ProHoster > Blog > notizie internet > Versione dell'analizzatore di rete Wireshark 4.0

Versione dell'analizzatore di rete Wireshark 4.0

È stata rilasciata la nuova versione stabile dell'analizzatore di rete Wireshark 4.0. Ricordiamo che il progetto è stato inizialmente sviluppato con il nome Ethereal, ma nel 2006, a causa di un conflitto con il proprietario del marchio Ethereal, gli sviluppatori sono stati costretti a rinominarlo Wireshark. Il codice del progetto è distribuito con licenza GPLv2.

Innovazioni chiave in Wireshark 4.0.0:

  • Il layout degli elementi nella finestra principale è stato modificato. I pannelli "Informazioni aggiuntive sul pacchetto" e "Byte del pacchetto" sono ora posizionati uno accanto all'altro sotto il pannello "Elenco pacchetti".
  • È stato modificato il design delle finestre di dialogo Conversazione ed Endpoint.
    • Sono state aggiunte ai menu contestuali opzioni per ridimensionare tutte le colonne e copiare gli elementi.
    • È stata introdotta la possibilità di staccare e attaccare le linguette.
    • Aggiunto il supporto per l'esportazione in formato JSON.
    • Quando vengono applicati i filtri, vengono visualizzate delle colonne che mostrano le differenze tra i pacchetti che corrispondono ai filtri e quelli che non corrispondono.
    • È stato modificato l'ordinamento di vari tipi di dati.
    • Ai flussi TCP e UDP vengono assegnati degli identificatori e possono essere filtrati tramite questi.
    • Consentito nascondere le finestre di dialogo dal menu contestuale.
  • Migliorata l'importazione di dump esadecimali dall'interfaccia Wireshark e tramite il comando text2pcap.
    • text2pcap offre la possibilità di scrivere dump in tutti i formati supportati dalla libreria wiretap.
    • In text2pcap, pcapng è impostato come formato predefinito, in modo simile alle utility editcap, mergecap e tshark.
    • Aggiunto supporto per la selezione del tipo di incapsulamento del formato di output.
    • Sono state aggiunte nuove opzioni di registrazione.
    • È stata introdotta la possibilità di salvare intestazioni IP, TCP, UDP e SCTP fittizie nei dump quando si utilizza l'incapsulamento Raw IP, Raw IPv4 e Raw IPv6.
    • Aggiunto supporto per la scansione dei file di input mediante espressioni regolari.
    • La funzionalità dell'utilità text2pcap e dell'interfaccia "Importa da Hex Dump" in Wireshark sono state rese equivalenti.
  • Prestazioni significativamente migliorate nella determinazione della posizione mediante database MaxMind.
  • Sono state apportate modifiche alla sintassi delle regole di filtraggio del traffico:
    • Aggiunta la possibilità di selezionare uno specifico livello dello stack di protocolli, ad esempio, quando si incapsula IP-over-IP, per estrarre indirizzi da pacchetti esterni e incorporati, è possibile specificare "ip.addr#1 == 1.1.1.1" e "ip.addr#2 == 1.1.1.2".
    • Gli operatori condizionali ora supportano i quantificatori "any" e "all", ad esempio "all tcp.port > 1024" per controllare tutti i campi tcp.port.
    • Una sintassi integrata per specificare i riferimenti ai campi è ${some.field}, implementata senza l'uso di macro.
    • Aggiunta la possibilità di utilizzare operazioni aritmetiche ("+", "-", "*", "/", "%") con campi numerici, separando l'espressione con parentesi graffe.
    • Aggiunte le funzioni max(), min() e abs().
    • Le espressioni e le chiamate ad altre funzioni possono essere specificate come argomenti della funzione.
    • Aggiunta una nuova sintassi per separare i letterali dagli identificatori: un valore che inizia con un punto viene trattato come un protocollo o un campo di protocollo, mentre un valore tra parentesi angolari viene trattato come un letterale.
    • Aggiunto un operatore bit a bit "&", ad esempio, per modificare singoli bit è possibile specificare "frame[0] & 0x0F == 3".
    • L'operatore logico AND ha ora una precedenza maggiore rispetto all'operatore OR.
    • Aggiunto il supporto per specificare costanti in formato binario utilizzando il prefisso "0b".
    • Aggiunta la possibilità di utilizzare valori di indice negativi per segnalare dalla fine, ad esempio, per controllare gli ultimi due byte nell'intestazione TCP è possibile specificare "tcp[-2:] == AA:BB".
    • È vietato separare gli elementi del set con spazi; l'uso di spazi al posto delle virgole ora genererà un errore anziché un avviso.
    • Aggiunte sequenze di escape aggiuntive: \a, \b, \f, \n, \r, \t, \v.
    • Aggiunta la possibilità di specificare caratteri Unicode nei formati \uNNNN e \UNNNNNNNN.
    • È stato aggiunto un nuovo operatore di confronto, "===" ("all_eq"). Funziona solo se tutti i valori di "a" nell'espressione "a === b" corrispondono a "b". È stato aggiunto anche un operatore inverso, "!==" ("any_ne").
    • L'operatore "~=" è stato deprecato e dovrebbe essere sostituito da "!==".
    • È vietato utilizzare numeri con un punto non chiuso, ovvero i valori ".7" e "7." non sono più validi e devono essere sostituiti da "0.7" e "7.0".
    • Il gestore delle espressioni regolari nel motore del filtro di visualizzazione è stato spostato nella libreria PCRE2 anziché in GRegex.
    • La corretta gestione dei byte nulli ('\0' in una stringa viene trattato come un byte nullo) è stata implementata nelle stringhe e nei modelli di espressioni regolari.
    • Oltre a 1 e 0, i valori booleani possono ora essere scritti anche come Vero/VERO e Falso/FALSO.
  • Il modulo dissector HTTP2 ora supporta l'utilizzo di intestazioni fittizie per analizzare i dati intercettati senza anteporre i pacchetti con intestazioni (ad esempio, quando si analizzano i messaggi in connessioni gRPC già stabilite).
  • È stato aggiunto il supporto Mesh Connex (MCX) al modulo di analisi IEEE 802.11.
  • La password nella finestra di dialogo di Extcap viene ora memorizzata temporaneamente (senza essere salvata su disco), eliminando la necessità di inserirla ogni volta che il programma viene avviato. È stata aggiunta la possibilità di impostare una password per Extcap utilizzando utilità da riga di comando come tshark.
  • L'utilità ciscodump implementa la possibilità di acquisire dati in remoto da dispositivi basati su IOS, IOS-XE e ASA.
  • Aggiunto il supporto per i protocolli:
    • Rilevamento loop Allied Telesis (AT LDF),
    • Multiplexer AUTOSAR I-PDU (AUTOSAR I-PduM),
    • Sicurezza del protocollo DTN Bundle (BPSec),
    • Protocollo DTN Bundle versione 7 (BPv7),
    • Protocollo di livello di convergenza TCP DTN (TCPCL),
    • Tabella informativa sulla selezione DVB (DVB SIT),
    • Interfaccia di trading in contanti migliorata 10.0 (XTI),
    • Interfaccia avanzata del libro ordini 10.0 (EOBI),
    • Interfaccia di trading avanzata 10.0 (ETI),
    • Protocollo di accesso al registro legacy di FiveCo (5co-legacy),
    • Protocollo di trasferimento dati generico (GDT),
    • gRPC Web (gRPC-Web),
    • Protocollo di configurazione IP host (HICP),
    • Incollaggio Huawei GRE (GREbond),
    • Modulo di interfaccia di localizzazione (IDENTIFICAZIONE, CALIBRAZIONE, CAMPIONI - IM1, CAMPIONI - IM2R0),
    • Mesh Connex (MCX),
    • Protocollo di controllo remoto del cluster Microsoft (RCP),
    • Protocollo di controllo aperto per OCA/AES70 (OCP.1),
    • Protocollo di autenticazione estensibile protetto (PEAP),
    • Protocollo di serializzazione REdis v2 (RESP),
    • Roon Discovery (RoonDisco),
    • Protocollo di trasferimento file sicuro (SFTP),
    • Protocollo di configurazione IP host sicuro (SHICP),
    • Protocollo di trasferimento file SSH (SFTP),
    • SCSI collegato tramite USB (UASP),
    • Coprocessore di rete ZBOSS (ZB NCP).
  • Requisiti aumentati per l'ambiente di compilazione (CMake 3.10) e le dipendenze (GLib 2.50.0, Libgcrypt 1.8.0, Python 3.6.0, GnuTLS 3.5.8).

Fonte: opennet.ru

Aggiungi un commento