ProHoster > Blog > actualités internet > Version de l'analyseur de réseau Wireshark 4.0

Version de l'analyseur de réseau Wireshark 4.0

La sortie d'une nouvelle branche stable de l'analyseur de réseau Wireshark 4.0 a été publiée. Rappelons que le projet a été initialement développé sous le nom d'Ethereal, mais en 2006, en raison d'un conflit avec le propriétaire de la marque Ethereal, les développeurs ont été contraints de renommer le projet Wireshark. Le code du projet est distribué sous licence GPLv2.

Principales innovations de Wireshark 4.0.0 :

  • La disposition des éléments dans la fenêtre principale a été modifiée. Les panneaux Informations supplémentaires sur les paquets et Octets de paquets sont situés côte à côte sous le panneau Liste des packages.
  • La conception des boîtes de dialogue « Conversation » et « Endpoint » a été modifiée.
    • Ajout d'options aux menus contextuels pour redimensionner toutes les colonnes et copier des éléments.
    • La possibilité de détacher et d'attacher des onglets est fournie.
    • Ajout de la prise en charge de l'exportation au format JSON.
    • Lorsque des filtres sont appliqués, des colonnes s'affichent pour montrer les différences entre les paquets correspondants et ceux qui n'ont pas été filtrés.
    • Le tri des différents types de données a été modifié.
    • Les identifiants sont attachés aux flux TCP et UDP et la possibilité de les filtrer est fournie.
    • Autorisé à masquer les boîtes de dialogue du menu contextuel.
  • Amélioration de l'importation des dumps hexadécimaux depuis l'interface Wireshark et à l'aide de la commande text2pcap.
    • text2pcap offre la possibilité d'enregistrer des dumps dans tous les formats pris en charge par la bibliothèque d'écoute électronique.
    • Dans text2pcap, pcapng est défini comme format par défaut, similaire aux utilitaires editcap, mergecap et tshark.
    • Ajout de la prise en charge de la sélection du type d'encapsulation du format de sortie.
    • Ajout de nouvelles options de journalisation.
    • Possibilité d'enregistrer des en-têtes IP, TCP, UDP et SCTP factices dans des dumps lors de l'utilisation de l'encapsulation Raw IP, Raw IPv4 et Raw IPv6.
    • Ajout de la prise en charge de l'analyse des fichiers d'entrée à l'aide d'expressions régulières.
    • La fonctionnalité de l'utilitaire text2pcap et de l'interface « Importer depuis Hex Dump » dans Wireshark est assurée.
  • Les performances de détermination de localisation à l'aide des bases de données MaxMind ont été considérablement améliorées.
  • Des modifications ont été apportées à la syntaxe des règles de filtrage du trafic :
    • Ajout de la possibilité de sélectionner une couche spécifique de la pile de protocoles, par exemple, lors de l'encapsulation IP-sur-IP, pour extraire les adresses des paquets externes et imbriqués, vous pouvez spécifier « ip.addr#1 == 1.1.1.1 » et « ip.addr#2 == 1.1.1.2".
    • Les instructions conditionnelles prennent désormais en charge les quantificateurs « any » et « all », par exemple « all tcp.port > 1024 » pour tester tous les champs tcp.port.
    • Il existe une syntaxe intégrée pour spécifier les références de champ - ${some.field}, implémentée sans utiliser de macros.
    • Ajout de la possibilité d'utiliser des opérations arithmétiques (« + », « - », « * », « / », « % ») avec des champs numériques, en séparant l'expression par des accolades.
    • Ajout des fonctions max(), min() et abs().
    • Il est permis de spécifier des expressions et d'appeler d'autres fonctions comme arguments de fonction.
    • Ajout d'une nouvelle syntaxe pour séparer les littéraux des identifiants : une valeur commençant par un point est traitée comme un protocole ou un champ de protocole, et une valeur entre crochets angulaires est traitée comme un littéral.
    • Opérateur de bits ajouté « & », par exemple, pour modifier des bits individuels, vous pouvez spécifier « frame[0] & 0x0F == 3 ».
    • La priorité de l'opérateur logique AND est désormais supérieure à celle de l'opérateur OR.
    • Ajout de la prise en charge de la spécification de constantes sous forme binaire en utilisant le préfixe « 0b ».
    • Ajout de la possibilité d'utiliser des valeurs d'index négatives pour le reporting depuis la fin, par exemple, pour vérifier les deux derniers octets de l'en-tête TCP, vous pouvez spécifier « tcp[-2:] == AA:BB ».
    • Il est interdit de séparer les éléments d'un ensemble par des espaces ; l'utilisation d'espaces au lieu de virgules entraînera désormais une erreur plutôt qu'un avertissement.
    • Ajout de séquences d'échappement supplémentaires : \a, \b, \f, \n, \r, \t, \v.
    • Ajout de la possibilité de spécifier des caractères Unicode aux formats \uNNNN et \UNNNNNNNN.
    • Ajout d'un nouvel opérateur de comparaison « === » (« all_eq »), qui ne fonctionne que si dans l'expression « a === b » toutes les valeurs de « a » coïncident avec « b ». Un opérateur inverse "!==" ("any_ne") a également été ajouté.
    • L'opérateur "~=" est obsolète et "!==" doit être utilisé à la place.
    • Il est interdit d'utiliser des nombres avec un point ouvert, c'est-à-dire valeurs ".7" et "7". sont désormais invalides et doivent être remplacés par « 0.7 » et « 7.0 ».
    • Le moteur d'expression régulière du moteur de filtre d'affichage a été déplacé vers la bibliothèque PCRE2 au lieu de GRegex.
    • La gestion correcte des octets nuls est implémentée dans les chaînes et les modèles d'expressions régulières (« \0 » dans une chaîne est traité comme un octet nul).
    • En plus de 1 et 0, les valeurs booléennes peuvent désormais également être écrites sous la forme True/TRUE et False/FALSE.
  • Le module dissecteur HTTP2 a ajouté la prise en charge de l'utilisation d'en-têtes factices pour analyser les données capturées sans paquets précédents avec en-têtes (par exemple, lors de l'analyse de messages dans des connexions gRPC déjà établies).
  • La prise en charge de Mesh Connex (MCX) a été ajoutée à l'analyseur IEEE 802.11.
  • Un stockage temporaire (sans sauvegarde sur disque) du mot de passe dans la boîte de dialogue Extcap est prévu, afin de ne pas le saisir lors de lancements répétés. Ajout de la possibilité de définir un mot de passe pour extcap via des utilitaires de ligne de commande tels que tshark.
  • L'utilitaire ciscodump implémente la possibilité de capturer à distance à partir de périphériques basés sur IOS, IOS-XE et ASA.
  • Prise en charge du protocole ajouté :
    • Détection de boucle de télésis alliée (AT LDF),
    • Multiplexeur AUTOSAR I-PDU (AUTOSAR I-PduM),
    • Sécurité du protocole de bundle DTN (BPSec),
    • Protocole de bundle DTN version 7 (BPv7),
    • Protocole de couche de convergence TCP DTN (TCPCL),
    • Tableau d'informations de sélection DVB (DVB SIT),
    • Interface de trading en espèces améliorée 10.0 (XTI),
    • Interface améliorée du carnet de commandes 10.0 (EOBI),
    • Interface de négociation améliorée 10.0 (ETI),
    • Protocole d'accès au registre hérité de FiveCo (5co-legacy),
    • Protocole de transfert de données générique (GDT),
    • gRPC Web (gRPC-Web),
    • Protocole de configuration IP hôte (HICP),
    • liaison Huawei GRE (GREbond),
    • Module d'interface de localisation (IDENT, CALIBRAGE, ÉCHANTILLONS - IM1, ÉCHANTILLONS - IM2R0),
    • Connexion maillée (MCX),
    • Protocole de contrôle à distance du cluster Microsoft (RCP),
    • Protocole de contrôle ouvert pour OCA/AES70 (OCP.1),
    • Protocole d'authentification extensible protégé (PEAP),
    • Protocole de sérialisation REdis v2 (RESP),
    • Roon Découverte (RoonDisco),
    • Protocole de transfert de fichiers sécurisé (sftp),
    • Protocole de configuration IP hôte sécurisé (SHICP),
    • Protocole de transfert de fichiers SSH (SFTP),
    • SCSI connecté par USB (UASP),
    • Coprocesseur réseau ZBOSS (ZB NCP).
  • Les exigences relatives à l'environnement de construction (CMake 3.10) et aux dépendances (GLib 2.50.0, Libgcrypt 1.8.0, Python 3.6.0, GnuTLS 3.5.8) ont été augmentées.

Source: opennet.ru

Ajouter un commentaire