Выпуск сетевого анализатора Wireshark 3.6

После года разработки состоялся релиз новой стабильной ветки сетевого анализатора Wireshark 3.6. Напомним, что изначально проект развивался под именем Ethereal, но в 2006 году из-за конфликта с владельцем торговой марки Ethereal, разработчики были вынуждены переименовать проект в Wireshark. Код проекта распространяется под лицензией GPLv2.

Ключевые новшества Wireshark 3.6.0:

• Внесены изменения в синтаксис правил фильтрации трафика:
  • Добавлена поддержка синтаксиса «a ~= b» или «a any_ne b» для выбора любых значений кроме одного.
  • Добавлена поддержка синтаксиса «a not in b», аналогичного по действию «not a in b».
  • Разрешено указание строк по аналогии с raw-строками в Python, без необходимости экранирования спецсимволов.
  • Выражение «a != b» теперь всегда аналогично выражению «!(a == b)» при использовании со значениями, охватывающими несколько полей («ip.addr != 1.1.1.1» теперь аналогично указанию «ip.src != 1.1.1.1 and ip.dst != 1.1.1.1»).
  • Элементы set-списков теперь должны разделяться только запятыми, разделение пробелами запрещено (т.е. правило ‘http.request.method in {«GET» «HEAD»}’ должно быть заменено на ‘http.request.method in {«GET», «HEAD»}’.
• Для TCP трафика добавлен фильтр tcp.completeness, позволяющий разделять TCP-потоки на основе состояния активности соединения, т.е. можно выявлять TCP-потоки для которых были выполнен обмен пакетами для установки, передачи данных или завершения соединения.
• Добавлена настройка «add_default_value», через которую можно указать значения по умолчанию полей Protobuf, не сериализированных или пропущенных при захвате трафика.
• Добавлена поддержка чтения файлов с перехваченным трафиком в формате ETW (Event Tracing for Windows). Также добавлен модуль разбора (dissector) для пакетов DLT_ETW.
• Добавлен режим «Follow DCCP stream», позволяющий фильтровать и извлекать содержимое из потоков DCCP.
• Добавлена поддержка разбора пакетов RTP со звуковыми данными в формате OPUS.
• Предоставлена возможность импорта перехваченных пакетов из текстовых дампов в формат libpcap с заданием правил разбора на основе регулярных выражений.
• Существенно переработан проигрыватель RTP-потоков (Telephony > RTP > RTP Player), который может применяться для воспроизведения VoIP-вызовов. Добавлена поддержка списков воспроизведения, повышена отзывчивость интерфейса, предоставлена возможность приглушения звука и смены каналов, добавлена опция для сохранения воспроизводимых звуков в форме многоканальных файлов .au или .wav.
• Переделаны диалоги, сязанные с VoIP (VoIP Calls, RTP Streams, RTP Analysis, RTP Player и SIP Flows), которые теперь не являются модальными и могут быть открыты в фоне.
• В диалог «Follow Stream» добавлена возможность отслеживания SIP-вызовов на основе значения Call-ID. Повышена детализация вывода в формате YAML.
• Реализована возможность пересборки фрагментов IP-пакетов, имеющих разные VLAN ID.
• Добавлен обработчик для пересборки пакетов USB (USB Link Layer), перехваченных с использованием аппаратных анализаторов.
• В TShark добавлена опция «—export-tls-session-keys» для экспорта сеансовых ключей TLS.
• В анализаторе RTP-потоков изменён диалог экспорта в формате CSV
• Началось формирование пакетов для систем на базе macOS, укомплектованных ARM-чипом Apple M1. В пакетах для устройств Apple с чипами Intel повышены требования к версии macOS (10.13+). Добавлены переносимые 64-разрядные пакеты для Windows (PortableApps). Добавлена начальная поддержка сборки Wireshark для Windows, используя GCC и MinGW-w64.
• Добавлена поддержка декодирования и захвата данных в формате BLF ( Informatik Binary Log File).
• Добавлена поддержка протоколов:
  • Bluetooth Link Manager Protocol (BT LMP),
  • Bundle Protocol version 7 (BPv7),
  • Bundle Protocol version 7 Security (BPSec),
  • CBOR Object Signing and Encryption (COSE),
  • E2 Application Protocol (E2AP),
  • Event Tracing for Windows (ETW),
  • EXtreme extra Eth Header (EXEH),
  • High-Performance Connectivity Tracer (HiPerConTracer),
  • ISO 10681,
  • Kerberos SPAKE,
  • Linux psample protocol,
  • Local Interconnect Network (LIN),
  • Microsoft Task Scheduler Service,
  • O-RAN E2AP,
  • O-RAN fronthaul UC-plane (O-RAN),
  • Opus Interactive Audio Codec (OPUS),
  • PDU Transport Protocol, R09.x (R09),
  • RDP Dynamic Channel Protocol (DRDYNVC),
  • RDP Graphic pipeline channel Protocol (EGFX),
  • RDP Multi-transport (RDPMT),
  • Real-Time Publish-Subscribe Virtual Transport (RTPS-VT),
  • Real-Time Publish-Subscribe Wire Protocol (processed) (RTPS-PROC),
  • Shared Memory Communications (SMC),
  • Signal PDU, SparkplugB,
  • State Synchronization Protocol (SSyncP),
  • Tagged Image File Format (TIFF),
  • TP-Link Smart Home Protocol,
  • UAVCAN DSDL,
  • UAVCAN/CAN,
  • UDP Remote Desktop Protocol (RDPUDP),
  • Van Jacobson PPP compression (VJC),
  • World of Warcraft World (WOWW),
  • X2 xIRI payload (xIRI).

Источник: opennet.ru