Пасля года распрацоўкі адбыўся рэліз новай стабільнай галіны сеткавага аналізатара Wireshark 3.6. Нагадаем, што першапачаткова праект развіваўся пад імем Ethereal, але ў 2006 годзе з-за канфлікту з уладальнікам гандлёвай маркі Ethereal, распрацоўшчыкі былі вымушаныя перайменаваць праект у Wireshark. Код праекту распаўсюджваецца пад ліцэнзіяй GPLv2.
Ключавыя навіны Wireshark 3.6.0:
- Унесены змены ў сінтаксіс правілаў фільтрацыі трафіку:
- Дададзена падтрымка сінтаксісу "a ~= b" або "a any_ne b" для выбару любых значэнняў акрамя аднаго.
- Дададзена падтрымка сінтаксісу "a not in b", аналагічнага па дзеянні "not a in b".
- Дазволена ўказанне радкоў па аналогіі з raw-радкамі ў Python, без неабходнасці экранавання спецзнакаў.
- Выраз «a != b» цяпер заўсёды аналагічны выразу «!(a == b)» пры выкарыстанні са значэннямі, якія ахопліваюць некалькі палёў («ip.addr != 1.1.1.1» зараз аналагічны ўказанню «ip.src != 1.1.1.1. 1.1.1.1 and ip.dst! = XNUMX »).
- Элементы set-спісаў зараз павінны падзяляцца толькі коскамі, падзел прабеламі забаронена (г.зн. правіла 'http.request.method in {«GET» «HEAD»}' павінна быць заменена на 'http.request.method in {«GET» , "HEAD"}'.
- Для TCP трафіку дададзены фільтр tcp.completeness, які дазваляе падзяляць TCP-струмені на аснове стану актыўнасці злучэння, г.зн. можна выяўляць TCP-струмені для якіх былі выкананы абмен пакетамі для ўсталёўкі, перадачы дадзеных або завяршэнні злучэння.
- Дададзена налада "add_default_value", праз якую можна пазначыць значэнні па змаўчанні палёў Protobuf, не серыялізаваных ці прапушчаных пры захопе трафіку.
- Дададзена падтрымка чытання файлаў з перахопленым трафікам у фармаце ETW (Event Tracing for Windows). Таксама дададзены модуль разбору (dissector) для пакетаў DLT_ETW.
- Дададзены рэжым "Follow DCCP stream", які дазваляе фільтраваць і здабываць змесціва з струменяў DCCP.
- Дададзена падтрымка разбору пакетаў RTP з гукавымі дадзенымі ў фармаце OPUS.
- Дадзена магчымасць імпарту перахопленых пакетаў з тэкставых дампаў у фармат libpcap з заданнем правілаў разбору на аснове рэгулярных выразаў.
- Істотна перапрацаваны прайгравальнік RTP-струменяў (Telephony> RTP> RTP Player), які можа прымяняцца для прайгравання VoIP-выклікаў. Дададзена падтрымка спісаў прайгравання, падвышаная спагадлівасць інтэрфейсу, прадстаўлена магчымасць прыглушэння гуку і змены каналаў, дададзеная опцыя для захавання якія прайграваюцца гукаў у форме шматканальных файлаў .au ці .wav.
- Перароблены дыялогі, звязаныя з VoIP (VoIP Calls, RTP Streams, RTP Analysis, RTP Player і SIP Flows), якія зараз не з'яўляюцца мадальнымі і могуць быць адчыненыя ў фоне.
- У дыялог "Follow Stream" дададзена магчымасць адсочвання SIP-выклікаў на аснове значэння Call-ID. Павышана дэталізацыя вываду ў фармаце YAML.
- Рэалізавана магчымасць перазборкі фрагментаў IP-пакетаў, якія маюць розныя VLAN ID.
- Дададзены апрацоўшчык для перазборкі пакетаў USB (USB Link Layer), перахопленых з выкарыстаннем апаратных аналізатараў.
- У TShark дададзена опцыя "-export-tls-session-keys" для экспарту сеансавых ключоў TLS.
- У аналізатары RTP-струменяў зменены дыялог экспарту ў фармаце CSV
- Пачалося фармаванне пакетаў для сістэм на базе macOS, укамплектаваных ARM-чыпам Apple M1. У пакетах для прылад Apple з чыпамі Intel падвышаны патрабаванні да версіі macOS (10.13+). Дададзены пераносныя 64-разрадныя пакеты для Windows (PortableApps). Дададзена пачатковая падтрымка зборкі Wireshark для Windows, выкарыстоўваючы GCC і MinGW-w64.
- Дададзена падтрымка дэкадавання і захопу дадзеных у фармаце BLF (Informatik Binary Log File).
- Дададзена падтрымка пратаколаў:
- Пратакол Bluetooth Link Manager (BT LMP),
- Bundle Protocol версія 7 (BPv7),
- Бяспека Bundle Protocol версія 7 (BPSec),
- Падпісанне і шыфраванне аб'ектаў CBOR (COSE),
- Пратакол прыкладанняў E2 (E2AP),
- Адсочванне падзей для Windows (ETW),
- Экстрэмальны дадатковы загаловак Eth (EXEH),
- High-Performance Connectivity Tracer (HiPerConTracer),
- ISO 10681,
- Kerberos SPAKE,
- Пратакол Psample Linux,
- Лакальная сетка злучэнняў (LIN),
- Служба планавальніка задач Microsoft,
- O-RAN E2AP,
- O-RAN пярэдні UC-самалёт (O-RAN),
- Інтэрактыўны аўдыё кодэк Opus (OPUS),
- Транспартны пратакол PDU, R09.x (R09),
- Пратакол дынамічнага канала RDP (DRDYNVC),
- Пратакол графічнага канвеера RDP (EGFX),
- Мультытранспартны RDP (RDPMT),
- Віртуальны транспарт публікацыі-падпіскі ў рэжыме рэальнага часу (RTPS-VT),
- Пратакол публікацыі-падпіскі ў рэжыме рэальнага часу (апрацаваны) (RTPS-PROC),
- Сувязь агульнай памяці (SMC),
- PDU сігналу, свечка запальвання B,
- Пратакол сінхранізацыі стану (SSyncP),
- Фармат файла з тэгамі (TIFF),
- Пратакол разумнага дома TP-Link,
- UAVCAN DSDL,
- UAVCAN / CAN,
- Пратакол аддаленага працоўнага стала UDP (RDPUDP),
- Кампрэсія PPP Van Jacobson (VJC),
- World of Warcraft World (WOW),
- Карысная нагрузка X2 xIRI (xIRI).
Крыніца: opennet.ru