Dopo un anno di sviluppo, è stato rilasciato un nuovo ramo stabile dell'analizzatore di rete Wireshark 3.6. Ricordiamo che il progetto è stato originariamente sviluppato con il nome Ethereal, ma nel 2006 a causa di un conflitto con il proprietario del marchio Ethereal, gli sviluppatori sono stati costretti a rinominare il progetto in Wireshark. Il codice del progetto è distribuito sotto licenza GPLv2.
Innovazioni chiave in Wireshark 3.6.0:
- Sono state apportate modifiche alla sintassi delle regole di filtraggio del traffico:
- Aggiunto il supporto per la sintassi "a ~= b" o "a any_ne b" per selezionare qualsiasi valore tranne uno.
- Aggiunto il supporto per la sintassi "a not in b", simile nell'azione a "not a in b".
- È consentito specificare stringhe, simili alle stringhe grezze in Python, senza la necessità di eseguire l'escape di caratteri speciali.
- "a != b" ora è sempre uguale a "!(a == b)" se utilizzato con valori che si estendono su più campi ("ip.addr != 1.1.1.1" ora è uguale a "ip.src != 1.1.1.1 e ip.dst != 1.1.1.1").
- Gli elementi dell'elenco dei set ora dovrebbero essere separati solo da virgole, la separazione degli spazi è vietata (ovvero la regola 'http.request.method in {"GET" "HEAD"}' dovrebbe essere sostituita con 'http.request.method in {"GET " , "TESTA"}'.
- Per il traffico TCP è stato aggiunto il filtro tcp.completeness, che consente di separare i flussi TCP in base allo stato dell'attività di connessione, ad es. è possibile rilevare flussi TCP per i quali sono stati scambiati pacchetti per stabilire, trasmettere dati o terminare una connessione.
- Aggiunta l'impostazione "add_default_value", attraverso la quale è possibile specificare i valori predefiniti dei campi Protobuf che non vengono serializzati o ignorati durante l'acquisizione del traffico.
- Aggiunto il supporto per la lettura di file con traffico intercettato nel formato ETW (Event Tracing for Windows). Aggiunto anche un modulo di analisi (dissector) per i pacchetti DLT_ETW.
- Aggiunta la modalità "Segui flusso DCCP" per filtrare ed estrarre il contenuto dai flussi DCCP.
- Aggiunto il supporto per l'analisi dei pacchetti RTP con dati audio in formato OPUS.
- Aggiunta la possibilità di importare pacchetti acquisiti da dump di testo nel formato libpcap con regole di analisi basate su espressioni regolari.
- Lo stream player RTP (Telefonia > RTP > RTP Player), che può essere utilizzato per riprodurre chiamate VoIP, è stato notevolmente riprogettato. È stato aggiunto il supporto per le playlist, la reattività dell'interfaccia è stata migliorata, è stata fornita la possibilità di silenziare e cambiare canale, è stata aggiunta un'opzione per salvare i suoni riprodotti come file .au o .wav multicanale.
- Finestre di dialogo relative al VoIP riprogettate (chiamate VoIP, flussi RTP, analisi RTP, lettore RTP e flussi SIP) che ora sono non modali e possono essere aperte in background.
- Aggiunta la possibilità di tenere traccia delle chiamate SIP in base al valore Call-ID alla finestra di dialogo Segui flusso. Dettagli di output migliorati nel formato YAML.
- Implementata la capacità di riassemblare frammenti di pacchetti IP con diversi ID VLAN.
- Aggiunto un gestore per il riassemblaggio dei pacchetti USB (USB Link Layer) acquisiti utilizzando analizzatori hardware.
- Aggiunta l'opzione "--export-tls-session-keys" a TShark per esportare le chiavi di sessione TLS.
- La finestra di dialogo di esportazione in formato CSV è stata modificata nell'analizzatore di flusso RTP
- È iniziata la formazione di pacchetti per sistemi basati su macOS dotati del chip Apple M1 ARM. I pacchetti per dispositivi Apple con chip Intel hanno requisiti maggiori per macOS (10.13+). Aggiunti pacchetti portatili a 64 bit per Windows (PortableApps). Aggiunto il supporto iniziale per la creazione di Wireshark per Windows utilizzando GCC e MinGW-w64.
- Aggiunto il supporto per la decodifica e l'acquisizione di dati in formato BLF (Informatik Binary Log File).
- Aggiunto il supporto per i protocolli:
- Protocollo Bluetooth Link Manager (BT LMP),
- Bundle Protocol versione 7 (BPv7),
- Bundle Protocol versione 7 Security (BPSEC),
- Firma e crittografia degli oggetti CBOR (COSE),
- Protocollo di applicazione E2 (E2AP),
- Tracciamento eventi per Windows (ETW),
- Intestazione Eth extra EXtreme (EXEH),
- Tracer di connettività ad alte prestazioni (HiPerConTracer),
- ISO 10681,
- Kerberos ha parlato,
- Protocollo di esempio Linux,
- Rete di interconnessione locale (LIN),
- Servizio Utilità di pianificazione Microsoft,
- O-RAN E2AP,
- Aereo UC fronthaul O-RAN (O-RAN),
- Codec audio interattivo Opus (OPUS),
- Protocollo di trasporto PDU, R09.x (R09),
- Protocollo di canale dinamico RDP (DRDYNVC),
- Protocollo del canale della pipeline grafica RDP (EGFX),
- RDP Multi-trasporto (RDPMT),
- Trasporto virtuale pubblicazione-sottoscrizione in tempo reale (RTPS-VT),
- Protocollo di filo di pubblicazione-sottoscrizione in tempo reale (elaborato) (RTPS-PROC),
- Comunicazioni a memoria condivisa (SMC),
- Segnale PDU, Candela B,
- Protocollo di sincronizzazione dello stato (SSyncP),
- Formato file immagine con tag (TIFF),
- Protocollo Smart Home TP-Link,
- UAV CAN DSDL,
- UAVCAN / CAN,
- Protocollo desktop remoto UDP (RDPUDP),
- Compressione PPP Van Jacobson (VJC),
- World of Warcraft World (WOW),
- X2 xIRI carico utile (xIRI).
Fonte: opennet.ru