bit integer Status 0.9.0 to 0.9.10
ipv6.mipv6_sub_alternative_COA IPv6 address Alternative Care of Address 0.9.0 to 0.9.10
ipv6.mipv6_sub_length Unsigned 8-bit integer Sub-Option Length 0.9.0 to 0.9.10
ipv6.mipv6_sub_type Unsigned 8-bit integer Sub-Option Type 0.9.0 to 0.9.10
ipv6.mipv6_sub_unique_ID Unsigned 16-bit integer Unique Identifier 0.9.0 to 0.9.10
ipv6.mipv6_type Unsigned 8-bit integer Option Type 0.9.0 to 0.10.9
ipv6.nxt Unsigned 8-bit integer Next header 0.9.0 to 0.10.9
ipv6.plen Unsigned 16-bit integer Payload length 0.9.0 to 0.10.9
ipv6.reassembled_in Frame number Reassembled IPv6 in frame 0.9.12 to 0.10.9
ipv6.src IPv6 address Source 0.9.0 to 0.10.9
ipv6.version Unsigned 8-bit integer Version 0.9.0 to 0.10.9
ethereal.com .
Ethereal
Search:
Display Filter Reference: Address Resolution Protocol

Ethernet Pocket Reference Ethernet Protocols Papers

Free Handy Slide Chart with Essential Specs Free White Papers and in depth Reports on
& Definitions Ethernet Protocols.
Ads by Goooooogle
ADDRESS RESOLUTION PROTOCOL

Protocol field name: arp

arp.dst.atm_num_e164 String Target ATM number (E.164) 0.9.0 to 0.10.9
arp.dst.atm_num_nsap Byte array Target ATM number (NSAP) 0.9.0 to 0.10.9
arp.dst.atm_subaddr Byte array Target ATM subaddress 0.9.0 to 0.10.9
arp.dst.hlen Unsigned 8-bit integer Target ATM number length 0.9.0 to 0.10.9
arp.dst.htype Boolean Target ATM number type 0.9.0 to 0.10.9
arp.dst.hw Byte array Target hardware address 0.9.0 to 0.10.9
arp.dst.hw_mac 6-byte Hardware (MAC) Address Target MAC address 0.9.2 to 0.10.9
arp.dst.pln Unsigned 8-bit integer Target protocol size 0.9.0 to 0.10.9
arp.dst.proto Byte array Target protocol address 0.9.0 to 0.10.9
arp.dst.proto_ipv4 IPv4 address Target IP address 0.9.2 to 0.10.9
arp.dst.slen Unsigned 8-bit integer Target ATM subaddress length 0.9.0 to 0.10.9
arp.dst.stype Boolean Target ATM subaddress type 0.9.0 to 0.10.9
arp.hw.size Unsigned 8-bit integer Hardware size 0.9.0 to 0.10.9
arp.hw.type Unsigned 16-bit integer Hardware type 0.9.0 to 0.10.9
arp.opcode Unsigned 16-bit integer Opcode 0.9.0 to 0.10.9
arp.proto.size Unsigned 8-bit integer Protocol size 0.9.0 to 0.10.9
arp.proto.type Unsigned 16-bit integer Protocol type 0.9.0 to 0.10.9
arp.src.atm_num_e164 String Sender ATM number (E.164) 0.9.0 to 0.10.9
arp.src.atm_num_nsap Byte array Sender ATM number (NSAP) 0.9.0 to 0.10.9
arp.src.atm_subaddr Byte array Sender ATM subaddress 0.9.0 to 0.10.9
arp.src.hlen Unsigned 8-bit integer Sender ATM number length 0.9.0 to 0.10.9
arp.src.htype Boolean Sender ATM number type 0.9.0 to 0.10.9
arp.src.hw Byte array Sender hardware address 0.9.0 to 0.10.9
arp.src.hw_mac 6-byte Hardware (MAC) Address Sender MAC address 0.9.2 to 0.10.9
arp.src.pln Unsigned 8-bit integer Sender protocol size 0.9.0 to 0.10.9
arp.src.proto Byte array Sender protocol address 0.9.0 to 0.10.9
arp.src.proto_ipv4 IPv4 address Sender IP address 0.9.2 to 0.10.9
arp.src.slen Unsigned 8-bit integer Sender ATM subaddress length 0.9.0 to 0.10.9
arp.src.stype Boolean Sender ATM subaddress type 0.9.0 to 0.10.9
ethereal.com .
Ethereal
Search:
Ethereal: Display Filter Reference: Internet Control Message Protocol (v4 & v6)

Results matter.
Your investment in United Way has the power to get results.
Public Service Ads by Google
INTERNET CONTROL MESSAGE PROTOCOL

Protocol field name: icmp

icmp.checksum Unsigned 16-bit integer Checksum 0.9.0 to 0.10.9
icmp.checksum_bad Boolean Bad Checksum 0.9.0 to 0.10.9
icmp.code Unsigned 8-bit integer Code 0.9.0 to 0.10.9
icmp.ident Unsigned 16-bit integer Identifier 0.9.16 to 0.10.9
icmp.mip.b Boolean Busy 0.9.0 to 0.10.9
icmp.mip.challenge Byte array Challenge 0.9.0 to 0.10.9
icmp.mip.coa IPv4 address Care-Of-Address 0.9.0 to 0.10.9
icmp.mip.f Boolean Foreign Agent 0.9.0 to 0.10.9
icmp.mip.flags Unsigned 8-bit integer Flags 0.9.0 to 0.10.9
icmp.mip.g Boolean GRE 0.9.0 to 0.10.9
icmp.mip.h Boolean Home Agent 0.9.0 to 0.10.9
icmp.mip.length Unsigned 8-bit integer Length 0.9.0 to 0.10.9
icmp.mip.life Unsigned 16-bit integer Registration Lifetime 0.9.0 to 0.10.9
icmp.mip.m Boolean Minimal Encapsulation 0.9.0 to 0.10.9
icmp.mip.prefixlength Unsigned 8-bit integer Prefix Length 0.9.0 to 0.10.9
icmp.mip.r Boolean Registration Required 0.9.0 to 0.10.9
icmp.mip.res Boolean Reserved 0.9.0 to 0.10.9
icmp.mip.reserved Unsigned 8-bit integer Reserved 0.9.0 to 0.10.9
icmp.mip.seq Unsigned 16-bit integer Sequence Number 0.9.0 to 0.10.9
icmp.mip.type Unsigned 8-bit integer Extension Type 0.9.0 to 0.10.9
icmp.mip.v Boolean VJ Comp 0.9.0 to 0.10.9
icmp.mtu Unsigned 16-bit integer MTU of next hop 0.9.16 to 0.10.9
icmp.redir_gw IPv4 address Gateway address 0.9.16 to 0.10.9
icmp.seq Unsigned 16-bit integer Sequence number 0.9.16 to 0.10.9
icmp.type Unsigned 8-bit integer Type 0.9.0 to 0.10.9
INTERNET CONTROL MESSAGE PROTOCOL V6

Protocol field name: icmpv6

icmpv6.checksum Unsigned 16-bit integer Checksum 0.9.0 to 0.10.9
icmpv6.checksum_bad Boolean Bad Checksum 0.9.0 to 0.10.9
icmpv6.code Unsigned 8-bit integer Code 0.9.0 to 0.10.9
icmpv6.haad.ha_addrs IPv6 address Home Agent Addresses 0.10.1 to 0.10.9
icmpv6.type Unsigned 8-bit integer Type 0.9.0 to 0.10.9
Ethereal
Search:
Ethereal: Display Filter Reference: TCP, UDP

TRANSMISSION CONTROL PROTOCOL

Protocol field name: tcp

Unsigned 32-bit
tcp.ack Acknowledgement number 0.9.0 to 0.10.9
integer
tcp.analysis.ack_lost_segment None ACKed Lost Packet 0.9.8 to 0.10.9
tcp.analysis.ack_rtt Time duration The RTT to ACK the segment was 0.9.6 to 0.10.9
This is an ACK to the segment in
tcp.analysis.acks_frame Frame number 0.9.6 to 0.10.9
frame
tcp.analysis.duplicate_ack None Duplicate ACK 0.9.8 to 0.10.9
tcp.analysis.duplicate_ack_frame Frame number Duplicate to the ACK in frame 0.9.12 to 0.10.9
Unsigned 32-bit
tcp.analysis.duplicate_ack_num Duplicate ACK # 0.9.12 to 0.10.9
integer
tcp.analysis.fast_retransmission None Fast Retransmission 0.9.16 to 0.10.9
tcp.analysis.flags None TCP Analysis Flags 0.9.7 to 0.10.9
tcp.analysis.keep_alive None Keep Alive 0.9.8 to 0.10.9
tcp.analysis.keep_alive_ack None Keep Alive ACK 0.9.15 to 0.10.9
tcp.analysis.lost_segment None Previous Segment Lost 0.9.8 to 0.10.9
tcp.analysis.out_of_order None Out Of Order 0.9.16 to 0.10.9
tcp.analysis.retransmission None Retransmission 0.9.8 to 0.10.9
tcp.analysis.window_full None Window full 0.10.9
tcp.analysis.window_update None Window update 0.10.8 to 0.10.9
tcp.analysis.zero_window None Zero Window 0.9.8 to 0.10.9
tcp.analysis.zero_window_probe None Zero Window Probe 0.9.8 to 0.10.9
tcp.analysis.zero_window_violation None Zero Window Violation 0.9.8 to 0.10.9
Unsigned 16-bit
tcp.checksum Checksum 0.9.0 to 0.10.9
integer
tcp.checksum_bad Boolean Bad Checksum 0.9.0 to 0.10.9
This is a continuation to the PDU in
tcp.continuation_to Frame number 0.10.3 to 0.10.9
frame
Unsigned 16-bit
tcp.dstport Destination Port 0.9.0 to 0.10.9
integer
Unsigned 8-bit
tcp.flags Flags 0.9.0 to 0.10.9
integer
tcp.flags.ack Boolean Acknowledgment 0.9.0 to 0.10.9
tcp.flags.cwr Boolean Congestion Window Reduced (CWR) 0.9.0 to 0.10.9
tcp.flags.ecn Boolean ECN-Echo 0.9.0 to 0.10.9
tcp.flags.fin Boolean Fin 0.9.0 to 0.10.9
tcp.flags.push Boolean Push 0.9.0 to 0.10.9
tcp.flags.reset Boolean Reset 0.9.0 to 0.10.9
tcp.flags.syn Boolean Syn 0.9.0 to 0.10.9
tcp.flags.urg Boolean Urgent 0.9.0 to 0.10.9
Unsigned 8-bit
tcp.hdr_len Header Length 0.9.0 to 0.10.9
integer
Unsigned 32-bit
tcp.len TCP Segment Len 0.9.4 to 0.10.9
integer
TRANSMISSION CONTROL PROTOCOL (CONT.)
Protocol field name: tcp
tcp.nxtseq Unsigned 32-bit integer Next sequence number 0.9.0 to 0.10.9

tcp.options.cc Boolean TCP CC Option 0.9.10 to 0.10.9
tcp.options.ccecho Boolean TCP CC Echo Option 0.9.10 to 0.10.9
tcp.options.ccnew Boolean TCP CC New Option 0.9.10 to 0.10.9
tcp.options.echo Boolean TCP Echo Option 0.9.10 to 0.10.9
tcp.options.echo_reply Boolean TCP Echo Reply Option 0.9.10 to 0.10.9
tcp.options.md5 Boolean TCP MD5 Option 0.9.10 to 0.10.9
tcp.options.mss Boolean TCP MSS Option 0.9.10 to 0.10.9
tcp.options.mss_val Unsigned 16-bit integer TCP MSS Option Value 0.9.10 to 0.10.9
tcp.options.sack Boolean TCP Sack Option 0.9.10 to 0.10.9
tcp.options.sack_le Unsigned 32-bit integer TCP Sack Left Edge 0.9.10 to 0.10.9
tcp.options.sack_perm Boolean TCP Sack Perm Option 0.9.10 to 0.10.9
tcp.options.sack_re Unsigned 32-bit integer TCP Sack Right Edge 0.9.10 to 0.10.9
tcp.options.time_stamp Boolean TCP Time Stamp Option 0.9.10 to 0.10.9
tcp.options.wscale Boolean TCP Window Scale Option 0.9.10 to 0.10.9
tcp.options.wscale_val Unsigned 8-bit integer TCP Windows Scale Option Value 0.9.10 to 0.10.9
tcp.pdu.last_frame Frame number Last frame of this PDU 0.10.8 to 0.10.9
tcp.pdu.time Time duration Time until the last segment of this PDU 0.10.8 to 0.10.9
tcp.port Unsigned 16-bit integer Source or Destination Port 0.9.0 to 0.10.9
tcp.reassembled_in Frame number Reassembled PDU in frame 0.9.15 to 0.10.9
tcp.segment Frame number TCP Segment 0.9.9 to 0.10.9
tcp.segment.error Frame number Reassembling error 0.9.9 to 0.10.9
tcp.segment.multipletails Boolean Multiple tail segments found 0.9.9 to 0.10.9
tcp.segment.overlap Boolean Segment overlap 0.9.9 to 0.10.9
tcp.segment.overlap.conflict Boolean Conflicting data in segment overlap 0.9.9 to 0.10.9
tcp.segment.toolongfragment Boolean Segment too long 0.9.9 to 0.10.9
tcp.segments None TCP Segments 0.9.9 to 0.10.9
tcp.seq Unsigned 32-bit integer Sequence number 0.9.0 to 0.10.9
tcp.srcport Unsigned 16-bit integer Source Port 0.9.0 to 0.10.9
tcp.urgent_pointer Unsigned 16-bit integer Urgent pointer 0.9.0 to 0.10.9
tcp.window_size Unsigned 32-bit integer Window size 0.9.0 to 0.10.9
USER DATAGRAM PROTOCOL

Protocol field name: udp

udp.checksum Unsigned 16-bit integer Checksum 0.9.0 to 0.10.9
udp.checksum_bad Boolean Bad Checksum 0.9.0 to 0.10.9
udp.dstport Unsigned 16-bit integer Destination Port 0.9.0 to 0.10.9
udp.length Unsigned 16-bit integer Length 0.9.0 to 0.10.9
udp.port Unsigned 16-bit integer Source or Destination Port 0.9.0 to 0.10.9
udp.srcport Unsigned 16-bit integer Source Port 0.9.0 to 0.10.9
ethereal.com .
Ethereal
Search:
Display Filter Reference: Hypertext Transfer Protocol

IP Routing Software https viewer

RIP, OSPF, IS-IS, BGP, CSPF, VPNs, MPLS Award winning Internet Explorer plug-in to
for Switches and Routers view http and https
Ads by Goooooogle
HYPERTEXT TRANSFER PROTOCOL

Protocol field name: http

http.accept String Accept 0.10.8 to 0.10.9
http.accept_encoding String Accept Encoding 0.10.8 to 0.10.9
http.accept_language String Accept-Language 0.10.8 to 0.10.9
http.authbasic String Credentials 0.9.13 to 0.10.9
http.authorization String Authorization 0.10.0 to 0.10.9
http.cache_control String Cache-Control 0.10.8 to 0.10.9
http.connection String Connection 0.10.8 to 0.10.9
http.content_encoding String Content-Encoding 0.10.2 to 0.10.9
http.content_length String Content-Length 0.10.1 to 0.10.9
http.content_type String Content-Type 0.10.0 to 0.10.9
http.cookie String Cookie 0.10.8 to 0.10.9
http.date String Date 0.10.8 to 0.10.9
http.host String Host 0.10.8 to 0.10.9
http.last_modified String Last-Modified 0.10.8 to 0.10.9
http.location String Location 0.10.8 to 0.10.9
http.notification Boolean Notification 0.9.0 to 0.10.9
http.proxy_authenticate String Proxy-Authenticate 0.10.0 to 0.10.9
http.proxy_authorization String Proxy-Authorization 0.10.0 to 0.10.9
http.referer String Referer 0.10.8 to 0.10.9
http.request Boolean Request 0.9.0 to 0.10.9
http.request.method String Request Method 0.9.13 to 0.10.9
http.response Boolean Response 0.9.0 to 0.10.9
http.response.code Unsigned 16-bit integer Response Code 0.9.15 to 0.10.9
http.server String Server 0.10.8 to 0.10.9
http.set_cookie String Set-Cookie 0.10.8 to 0.10.9
http.transfer_encoding String Transfer-Encoding 0.10.2 to 0.10.9
http.user_agent String User-Agent 0.10.8 to 0.10.9
http.www_authenticate String WWW-Authenticate 0.10.0 to 0.10.9
ethereal.com .
Ethereal
Search:
Display Filter Reference: Domain Name Service

Speedera Networks Free Dynamic DNS

Global Whole Site Delivery Services Security. ZoneEdit's dynamic DNS service is
Performance. Analytics. easy/reliable & free up to 5 hosts.
Ads by Goooooogle
DOMAIN NAME SERVICE

Protocol field name: dns

dns.count.add_rr Unsigned 16-bit integer Additional RRs 0.9.0 to 0.10.9
dns.count.answers Unsigned 16-bit integer Answer RRs 0.9.0 to 0.10.9
dns.count.auth_rr Unsigned 16-bit integer Authority RRs 0.9.0 to 0.10.9
dns.count.prerequisites Unsigned 16-bit integer Prerequisites 0.10.8 to 0.10.9
dns.count.queries Unsigned 16-bit integer Questions 0.9.0 to 0.10.9
dns.count.updates Unsigned 16-bit integer Updates 0.10.8 to 0.10.9
dns.count.zones Unsigned 16-bit integer Zones 0.10.8 to 0.10.9
dns.flags Unsigned 16-bit integer Flags 0.9.0 to 0.10.9
dns.flags.authenticated Boolean Answer authenticated 0.9.4 to 0.10.9
dns.flags.authoritative Boolean Authoritative 0.9.4 to 0.10.9
dns.flags.checkdisable Boolean Non-authenticated data OK 0.9.4 to 0.10.9
dns.flags.opcode Unsigned 16-bit integer Opcode 0.9.4 to 0.10.9
dns.flags.rcode Unsigned 16-bit integer Reply code 0.9.4 to 0.10.9
dns.flags.recavail Boolean Recursion available 0.9.4 to 0.10.9
dns.flags.recdesired Boolean Recursion desired 0.9.4 to 0.10.9
dns.flags.response Boolean Response 0.9.4 to 0.10.9
dns.flags.truncated Boolean Truncated 0.9.4 to 0.10.9
dns.flags.z Boolean Z 0.9.13 to 0.10.9
dns.id Unsigned 16-bit integer Transaction ID 0.9.0 to 0.10.9
dns.length Unsigned 16-bit integer Length 0.9.0 to 0.10.9
dns.qry.class Unsigned 16-bit integer Class 0.10.9
dns.qry.name String Name 0.10.9
dns.qry.type Unsigned 16-bit integer Type 0.10.9
dns.query Boolean Query 0.9.0 to 0.9.4
dns.resp.class Unsigned 16-bit integer Class 0.10.9
dns.resp.len Unsigned 32-bit integer Data length 0.10.9
dns.resp.name String Name 0.10.9
dns.resp.ttl Unsigned 32-bit integer Time to live 0.10.9
dns.resp.type Unsigned 16-bit integer Type 0.10.9
dns.response Boolean Response 0.9.0 to 0.9.4
ethereal.com .
Ethereal
Search:
Ethereal: Display Filter Reference: FTP, SMTP, POP

FILE TRANSFER PROTOCOL (FTP)

Protocol field name: ftp

ftp.active.cip IPv4 address Active IP address 0.9.16 to 0.10.9
ftp.active.nat Boolean Active IP NAT 0.9.16 to 0.10.9
ftp.active.port Unsigned 16-bit integer Active port 0.9.16 to 0.10.9
ftp.passive.ip IPv4 address Passive IP address 0.9.16 to 0.10.9
ftp.passive.nat Boolean Passive IP NAT 0.9.16 to 0.10.9
ftp.passive.port Unsigned 16-bit integer Passive port 0.9.16 to 0.10.9
ftp.reponse.arg String Response arg 0.9.4 to 0.9.6
ftp.reponse.data String Response data 0.9.0 to 0.9.4
ftp.request Boolean Request 0.9.0 to 0.10.9
ftp.request.arg String Request arg 0.9.4 to 0.10.9
ftp.request.command String Request command 0.9.0 to 0.10.9
ftp.request.data String Request data 0.9.0 to 0.9.4
ftp.response Boolean Response 0.9.0 to 0.10.9
ftp.response.arg String Response arg 0.9.6 to 0.10.9
ftp.response.code Unsigned 32-bit integer Response code 0.9.0 to 0.10.9
FTP DATA
Protocol field name: ftp-data
SIMPLE MAIL TRANSFER PROTOCOL

Protocol field name: smtp

smtp.req Boolean Request 0.9.0 to 0.10.9
smtp.req.command String Command 0.9.6 to 0.10.9
smtp.req.parameter String Request parameter 0.9.6 to 0.10.9
smtp.response.code Unsigned 32-bit integer Response code 0.9.6 to 0.10.9
smtp.rsp Boolean Response 0.9.0 to 0.10.9
smtp.rsp.parameter String Response parameter 0.9.6 to 0.10.9
POST OFFICE PROTOCOL

Protocol field name: pop

pop.request Boolean Request 0.9.0 to 0.10.9
pop.response Boolean Response 0.9.0 to 0.10.9
ethereal.com .
Ethereal
Search:
Display Filter Reference: Simple Network Management Protocol

Snmp Trap Oid SNMP Test Software

Try Our Top SNMP solutions For Free Easily automate your SNMP testing with over
Complete End-To-End Solutions! 1,400 Tests and 12 Tools
Ads by Goooooogle
SIMPLE NETWORK MANAGEMENT PROTOCOL

Protocol field name: snmp

snmp.agent IPv4 address Agent address 0.9.12 to 0.10.9
snmp.community String Community 0.9.12 to 0.10.9
snmp.enterprise String Enterprise 0.9.12 to 0.10.9
snmp.error Unsigned 8-bit integer Error Status 0.9.13 to 0.10.9
snmp.id Unsigned 32-bit integer Request Id 0.9.14 to 0.10.9
snmp.oid String Object identifier 0.9.13 to 0.10.9
snmp.pdutype Unsigned 8-bit integer PDU type 0.9.12 to 0.10.9
snmp.spectraptype Unsigned 32-bit integer Specific trap type 0.9.12 to 0.10.9
snmp.timestamp Unsigned 8-bit integer Timestamp 0.9.12 to 0.10.9
snmp.traptype Unsigned 8-bit integer Trap type 0.9.12 to 0.10.9
snmp.version Unsigned 8-bit integer Version 0.9.12 to 0.10.9
snmpv3.flags Unsigned 8-bit integer SNMPv3 Flags 0.9.0 to 0.10.9
snmpv3.flags.auth Boolean Authenticated 0.9.0 to 0.10.9
snmpv3.flags.crypt Boolean Encrypted 0.9.0 to 0.10.9
snmpv3.flags.report Boolean Reportable 0.9.0 to 0.10.9
ethereal.com .

P02 Ethereal

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

P02 Ethereal

Cargado por

Copyright:

Formatos disponibles

MANUAL DE ETHEREAL

Ricardo Díez Antequera

L&M Data Communications 2005

© L&M Data Communications www.LMdata.es 3

4 © L&M Data Communications www.LMdata.es

© L&M Data Communications www.LMdata.es 5

• Andrew File System (AFS)

6 © L&M Data Communications www.LMdata.es

• Encapsulating Security Payload

© L&M Data Communications www.LMdata.es 7

8 © L&M Data Communications www.LMdata.es

© L&M Data Communications www.LMdata.es 9

10 © L&M Data Communications www.LMdata.es

• Simple Network Management Protocol

© L&M Data Communications www.LMdata.es 11

1.2 El Estado de Ethereal

1.3 Desarrollo y Mantenimiento de Ethereal

1.4 Plataformas sobre las que corre Ethereal

1.5 Dónde conseguir Ethereal

12 © L&M Data Communications www.LMdata.es

1.6 Informando de problemas y Consiguiendo ayuda

2 Compilando e Instalando Ethereal

© L&M Data Communications www.LMdata.es 13

2.2 Obteniendo las distribuciones fuente y binaria

2.3 Antes de compilar Ethereal

14 © L&M Data Communications www.LMdata.es

<mucha salida borrada>

© L&M Data Communications www.LMdata.es 15

/usr/bin/install: cannot create regular file \

2.4 Compilando desde el Fuente bajo UNIX

16 © L&M Data Communications www.LMdata.es

2.5 Instalando los binarios bajo UNIX

2.6 Instalando desde RPMs bajo Linux

2.7 Instalando desde debs bajo Debian

2.8 Instalando Ethereal bajo Windows

© L&M Data Communications www.LMdata.es 17

3.2 Iniciar Ethereal

Ethereal se compone de tres ventanas principales, o paneles.

18 © L&M Data Communications www.LMdata.es

2. El panel intermedio es el panel de vista en árbol. Muestra el paquete seleccionado en el

© L&M Data Communications www.LMdata.es 19

20 © L&M Data Communications www.LMdata.es

© L&M Data Communications www.LMdata.es 21

3.3 Los menus de Ethereal

Contiene los siguientes elementos:

22 © L&M Data Communications www.LMdata.es

3.4 El menú File de Ethereal

© L&M Data Communications www.LMdata.es 23

Tabla 3-1. Menú File

Elemento Acelerador Descripción

24 © L&M Data Communications www.LMdata.es

3.5 El menú Edit de Ethereal

Tabla 3-2. Menú Edit

Elemento Acelerador Descripción

© L&M Data Communications www.LMdata.es 25

Elemento Acelerador Descripción

3.6 El menú View de Ethereal

Tabla 3-5. Menú View

Elemento Acelerador Descripción

26 © L&M Data Communications www.LMdata.es

Elemento Acelerador Descripción

© L&M Data Communications www.LMdata.es 27

Elemento Acelerador Descripción

28 © L&M Data Communications www.LMdata.es