Bylo zveřejněno vydání nové stabilní větve síťového analyzátoru Wireshark 4.0. Připomeňme, že projekt byl zpočátku vyvíjen pod názvem Ethereal, ale v roce 2006 byli vývojáři kvůli konfliktu s majitelem ochranné známky Ethereal nuceni projekt přejmenovat na Wireshark. Kód projektu je distribuován pod licencí GPLv2.
Klíčové inovace ve Wireshark 4.0.0:
- Rozložení prvků v hlavním okně bylo změněno. Panely Additional Packet Information a Packet Bytes jsou umístěny vedle sebe pod panelem Package List.
- Vzhled dialogových oken „Konverzace“ a „Koncový bod“ byl změněn.
- Přidány možnosti do kontextových nabídek pro změnu velikosti všech sloupců a kopírování položek.
- K dispozici je možnost odepnout a připojit karty.
- Přidána podpora pro export ve formátu JSON.
- Když jsou použity filtry, zobrazí se sloupce, které ukazují rozdíly mezi pakety, které byly spárovány, a těmi, které nebyly filtrovány.
- Změnilo se řazení různých typů dat.
- Identifikátory jsou připojeny k tokům TCP a UDP a je poskytována možnost podle nich filtrovat.
- Povoleno skrýt dialogy z kontextové nabídky.
- Vylepšený import hexadecimálních výpisů z rozhraní Wireshark a pomocí příkazu text2pcap.
- text2pcap poskytuje možnost zaznamenávat výpisy ve všech formátech podporovaných knihovnou odposlechů.
- V text2pcap je pcapng nastaven jako výchozí formát, podobně jako u utilit editcap, mergecap a tshark.
- Přidána podpora pro výběr typu zapouzdření výstupního formátu.
- Přidány nové možnosti pro protokolování.
- Poskytuje možnost ukládat fiktivní hlavičky IP, TCP, UDP a SCTP do výpisů při použití zapouzdření Raw IP, Raw IPv4 a Raw IPv6.
- Přidána podpora pro skenování vstupních souborů pomocí regulárních výrazů.
- Funkčnost nástroje text2pcap a rozhraní „Import from Hex Dump“ ve Wiresharku je zajištěna.
- Výkon určování polohy pomocí databází MaxMind byl výrazně vylepšen.
- Byly provedeny změny v syntaxi pravidel filtrování provozu:
- Přidána možnost vybrat konkrétní vrstvu zásobníku protokolů, například při zapouzdření IP-over-IP, pro extrahování adres z externích a vnořených paketů, můžete zadat „ip.addr#1 == 1.1.1.1“ a „ ip.addr#2 == 1.1.1.2. XNUMX".
- Podmíněné příkazy nyní podporují kvantifikátory „any“ a „all“, například „all tcp.port > 1024“ pro testování všech polí tcp.port.
- Existuje vestavěná syntaxe pro specifikaci odkazů na pole – ${some.field}, implementovaná bez použití maker.
- Přidána možnost používat aritmetické operace („+“, „-“, „*“, „/“, „%“) s číselnými poli, oddělující výraz složenými závorkami.
- Přidány funkce max(), min() a abs().
- Je povoleno specifikovat výrazy a volat další funkce jako argumenty funkce.
- Přidána nová syntaxe k oddělení literálů od identifikátorů – hodnota začínající tečkou je považována za protokol nebo pole protokolu a hodnota v lomených závorkách je považována za literál.
- Přidán bitový operátor „&“, například pro změnu jednotlivých bitů můžete zadat „frame[0] & 0x0F == 3“.
- Priorita logického operátoru AND je nyní vyšší než priorita operátoru OR.
- Přidána podpora pro specifikaci konstant v binární podobě pomocí předpony „0b“.
- Přidána možnost používat záporné hodnoty indexu pro hlášení od konce, například pro kontrolu posledních dvou bajtů v hlavičce TCP můžete zadat „tcp[-2:] == AA:BB“.
- Oddělování prvků sady mezerami je zakázáno; použití mezer místo čárek nyní povede k chybě, nikoli k varování.
- Přidány další escape sekvence: \a, \b, \f, \n, \r, \t, \v.
- Přidána možnost specifikovat znaky Unicode ve formátech \uNNNN a \UNNNNNNNNN.
- Přidán nový porovnávací operátor „===“ („all_eq“), který funguje pouze v případě, že ve výrazu „a === b“ se všechny hodnoty „a“ shodují s „b“. Byl také přidán zpětný operátor "!==" ("any_ne").
- Operátor "~=" byl zastaralý a místo něj by měl být použit "!==".
- Je zakázáno používat čísla s otevřenou tečkou, tzn. hodnoty ".7" a "7." jsou nyní neplatné a měly by být nahrazeny „0.7“ a „7.0“.
- Modul regulárních výrazů v modulu filtru zobrazení byl přesunut do knihovny PCRE2 namísto GRegex.
- Správné zacházení s prázdnými bajty je implementováno v řetězcích regulárních výrazů a šablonách ('\0' v řetězci je považováno za null bajt).
- Kromě 1 a 0 lze booleovské hodnoty nyní zapsat také jako True/TRUE a False/FALSE.
- Modul disektoru HTTP2 přidal podporu pro použití fiktivních hlaviček k analýze dat zachycených bez předchozích paketů s hlavičkami (například při analýze zpráv v již vytvořených spojeních gRPC).
- Do analyzátoru IEEE 802.11 byla přidána podpora Mesh Connex (MCX).
- Je zajištěno dočasné uložení (bez uložení na disk) hesla v dialogu Extcap, aby nedošlo k jeho zadávání při opakovaném spouštění. Přidána možnost nastavit heslo pro extcap pomocí nástrojů příkazového řádku, jako je tshark.
- Nástroj ciscodump implementuje možnost vzdáleného snímání ze zařízení založených na IOS, IOS-XE a ASA.
- Přidána podpora protokolů:
- Allied Telesis Loop Detection (AT LDF),
- Multiplexer AUTOSAR I-PDU (AUTOSAR I-PduM),
- DTN Bundle Protocol Security (BPSec),
- DTN Bundle Protocol verze 7 (BPv7),
- DTN TCP Convergence Layer Protocol (TCPCL),
- Informační tabulka pro výběr DVB (DVB SIT),
- Vylepšené rozhraní pro obchodování s hotovostí 10.0 (XTI),
- Vylepšené rozhraní objednávkové knihy 10.0 (EOBI),
- Vylepšené obchodní rozhraní 10.0 (ETI),
- protokol FiveCo Legacy Register Access Protocol (5co-legacy),
- Generic Data Transfer Protocol (GDT),
- gRPC Web (gRPC-Web),
- Protokol konfigurace hostitele IP (HICP),
- Huawei GRE bonding (GREbond),
- Modul lokačního rozhraní (IDENT, KALIBRACE, VZORKY - IM1, VZORKY - IM2R0),
- Mesh Connex (MCX),
- Microsoft Cluster Remote Control Protocol (RCP),
- Open Control Protocol pro OCA/AES70 (OCP.1),
- Protected Extensible Authentication Protocol (PEAP),
- REdis Serialization Protocol v2 (RESP),
- Roon Discovery (RoonDisco),
- Secure File Transfer Protocol (sftp),
- Secure Host IP Configuration Protocol (SHICP),
- SSH File Transfer Protocol (SFTP),
- USB Attached SCSI (UASP),
- Síťový koprocesor ZBOSS (ZB NCP).
- Požadavky na prostředí sestavení (CMake 3.10) a závislosti (GLib 2.50.0, Libgcrypt 1.8.0, Python 3.6.0, GnuTLS 3.5.8) byly zvýšeny.
Zdroj: opennet.ru