ProHoster > Blog > Internetnachrichten > Wireshark 3.6 Network Analyzer-Version

Wireshark 3.6 Network Analyzer-Version

Nach einem Jahr Entwicklungszeit wurde ein neuer stabiler Zweig des Netzwerkanalysators Wireshark 3.6 veröffentlicht. Erinnern wir uns daran, dass das Projekt ursprünglich unter dem Namen Ethereal entwickelt wurde, aber im Jahr 2006 aufgrund eines Konflikts mit dem Eigentümer der Marke Ethereal die Entwickler gezwungen waren, das Projekt Wireshark umzubenennen. Der Projektcode wird unter der GPLv2-Lizenz vertrieben.

Wichtige Neuerungen in Wireshark 3.6.0:

  • An der Syntax der Verkehrsfilterregeln wurden Änderungen vorgenommen:
    • Unterstützung für die Syntax „a ~= b“ oder „a any_ne b“ hinzugefügt, um einen beliebigen Wert außer einem auszuwählen.
    • Unterstützung für die Syntax „a not in b“ hinzugefügt, die in ihrer Wirkung der Syntax „not a in b“ ähnelt.
    • Es ist erlaubt, Strings analog zu Rohstrings in Python anzugeben, ohne dass Sonderzeichen maskiert werden müssen.
    • Der Ausdruck „a != b“ ist jetzt immer derselbe wie der Ausdruck „!(a == b)“, wenn er mit Werten verwendet wird, die mehrere Felder umfassen („ip.addr != 1.1.1.1“ ist jetzt derselbe wie unter Angabe von „ip.src != 1.1.1.1. 1.1.1.1 und ip.dst != XNUMX“).
    • Elemente von Setlisten sollten jetzt nur noch durch Kommas getrennt werden, die Trennung durch Leerzeichen ist verboten (d. h. die Regel 'http.request.method in {"GET" "HEAD"}' sollte durch 'http.request.method in {" ersetzt werden GET" , "HEAD"}'.
  • Für TCP-Verkehr wurde der Filter tcp.completeness hinzugefügt, der es Ihnen ermöglicht, TCP-Streams basierend auf dem Verbindungsaktivitätsstatus zu trennen, d. h. Sie können TCP-Flüsse identifizieren, für die Pakete ausgetauscht wurden, um eine Verbindung aufzubauen, Daten zu übertragen oder zu beenden.
  • Die Einstellung „add_default_value“ wurde hinzugefügt, mit der Sie Standardwerte für Protobuf-Felder angeben können, die bei der Erfassung des Datenverkehrs nicht serialisiert oder übersprungen werden.
  • Unterstützung für das Lesen von Dateien mit abgefangenem Datenverkehr im ETW-Format (Event Tracing for Windows) hinzugefügt. Für DLT_ETW-Pakete wurde außerdem ein Dissektormodul hinzugefügt.
  • Modus „Follow DCCP stream“ hinzugefügt, mit dem Sie Inhalte aus DCCP-Streams filtern und extrahieren können.
  • Unterstützung für das Parsen von RTP-Paketen mit Audiodaten im OPUS-Format hinzugefügt.
  • Es ist möglich, abgefangene Pakete aus Text-Dumps in das libpcap-Format zu importieren, indem Parsing-Regeln basierend auf regulären Ausdrücken festgelegt werden.
  • Deutlich überarbeitet wurde der RTP-Stream-Player (Telefonie > RTP > RTP-Player), mit dem VoIP-Anrufe abgespielt werden können. Unterstützung für Wiedergabelisten hinzugefügt, erhöhte Reaktionsfähigkeit der Benutzeroberfläche, Möglichkeit zum Stummschalten des Tons und Wechseln der Kanäle sowie Option zum Speichern abgespielter Sounds in Form von Mehrkanal-AU- oder WAV-Dateien.
  • VoIP-bezogene Dialoge wurden neu gestaltet (VoIP-Anrufe, RTP-Streams, RTP-Analyse, RTP-Player und SIP-Flows), die jetzt nicht modal sind und im Hintergrund geöffnet werden können.
  • Dem Dialog „Stream folgen“ wurde die Möglichkeit hinzugefügt, SIP-Anrufe basierend auf dem Call-ID-Wert zu verfolgen. Erhöhte Details in der YAML-Ausgabe.
  • Die Möglichkeit, Fragmente von IP-Paketen mit unterschiedlichen VLAN-IDs wieder zusammenzusetzen, wurde implementiert.
  • Es wurde ein Handler zum Wiederherstellen von USB-Paketen (USB Link Layer) hinzugefügt, die mit Hardware-Analysatoren abgefangen wurden.
  • Option „--export-tls-session-keys“ zu TShark hinzugefügt, um TLS-Sitzungsschlüssel zu exportieren.
  • Der Exportdialog im CSV-Format wurde im RTP-Stream-Analyzer geändert
  • Die Zusammenstellung von Paketen für macOS-basierte Systeme, die mit dem Apple M1 ARM-Chip ausgestattet sind, hat begonnen. Für Pakete für Apple-Geräte mit Intel-Chips gelten erhöhte Anforderungen für die macOS-Version (10.13+). Portable 64-Bit-Pakete für Windows (PortableApps) hinzugefügt. Erste Unterstützung für die Erstellung von Wireshark für Windows mit GCC und MinGW-w64 hinzugefügt.
  • Unterstützung für die Dekodierung und Erfassung von Daten im BLF-Format (Informatik Binary Log File) hinzugefügt.
  • Unterstützung für Protokolle hinzugefügt:
    • Bluetooth Link Manager-Protokoll (BT LMP),
    • Bundle-Protokollversion 7 (BPv7),
    • Bundle Protocol Version 7 Sicherheit (BPSec),
    • CBOR-Objektsignierung und -Verschlüsselung (COSE),
    • E2-Anwendungsprotokoll (E2AP),
    • Ereignisverfolgung für Windows (ETW),
    • EXtreme extra Eth-Header (EXEH),
    • Hochleistungs-Konnektivitäts-Tracer (HiPerConTracer),
    • ISO 10681,
    • Kerberos sprach
    • Linux psample-Protokoll,
    • Lokales Verbindungsnetzwerk (LIN),
    • Microsoft Taskplaner-Dienst,
    • O-RAN E2AP,
    • O-RAN Fronthaul UC-Flugzeug (O-RAN),
    • Opus Interaktiver Audiocodec (OPUS),
    • PDU-Transportprotokoll, R09.x (R09),
    • RDP-Dynamisches Kanalprotokoll (DRDYNVC),
    • RDP Graphic Pipeline Channel Protocol (EGFX),
    • RDP-Mehrfachtransport (RDPMT),
    • Virtueller Transport zum Veröffentlichen und Abonnieren in Echtzeit (RTPS-VT),
    • Echtzeit-Publish-Subscribe-Wire-Protokoll (verarbeitet) (RTPS-PROC),
    • Shared-Memory-Kommunikation (SMC),
    • Signal-PDU, ZündkerzeB,
    • Zustandssynchronisationsprotokoll (SSyncP),
    • Markiertes Bilddateiformat (TIFF),
    • TP-Link Smart Home-Protokoll,
    • UAVCAN-DSDL,
    • UAVCAN / KÖNNEN,
    • UDP-Remote-Desktop-Protokoll (RDPUDP),
    • Van Jacobson PPP-Kompression (VJC),
    • World of Warcraft-Welt (WOWW),
    • X2 xIRI-Nutzlast (xIRI).

Source: opennet.ru

Kommentar hinzufügen