Апублікаваны рэліз новай стабільнай галіны сеткавага аналізатара Wireshark 4.0. Нагадаем, што першапачаткова праект развіваўся пад імем Ethereal, але ў 2006 годзе з-за канфлікту з уладальнікам гандлёвай маркі Ethereal, распрацоўшчыкі былі вымушаныя перайменаваць праект у Wireshark. Код праекту распаўсюджваецца пад ліцэнзіяй GPLv2.
Ключавыя навіны Wireshark 4.0.0:
- Зменена кампаноўка элементаў у асноўным акне. Панэлі "Дадатковая Інфармацыя аб пакеце" і "Байты пакета" размешчаны бок аб бок пад панэллю "Спіс Пакетаў".
- Зменена афармленне дыялогавых вокнаў "Дыялог" (Conversation) і "Канчатковая кропка" (Endpoint).
- У кантэкстныя меню дададзены опцыі для змены памеру ўсіх слупкоў і капіявання элементаў.
- Забяспечана магчымасць адмацавання і прымацаванні ўкладак.
- Дададзена падтрымка экспарту ў фармаце JSON.
- Пры ўжыванні фільтраў паказаны слупкі, якія адлюстроўваюць адрозненні паміж якія патрапілі і не якія патрапілі пад фільтры пакетамі.
- Зменена сартаванне розных відаў даных.
- Да TCP і UDP патокам прывязаны ідэнтыфікатары і прадастаўлена магчымасць фільтрацыі па іх.
- Дазволена ўтойванне дыялогаў з кантэкстнага меню.
- Палепшаны імпарт шаснаццатковых дампаў з інтэрфейсу Wireshark і пры дапамозе каманды text2pcap.
- У text2pcap прадстаўлена магчымасць запісу дампаў ва ўсіх фарматах, якія падтрымліваюцца бібліятэкай wiretap.
- У text2pcap у якасці фармату па змаўчанні выстаўлены pcapng, па аналогіі з утылітамі editcap, mergecap і tshark.
- Дададзена падтрымка выбару тыпу інкапсуляцыі фармату вываду.
- Дададзены новыя опцыі для вядзення логаў.
- Прадастаўлена магчымасць захавання ў дампах фіктыўных загалоўкаў IP, TCP, UDP і SCTP пры выкарыстанні інкапсуляцыі Raw IP, Raw IPv4 і Raw IPv6.
- Дададзена падтрымка сканавання ўваходных файлаў з выкарыстаннем рэгулярных выразаў.
- Забяспечаны парытэт функцыянальнасці ўтыліты text2pcap і інтэрфейсу "Import from Hex Dump" у Wireshark.
- Значна падвышана прадукцыйнасць вызначэння месцазнаходжання з выкарыстаннем баз MaxMind.
- Унесены змены ў сінтаксіс правілаў фільтрацыі трафіку:
- Дададзена магчымасць выбару вызначанага пласта стэка пратаколаў, напрыклад, пры інкапсуляцыі IP-over-IP для вымання адрасоў з вонкавых і ўкладзеных пакетаў можна паказваць "ip.addr#1 == 1.1.1.1" і "ip.addr#2 == 1.1.1.2. XNUMX».
- Ва ўмоўных аператарах рэалізавана падтрымка квантараў "any" і "all", напрыклад, "all tcp.port> 1024" для праверкі ўсіх палёў tcp.port.
- Убудаваны сінтаксіс для ўказання спасылак на палі - ${some.field}, рэалізаваны без выкарыстання макрасаў.
- Дададзена магчымасць выкарыстання арыфметычных аперацый («+», «-«, «*», «/», «%») з лікавымі палямі, адлучаючы выраз фігурнымі дужкамі.
- Дададзеныя функцыі max(), min() і abs().
- Дазволена ўказанне выразаў і выкліку іншых функцый у якасці аргументаў функцый.
- Дададзены новы сінтаксіс для аддзялення літаралаў ад ідэнтыфікатараў - якое пачынаецца з кропкі значэнне апрацоўваецца як пратакол або поле пратаколу, а значэнне ў кутніх дужках - як литерал.
- Дададзены бітавы аператар "&", напрыклад, для змены асобных бітаў можна паказваць "frame[0] & 0x0F == 3".
- Прыярытэт лагічнага аператара AND зараз вышэй, чым аператара OR.
- Дададзена падтрымка задання канстант у двайковым выглядзе, выкарыстоўваючы прэфікс "0b".
- Дададзена магчымасць выкарыстання адмоўных значэнняў індэксаў для справаздачы з канца, напрыклад, для праверкі апошніх двух байтаў у загалоўку TCP можна пазначыць "tcp[-2:] == AA:BB".
- Забаронена падзел элементаў мноства прабеламі, выкарыстанне прабелаў замест коскі зараз будзе прыводзіць не да папярэджання, а да памылкі.
- Дададзены дадатковыя escape-паслядоўнасці: \a, \b, \f, \n, \r, \t, \v.
- Дададзена магчымасць указання Unicode-знакаў у фармаце \uNNNN і \UNNNNNNNN.
- Дададзены новы аператар параўнання "===" ("all_eq"), які спрацоўвае толькі калі ў выразе "a === b" усе значэнні "a" супадаюць c "b". Таксама дададзены зваротны аператар "!==" ("any_ne").
- Абвешчаны састарэлым аператар "~=", замест якога варта выкарыстоўваць "!==".
- Забаронена выкарыстоўваць лікі з незачыненай кропкай, г.зн. значэння ".7" і "7." зараз недапушчальныя і замест іх варта паказваць "0.7" і "7.0".
- Апрацоўшчык рэгулярных выразаў у рухавічку дысплейных фільтраў пераведзены на бібліятэку PCRE2 замест GRegex.
- У радках і шаблонах рэгулярных выразаў рэалізавана карэктная апрацоўка нулявых байтаў ('\0' у радку ўспрымаецца як нулявы байт).
- Апроч 1 і 0 булевыя значэнні зараз таксама могуць запісвацца як True/TRUE і False/FALSE.
- У модуль разбору (dissector) HTTP2 дададзеная падтрымка выкарыстання фіктыўных загалоўкаў для разбору дадзеных, перахопленых без папярэдніх пакетаў з загалоўкамі (напрыклад, пры аналізе паведамленняў ва ўжо ўсталяваных злучэннях gRPC).
- У модуль разбору IEEE 802.11 дададзена падтрымка Mesh Connex (MCX).
- Забяспечана часовае запамінанне (без захавання на дыску) пароля ў дыялогу Extcap, для таго каб не ўводзіць яго пры паўторных запусках. Дададзена магчымасць усталёўкі пароля для extcap праз утыліты каманднага радка, такія як tshark.
- Ва ўтыліце ciscodump рэалізавана магчымасць выдаленага захопу з прылад на базе IOS, IOS-XE і ASA.
- Дададзена падтрымка пратаколаў:
- Allied Telesis Loop Detection (AT LDF),
- AUTOSAR I-PDU Multiplexer (AUTOSAR I-PduM),
- DTN Bundle Protocol Security (BPSec),
- DTN Bundle Protocol Version 7 (BPv7),
- DTN TCP Convergence Layer Protocol (TCPCL),
- DVB Selection Information Table (DVB SIT),
- Enhanced Cash Trading Interface 10.0 (XTI),
- Enhanced Order Book Interface 10.0 (EOBI),
- Enhanced Trading Interface 10.0 (ETI),
- FiveCo's Legacy Register Access Protocol (5co-legacy),
- Generic Data Transfer Protocol (GDT),
- gRPC Web (gRPC-Web),
- Host IP Configuration Protocol (HICP),
- Huawei GRE bonding (GREbond),
- Locamation Interface Module (IDENT, CALIBRATION, SAMPLES - IM1, SAMPLES - IM2R0),
- Mesh Connex (MCX),
- Microsoft Cluster Remote Control Protocol (RCP),
- Open Control Protocol для OCA/AES70 (OCP.1),
- Protected Extensible Authentication Protocol (PEAP),
- REdis Serialization Protocol v2 (RESP),
- Roon Discovery (RoonDisco),
- Secure File Transfer Protocol (sftp),
- Secure Host IP Configuration Protocol (SHICP),
- SSH File Transfer Protocol (SFTP),
- USB Attached SCSI (UASP),
- ZBOSS Network Coprocessor (ZB NCP).
- Павышаны патрабаванні да зборачнага асяроддзя (CMake 3.10) і залежнасцяў (GLib 2.50.0, Libgcrypt 1.8.0, Python 3.6.0, GnuTLS 3.5.8).
Крыніца: opennet.ru