ProHoster > Blog > Internetnachrichten > Wireshark 4.0 Network Analyzer-Version

Wireshark 4.0 Network Analyzer-Version

Die Veröffentlichung des neuen stabilen Zweigs des Netzwerkanalysators Wireshark 4.0 wurde veröffentlicht. Denken Sie daran, dass das Projekt ursprünglich unter dem Namen Ethereal entwickelt wurde, aber 2006 aufgrund eines Konflikts mit dem Inhaber der Marke Ethereal gezwungen war, das Projekt in Wireshark umzubenennen. Der Projektcode wird unter der GPLv2-Lizenz vertrieben.

Wichtige Neuerungen in Wireshark 4.0.0:

  • Die Anordnung der Elemente im Hauptfenster wurde geändert. Die Bereiche „Zusätzliche Paketinformationen“ und „Paketbytes“ werden nebeneinander unter dem Bereich „Paketliste“ platziert.
  • Das Design der Dialogfelder „Dialog“ (Konversation) und „Endpunkt“ (Endpunkt) wurde geändert.
    • Den Kontextmenüs wurden Optionen hinzugefügt, um die Größe aller Spalten zu ändern und Elemente zu kopieren.
    • Es besteht die Möglichkeit, Laschen zu lösen und anzubringen.
    • Unterstützung für JSON-Export hinzugefügt.
    • Wenn Filter angewendet werden, werden Spalten angezeigt, die die Unterschiede zwischen den gefilterten und nicht gefilterten Paketen zeigen.
    • Die Sortierung verschiedener Datentypen wurde geändert.
    • Identifikatoren werden an TCP- und UDP-Streams angehängt und es besteht die Möglichkeit, nach ihnen zu filtern.
    • Erlaubt, Dialoge aus dem Kontextmenü auszublenden.
  • Verbesserter Import von Hex-Dumps aus der Wireshark-Schnittstelle und mit dem Befehl text2pcap.
    • text2pcap bietet die Möglichkeit, Dumps in allen von der Abhörbibliothek unterstützten Formaten zu erfassen.
    • Für Text2pcap ist pcapng als Standardformat festgelegt, ähnlich wie bei den Dienstprogrammen editcap, mergecap und tshark.
    • Unterstützung für die Auswahl des Typs der Ausgabeformatkapselung hinzugefügt.
    • Neue Optionen für die Protokollierung hinzugefügt.
    • Bietet die Möglichkeit, Dummy-IP-, TCP-, UDP- und SCTP-Header auszugeben, wenn Raw-IP-, Raw-IPv4- und Raw-IPv6-Kapselung verwendet wird.
    • Unterstützung für das Scannen von Eingabedateien mit regulären Ausdrücken hinzugefügt.
    • Bietet Parität zwischen der Funktionalität des Dienstprogramms text2pcap und der Schnittstelle „Import from Hex Dump“ in Wireshark.
  • Deutlich verbesserte Standortleistung mithilfe von MaxMind-Datenbanken.
  • An der Syntax der Verkehrsfilterregeln wurden Änderungen vorgenommen:
    • Es wurde die Möglichkeit hinzugefügt, eine bestimmte Schicht des Protokollstapels auszuwählen. Wenn Sie beispielsweise IP-over-IP kapseln, um Adressen aus externen und verschachtelten Paketen zu extrahieren, können Sie „ip.addr#1 == 1.1.1.1“ und „ip.addr#2 == 1.1.1.2“ angeben .addr#XNUMX == XNUMX. XNUMX".
    • In bedingten Anweisungen ist die Unterstützung für „any“ und „all“ Quantifizierer implementiert, zum Beispiel „all tcp.port > 1024“, um alle Felder von tcp.port zu überprüfen.
    • Integrierte Syntax zum Angeben von Feldverweisen – ${some.field}, implementiert ohne Verwendung von Makros.
    • Es wurde die Möglichkeit hinzugefügt, arithmetische Operationen („+“, „-“, „*“, „/“, „%“) mit numerischen Feldern zu verwenden und den Ausdruck durch geschweifte Klammern zu trennen.
    • Funktionen max(), min() und abs() hinzugefügt.
    • Es ist erlaubt, Ausdrücke anzugeben und andere Funktionen als Funktionsargumente aufzurufen.
    • Es wurde eine neue Syntax hinzugefügt, um Literale von Bezeichnern zu trennen – ein Wert, der mit einem Punkt beginnt, wird als Protokoll oder Protokollfeld behandelt und ein Wert in spitzen Klammern wird als Literal behandelt.
    • Bitoperator „&“ hinzugefügt, um beispielsweise einzelne Bits zu ändern, können Sie „frame[0] & 0x0F == 3“ angeben.
    • Die Priorität des logischen UND-Operators ist jetzt höher als die des ODER-Operators.
    • Unterstützung für die Angabe von Konstanten in Binärform mit dem Präfix „0b“ hinzugefügt.
    • Es wurde die Möglichkeit hinzugefügt, negative Indexwerte für den Bericht vom Ende zu verwenden. Um beispielsweise die letzten beiden Bytes im TCP-Header zu überprüfen, können Sie „tcp[-2:] == AA:BB“ angeben.
    • Es ist verboten, Elemente einer Menge durch Leerzeichen zu trennen. Die Verwendung von Leerzeichen anstelle eines Kommas führt jetzt zu einem Fehler statt einer Warnung.
    • Zusätzliche Escape-Sequenzen hinzugefügt: \a, \b, \f, \n, \r, \t, \v.
    • Es wurde die Möglichkeit hinzugefügt, Unicode-Zeichen im Format \uNNNN und \UNNNNNNNN anzugeben.
    • Ein neuer Vergleichsoperator „===" („all_eq") wurde hinzugefügt, der nur funktioniert, wenn im Ausdruck „a === b“ alle Werte von „a“ mit „b“ übereinstimmen. Außerdem wurde der Back-Operator „!==" („any_ne") hinzugefügt.
    • Der Operator „~=" ist veraltet und stattdessen sollte „!==" verwendet werden.
    • Es ist verboten, Zahlen mit einem offenen Punkt zu verwenden, d. h. die Werte.7“ und „7.“ sind nun ungültig und sollten durch „0.7“ und „7.0“ ersetzt werden.
    • Die Engine für reguläre Ausdrücke in der Anzeigefilter-Engine wurde in die PCRE2-Bibliothek anstelle von GRegex verschoben.
    • Nullbytes werden in Zeichenfolgen und regulären Ausdrucksmustern korrekt behandelt („\0“ in einer Zeichenfolge wird als Nullbyte behandelt).
    • Neben 1 und 0 können boolesche Werte nun auch als True/TRUE und False/FALSE geschrieben werden.
  • Unterstützung für den HTTP2-Dissektor hinzugefügt, um gefälschte Header zum Parsen von Daten zu verwenden, die ohne vorherige Pakete mit Headern abgefangen wurden (z. B. beim Parsen von Nachrichten auf bereits eingerichteten gRPC-Verbindungen).
  • Dem IEEE 802.11-Parser wurde Unterstützung für Mesh Connex (MCX) hinzugefügt.
  • Das vorübergehende Speichern (ohne Speichern auf der Festplatte) des Passworts im Extcap-Dialog ist vorgesehen, um es bei wiederholten Starts nicht eingeben zu müssen. Es wurde die Möglichkeit hinzugefügt, ein Extcap-Passwort über Befehlszeilen-Dienstprogramme wie tshark festzulegen.
  • Das Dienstprogramm Ciscodump implementiert die Möglichkeit zur Remote-Erfassung von Geräten, die auf IOS, IOS-XE und ASA basieren.
  • Unterstützung für Protokolle hinzugefügt:
    • Allied Telesis Loop Detection (AT LDF),
    • AUTOSAR I-PDU Multiplexer (AUTOSAR I-PduM),
    • DTN Bundle Protocol Security (BPSec),
    • DTN-Bundle-Protokoll Version 7 (BPv7),
    • DTN TCP Convergence Layer Protocol (TCPCL),
    • DVB-Auswahlinformationstabelle (DVB SIT),
    • Erweiterte Cash-Trading-Schnittstelle 10.0 (XTI),
    • Erweiterte Orderbuchschnittstelle 10.0 (EOBI),
    • Erweiterte Handelsschnittstelle 10.0 (ETI),
    • Das Legacy Register Access Protocol von FiveCo (5co-legacy),
    • Generisches Datenübertragungsprotokoll (GDT),
    • gRPC-Web (gRPC-Web),
    • Host-IP-Konfigurationsprotokoll (HICP)
    • Huawei GRE-Bonding (GREbond),
    • Ortungsschnittstellenmodul (IDENT, KALIBRIERUNG, SAMPLES – IM1, SAMPLES – IM2R0),
    • Mesh Connex (MCX),
    • Microsoft Cluster Remote Control Protocol (RCP),
    • Offenes Kontrollprotokoll für OCA/AES70 (OCP.1),
    • Protected Extensible Authentication Protocol (PEAP),
    • REdis Serialization Protocol v2 (RESP),
    • Roon Discovery (RoonDisco),
    • Secure File Transfer Protocol (SFTP),
    • Secure Host IP Configuration Protocol (SHICP),
    • SSH File Transfer Protocol (SFTP),
    • USB angeschlossenes SCSI (UASP),
    • ZBOSS-Netzwerk-Coprozessor (ZB NCP).
  • Erhöhte Anforderungen an die Build-Umgebung (CMake 3.10) und Abhängigkeiten (GLib 2.50.0, Libgcrypt 1.8.0, Python 3.6.0, GnuTLS 3.5.8).

Source: opennet.ru

Kommentar hinzufügen