انتشار تحلیلگر شبکه Wireshark 4.0

انتشار یک شاخه پایدار جدید از تحلیلگر شبکه Wireshark 4.0 منتشر شد. به یاد بیاوریم که این پروژه در ابتدا با نام Ethereal توسعه داده شد، اما در سال 2006، به دلیل درگیری با صاحب علامت تجاری Ethereal، توسعه دهندگان مجبور شدند نام پروژه را به Wireshark تغییر دهند. کد پروژه تحت مجوز GPLv2 توزیع شده است.

نوآوری های کلیدی در Wireshark 4.0.0:

• چیدمان عناصر در پنجره اصلی تغییر کرده است. پانل های اطلاعات بسته اضافی و بایت های بسته در کنار هم زیر پانل فهرست بسته ها قرار دارند.
• طراحی کادرهای گفتگوی "مکالمه" و "نقطه پایانی" تغییر کرده است.
  • گزینه هایی به منوهای زمینه برای تغییر اندازه تمام ستون ها و کپی موارد اضافه شده است.
  • امکان برداشتن پین و چسباندن برگه ها فراهم شده است.
  • پشتیبانی برای صادرات در قالب JSON اضافه شده است.
  • وقتی فیلترها اعمال می شوند، ستون هایی نشان داده می شوند که تفاوت بین بسته هایی را که مطابقت دارند و بسته هایی که فیلتر نشده اند نشان می دهد.
  • مرتب‌سازی انواع مختلف داده‌ها تغییر کرده است.
  • شناسه ها به جریان های TCP و UDP متصل شده و امکان فیلتر توسط آنها فراهم شده است.
  • مجاز به پنهان کردن گفتگوها از منوی زمینه.
• بهبود واردات hex dump از رابط Wireshark و با استفاده از دستور text2pcap.
  • text2pcap توانایی ضبط dump ها را در تمام فرمت های پشتیبانی شده توسط کتابخانه استراق سمع فراهم می کند.
  • در text2pcap، pcapng به عنوان فرمت پیش فرض تنظیم شده است، شبیه به ابزارهای editcap، mergecap و tshark.
  • پشتیبانی برای انتخاب نوع کپسوله سازی فرمت خروجی اضافه شده است.
  • گزینه های جدید برای ورود به سیستم اضافه شده است.
  • امکان ذخیره هدرهای IP ساختگی، TCP، UDP و SCTP در Dump هنگام استفاده از Raw IP، Raw IPv4 و Raw IPv6 را فراهم می کند.
  • اضافه شدن پشتیبانی برای اسکن فایل های ورودی با استفاده از عبارات منظم.
  • عملکرد ابزار text2pcap و رابط "واردات از Hex Dump" در Wireshark تضمین شده است.
• عملکرد تعیین مکان با استفاده از پایگاه های داده MaxMind به طور قابل توجهی بهبود یافته است.
• تغییراتی در نحو قوانین فیلتر ترافیک ایجاد شده است:
  • امکان انتخاب یک لایه خاص از پشته پروتکل اضافه شده است، به عنوان مثال، هنگام کپسوله کردن IP-over-IP، برای استخراج آدرس از بسته های خارجی و تودرتو، می توانید "ip.addr#1 == 1.1.1.1" و " را مشخص کنید. ip.addr#2 == 1.1.1.2. XNUMX".
  • عبارات شرطی اکنون از کمیت‌کننده‌های "any" و "all" پشتیبانی می‌کنند، برای مثال "all tcp.port > 1024" برای آزمایش همه فیلدهای tcp.port.
  • یک دستور داخلی برای تعیین مراجع فیلد وجود دارد - ${some.field} که بدون استفاده از ماکروها پیاده سازی شده است.
  • قابلیت استفاده از عملیات حسابی ("+"، "-"، "*"، "/"، "%") با فیلدهای عددی، جداسازی عبارت با پرانتزهای فرفری اضافه شده است.
  • توابع max()، min() و abs() اضافه شد.
  • مجاز به تعیین عبارات و فراخوانی سایر توابع به عنوان آرگومان تابع است.
  • دستور جدیدی برای جدا کردن واژه‌ها از شناسه‌ها اضافه شده است - مقداری که با یک نقطه شروع می‌شود به عنوان یک پروتکل یا فیلد پروتکل در نظر گرفته می‌شود و یک مقدار درون پرانتزهای زاویه‌ای به‌عنوان یک لفظ در نظر گرفته می‌شود.
  • اپراتور بیت "&" اضافه شده است، برای مثال، برای تغییر تک بیت ها می توانید "frame[0] & 0x0F == 3" را مشخص کنید.
  • تقدم عملگر منطقی AND اکنون بیشتر از عملگر OR است.
  • پشتیبانی برای تعیین ثابت ها به شکل باینری با استفاده از پیشوند "0b" اضافه شده است.
  • امکان استفاده از مقادیر شاخص منفی برای گزارش از پایان اضافه شده است، به عنوان مثال، برای بررسی دو بایت آخر در هدر TCP می توانید "tcp[-2:] == AA:BB" را مشخص کنید.
  • جداسازی عناصر یک مجموعه با فاصله ممنوع است؛ استفاده از فاصله به جای کاما اکنون به جای اخطار منجر به خطا می شود.
  • توالی های فرار اضافی اضافه شد: \a، \b، \f، \n، \r، \t، \v.
  • قابلیت تعیین کاراکترهای یونیکد در قالب‌های \uNNNN و \UNNNNNNN اضافه شد.
  • یک عملگر مقایسه جدید "===" ("all_eq") اضافه شده است، که فقط در صورتی کار می کند که در عبارت "a === b" همه مقادیر "a" با "b" منطبق باشند. یک عملگر معکوس "!==" ("any_ne") نیز اضافه شده است.
  • عملگر "~=" منسوخ شده است و باید به جای آن از "!==" استفاده شود.
  • استفاده از اعداد با نقطه باز ممنوع است. مقادیر ".7" و "7." اکنون نامعتبر هستند و باید با "0.7" و "7.0" جایگزین شوند.
  • موتور بیان منظم در موتور فیلتر نمایشگر به جای GRegex به کتابخانه PCRE2 منتقل شده است.
  • مدیریت صحیح بایت‌های تهی در رشته‌ها و قالب‌های عبارت معمولی اجرا می‌شود ('\0' در یک رشته به عنوان بایت تهی در نظر گرفته می‌شود).
  • علاوه بر 1 و 0، مقادیر بولی اکنون می توانند به صورت True/TRUE و False/FALSE نیز نوشته شوند.
• ماژول کالبد شکافی HTTP2 پشتیبانی از استفاده از هدرهای ساختگی را برای تجزیه داده های گرفته شده بدون بسته های قبلی با هدر اضافه کرده است (به عنوان مثال، هنگام تجزیه پیام ها در اتصالات gRPC از قبل ایجاد شده).
• پشتیبانی Mesh Connex (MCX) به تجزیه کننده IEEE 802.11 اضافه شده است.
• ذخیره سازی موقت (بدون ذخیره روی دیسک) رمز عبور در گفتگوی Extcap ارائه شده است تا در هنگام راه اندازی های مکرر آن را وارد نکنید. قابلیت تنظیم رمز عبور برای extcap از طریق ابزارهای خط فرمان مانند tshark اضافه شده است.
• ابزار ciscodump توانایی ضبط از راه دور از دستگاه های مبتنی بر IOS، IOS-XE و ASA را پیاده سازی می کند.
• پشتیبانی پروتکل اضافه شده:
  • تشخیص حلقه تلسیس متحد (AT LDF)،
  • مولتی پلکسر AUTOSAR I-PDU (AUTOSAR I-PduM)،
  • امنیت پروتکل بسته DTN (BPSec)،
  • پروتکل بسته DTN نسخه 7 (BPv7)،
  • پروتکل لایه همگرایی TCP DTN (TCPCL)،
  • جدول اطلاعات انتخاب DVB (DVB SIT)،
  • رابط معاملاتی نقدی پیشرفته 10.0 (XTI)،
  • رابط کتاب سفارش پیشرفته 10.0 (EOBI)،
  • رابط تجاری پیشرفته 10.0 (ETI)،
  • پروتکل دسترسی ثبت میراث FiveCo (5co-legacy)،
  • پروتکل انتقال داده عمومی (GDT)،
  • وب gRPC (gRPC-Web)،
  • پروتکل پیکربندی IP میزبان (HICP)،
  • هوآوی GRE bonding (GREbond)
  • ماژول رابط مکان یابی (IDENT، CALIBRATION، SAMPLES - IM1، SAMPLES - IM2R0)،
  • کانکس مش (MCX)،
  • پروتکل کنترل از راه دور مایکروسافت Cluster (RCP)،
  • پروتکل کنترل باز برای OCA/AES70 (OCP.1)،
  • پروتکل احراز هویت توسعه پذیر محافظت شده (PEAP)،
  • پروتکل سریال سازی REdis v2 (RESP)،
  • Roon Discovery (RoonDisco)
  • پروتکل انتقال امن فایل (sftp)،
  • پروتکل پیکربندی IP میزبان امن (SHICP)،
  • پروتکل انتقال فایل SSH (SFTP)
  • SCSI متصل به USB (UASP)،
  • پردازنده مشترک شبکه ZBOSS (ZB NCP).
• الزامات برای محیط ساخت (CMake 3.10) و وابستگی ها (GLib 2.50.0، Libgcrypt 1.8.0، Python 3.6.0، GnuTLS 3.5.8) افزایش یافته است.

منبع: opennet.ru