Objavljeno je izdanje nove stabilne grane mrežnog analizatora Wireshark 4.0. Podsjetimo, projekt je u početku razvijan pod imenom Ethereal, no 2006. godine, zbog sukoba s vlasnikom robne marke Ethereal, programeri su bili prisiljeni preimenovati projekt u Wireshark. Kôd projekta distribuira se pod licencom GPLv2.
Ključne inovacije u Wiresharku 4.0.0:
- Promijenjen je raspored elemenata u glavnom prozoru. Ploče Dodatne informacije o paketu i Bajtovi paketa nalaze se jedna do druge ispod ploče Popis paketa.
- Dizajn dijaloških okvira "Razgovor" i "Krajnja točka" je promijenjen.
- Dodane opcije kontekstnim izbornicima za promjenu veličine svih stupaca i kopiranje stavki.
- Omogućena je mogućnost otkvačivanja i pričvršćivanja kartica.
- Dodana podrška za izvoz u JSON formatu.
- Kada se primjenjuju filtri, prikazuju se stupci koji pokazuju razlike između paketa koji su upareni i onih koji nisu filtrirani.
- Promijenjeno je razvrstavanje raznih vrsta podataka.
- Identifikatori su priloženi TCP i UDP tokovima i omogućena je mogućnost filtriranja prema njima.
- Dopušteno skrivanje dijaloga iz kontekstnog izbornika.
- Poboljšan uvoz heksadecimalnih ispisa iz Wireshark sučelja i pomoću naredbe text2pcap.
- text2pcap pruža mogućnost snimanja ispisa u svim formatima koje podržava biblioteka prisluškivanja.
- U text2pcap, pcapng je postavljen kao zadani format, slično kao pomoćni programi editcap, mergecap i tshark.
- Dodana podrška za odabir vrste enkapsulacije izlaznog formata.
- Dodane su nove opcije za bilježenje.
- Omogućena je mogućnost spremanja lažnih IP, TCP, UDP i SCTP zaglavlja u ispisima kada se koristi Raw IP, Raw IPv4 i Raw IPv6 enkapsulacija.
- Dodana podrška za skeniranje ulaznih datoteka korištenjem regularnih izraza.
- Funkcionalnost uslužnog programa text2pcap i sučelja "Uvoz iz Hex Dumpa" u Wiresharku je osigurana.
- Izvedba određivanja lokacije korištenjem MaxMind baza podataka značajno je poboljšana.
- Izmijenjene su sintakse pravila za filtriranje prometa:
- Dodana je mogućnost odabira određenog sloja snopa protokola, na primjer, kada enkapsulirate IP-over-IP, za izdvajanje adresa iz vanjskih i ugniježđenih paketa, možete navesti “ip.addr#1 == 1.1.1.1” i “ ip.addr#2 == 1.1.1.2. XNUMX".
- Uvjetne izjave sada podržavaju kvantifikatore "any" i "all", na primjer "all tcp.port > 1024" za testiranje svih polja tcp.port.
- Postoji ugrađena sintaksa za određivanje referenci polja - ${some.field}, implementirana bez upotrebe makronaredbi.
- Dodana je mogućnost korištenja aritmetičkih operacija (“+”, “-“, “*”, “/”, “%”) s numeričkim poljima, odvajanje izraza vitičastim zagradama.
- Dodane funkcije max(), min() i abs().
- Dopušteno je specificirati izraze i pozivati druge funkcije kao argumente funkcije.
- Dodana je nova sintaksa za odvajanje literala od identifikatora - vrijednost koja počinje s točkom tretira se kao protokol ili polje protokola, a vrijednost unutar uglastih zagrada tretira se kao literal.
- Dodan bit operator "&", na primjer, za promjenu pojedinačnih bitova možete navesti "okvir[0] & 0x0F == 3".
- Prednost logičkog operatora AND sada je veća od prednosti operatora OR.
- Dodana podrška za određivanje konstanti u binarnom obliku pomoću prefiksa "0b".
- Dodana je mogućnost korištenja negativnih vrijednosti indeksa za izvješćivanje od kraja, na primjer, za provjeru posljednja dva bajta u TCP zaglavlju možete navesti “tcp[-2:] == AA:BB”.
- Zabranjeno je odvajanje elemenata skupa razmacima; korištenje razmaka umjesto zareza sada će dovesti do pogreške, a ne do upozorenja.
- Dodane dodatne escape sekvence: \a, \b, \f, \n, \r, \t, \v.
- Dodana je mogućnost određivanja Unicode znakova u formatima \uNNNN i \UNNNNNNNN.
- Dodan je novi operator usporedbe "===" ("all_eq"), koji radi samo ako se u izrazu "a === b" sve vrijednosti "a" podudaraju s "b". Obrnuti operator "!==" ("any_ne") također je dodan.
- Operator "~=" je zastario i umjesto njega treba koristiti "!==".
- Zabranjeno je koristiti brojeve s otvorenom točkom, tj. vrijednosti ".7" i "7." sada nisu valjane i treba ih zamijeniti s "0.7" i "7.0".
- Mehanizam za regularne izraze u motoru filtra prikaza premješten je u biblioteku PCRE2 umjesto u GRegex.
- Ispravno rukovanje nultim bajtovima implementirano je u nizove regularnih izraza i predloške ('\0' u nizu tretira se kao nulti bajt).
- Osim 1 i 0, Booleove vrijednosti sada mogu biti zapisane i kao True/TRUE i False/FALSE.
- Modul disektora HTTP2 dodao je podršku za korištenje lažnih zaglavlja za analizu podataka snimljenih bez prethodnih paketa sa zaglavljima (na primjer, prilikom analize poruka u već uspostavljenim gRPC vezama).
- Podrška za Mesh Connex (MCX) dodana je parseru IEEE 802.11.
- Omogućena je privremena pohrana (bez spremanja na disk) lozinke u dijalogu Extcap kako se ne bi unosila tijekom ponovljenih pokretanja. Dodana je mogućnost postavljanja lozinke za extcap putem pomoćnih programa naredbenog retka kao što je tshark.
- Uslužni program ciscodump implementira mogućnost daljinskog snimanja s uređaja temeljenih na iOS-u, IOS-XE i ASA.
- Dodana podrška za protokole:
- Allied Telesis otkrivanje petlje (AT LDF),
- AUTOSAR I-PDU Multiplekser (AUTOSAR I-PduM),
- DTN Bundle Protocol Security (BPSec),
- DTN Bundle Protocol verzija 7 (BPv7),
- DTN TCP protokol sloja konvergencije (TCPCL),
- Tablica informacija o odabiru DVB (DVB SIT),
- Poboljšano sučelje trgovanja gotovinom 10.0 (XTI),
- Poboljšano sučelje knjige narudžbi 10.0 (EOBI),
- Poboljšano sučelje trgovanja 10.0 (ETI),
- FiveCo's Legacy Register Access Protocol (5co-legacy),
- Generički protokol za prijenos podataka (GDT),
- gRPC web (gRPC-web),
- Host IP Configuration Protocol (HICP),
- Huawei GRE povezivanje (GREbond),
- Modul lokacijskog sučelja (IDENT, KALIBRACIJA, UZORCI - IM1, UZORCI - IM2R0),
- Mesh Connex (MCX),
- Microsoft Cluster Remote Control Protocol (RCP),
- Otvoreni kontrolni protokol za OCA/AES70 (OCP.1),
- Zaštićeni proširivi protokol provjere autentičnosti (PEAP),
- REdis Serialization Protocol v2 (RESP),
- Roon Discovery (RoonDisco),
- Protokol sigurnog prijenosa datoteka (sftp),
- Secure Host IP Configuration Protocol (SHICP),
- SSH protokol za prijenos datoteka (SFTP),
- USB priključeni SCSI (UASP),
- ZBOSS mrežni koprocesor (ZB NCP).
- Povećani su zahtjevi za okruženje za izradu (CMake 3.10) i ovisnosti (GLib 2.50.0, Libgcrypt 1.8.0, Python 3.6.0, GnuTLS 3.5.8).
Izvor: opennet.ru