ProHoster > Blog > actualités internet > Version de l'analyseur de réseau Wireshark 3.6

Version de l'analyseur de réseau Wireshark 3.6

Après un an de développement, une nouvelle branche stable de l'analyseur de réseau Wireshark 3.6 a été publiée. Rappelons que le projet a été initialement développé sous le nom d'Ethereal, mais en 2006, en raison d'un conflit avec le propriétaire de la marque Ethereal, les développeurs ont été contraints de renommer le projet Wireshark. Le code du projet est distribué sous licence GPLv2.

Principales innovations de Wireshark 3.6.0 :

  • Des modifications ont été apportées à la syntaxe des règles de filtrage du trafic :
    • Ajout de la prise en charge de la syntaxe "a ~= b" ou "a any_ne b" pour sélectionner n'importe quelle valeur sauf une.
    • Ajout de la prise en charge de la syntaxe « a not in b », dont l'effet est similaire à « not a in b ».
    • Il est permis de spécifier des chaînes par analogie avec des chaînes brutes en Python, sans qu'il soit nécessaire d'échapper aux caractères spéciaux.
    • L'expression "a != b" est désormais toujours la même que l'expression "!(a == b)" lorsqu'elle est utilisée avec des valeurs couvrant plusieurs champs ("ip.addr != 1.1.1.1" est désormais la même que en spécifiant "ip.src != 1.1.1.1. 1.1.1.1 et ip.dst != XNUMX").
    • Les éléments des set lists doivent désormais être séparés uniquement par des virgules, la délimitation par des espaces est interdite (c'est-à-dire que la règle 'http.request.method in {"GET" "HEAD"}' doit être remplacée par 'http.request.method in {" GET", "TÊTE"}'.
  • Pour le trafic TCP, le filtre tcp.completeness a été ajouté, ce qui vous permet de séparer les flux TCP en fonction de l'état d'activité de la connexion, c'est-à-dire Vous pouvez identifier les flux TCP pour lesquels des paquets ont été échangés pour établir, transférer des données ou mettre fin à une connexion.
  • Ajout du paramètre « add_default_value », grâce auquel vous pouvez spécifier des valeurs par défaut pour les champs Protobuf qui ne sont pas sérialisés ou ignorés lors de la capture du trafic.
  • Ajout de la prise en charge de la lecture des fichiers avec trafic intercepté au format ETW (Event Tracing for Windows). Un module dissecteur a également été ajouté pour les packages DLT_ETW.
  • Ajout du mode « Suivre le flux DCCP », vous permettant de filtrer et d'extraire le contenu des flux DCCP.
  • Ajout de la prise en charge de l'analyse des paquets RTP avec des données audio au format OPUS.
  • Il est possible d'importer des paquets interceptés à partir de vidages de texte au format libpcap en définissant des règles d'analyse basées sur des expressions régulières.
  • Le lecteur de flux RTP (Téléphonie > RTP > RTP Player) a été considérablement repensé et peut être utilisé pour lire des appels VoIP. Ajout de la prise en charge des listes de lecture, réactivité accrue de l'interface, possibilité de couper le son et de changer de chaîne, ajout d'une option pour enregistrer les sons joués sous la forme de fichiers .au ou .wav multicanaux.
  • Les boîtes de dialogue liées à la VoIP ont été repensées (Appels VoIP, Flux RTP, Analyse RTP, Lecteur RTP et Flux SIP), qui ne sont désormais plus modales et peuvent être ouvertes en arrière-plan.
  • La possibilité de suivre les appels SIP en fonction de la valeur Call-ID a été ajoutée à la boîte de dialogue « Suivre le flux ». Détails accrus dans la sortie YAML.
  • La possibilité de réassembler des fragments de paquets IP ayant des ID VLAN différents a été implémentée.
  • Ajout d'un gestionnaire pour reconstruire les paquets USB (USB Link Layer) interceptés à l'aide d'analyseurs matériels.
  • Ajout de l'option "--export-tls-session-keys" à TShark pour exporter les clés de session TLS.
  • La boîte de dialogue d'exportation au format CSV a été modifiée dans l'analyseur de flux RTP
  • La formation de packages pour les systèmes basés sur macOS équipés de la puce Apple M1 ARM a commencé. Les packages pour les appareils Apple équipés de puces Intel ont des exigences accrues pour la version macOS (10.13+). Ajout de packages portables 64 bits pour Windows (PortableApps). Ajout de la prise en charge initiale de la création de Wireshark pour Windows à l'aide de GCC et MinGW-w64.
  • Ajout de la prise en charge du décodage et de la capture des données au format BLF (Informatik Binary Log File).
  • Prise en charge du protocole ajouté :
    • Protocole de gestion de liaison Bluetooth (BT LMP),
    • Protocole de bundle version 7 (BPv7),
    • Bundle Protocol version 7 Sécurité (BPSec),
    • Signature et chiffrement d'objets CBOR (COSE),
    • Protocole d'application E2 (E2AP),
    • Suivi des événements pour Windows (ETW),
    • En-tête Eth supplémentaire extrême (EXEH),
    • Traceur de connectivité haute performance (HiPerConTracer),
    • ISO 10681,
    • Kerberos PARLE,
    • Protocole Linux psample,
    • Réseau local d'interconnexion (LIN),
    • Service de planificateur de tâches Microsoft,
    • O-RAN E2AP,
    • Avion UC frontal O-RAN (O-RAN),
    • Codec Audio Interactif Opus (OPUS),
    • Protocole de transport PDU, R09.x (R09),
    • Protocole de canal dynamique RDP (DRDYNVC),
    • Protocole de canal de pipeline graphique RDP (EGFX),
    • RDP Multi-transport (RDPMT),
    • Transport virtuel de publication-abonnement en temps réel (RTPS-VT),
    • Protocole filaire de publication-abonnement en temps réel (traité) (RTPS-PROC),
    • Communications à mémoire partagée (SMC),
    • PDU de signal, bougie d'allumage B,
    • Protocole de synchronisation d'état (SSyncP),
    • Format de fichier image balisé (TIFF),
    • Protocole de maison intelligente TP-Link,
    • UAVCAN DSDL,
    • UAVCAN / CAN,
    • Protocole de bureau à distance UDP (RDPUDP),
    • Compression Van Jacobson PPP (VJC),
    • World of Warcraft World (WOW),
    • Charge utile X2 xIRI (xIRI).

Source: opennet.ru

Ajouter un commentaire