ProHoster > blog > notizie internet > Versione dell'analizzatore di rete Wireshark 4.0

Versione dell'analizzatore di rete Wireshark 4.0

È stato pubblicato il rilascio di un nuovo ramo stabile dell'analizzatore di rete Wireshark 4.0. Ricordiamo che il progetto è stato inizialmente sviluppato con il nome Ethereal, ma nel 2006, a causa di un conflitto con il proprietario del marchio Ethereal, gli sviluppatori furono costretti a rinominare il progetto Wireshark. Il codice del progetto è distribuito sotto la licenza GPLv2.

Innovazioni chiave in Wireshark 4.0.0:

  • La disposizione degli elementi nella finestra principale è stata modificata. I pannelli Informazioni aggiuntive sui pacchetti e Byte dei pacchetti si trovano uno accanto all'altro sotto il pannello Elenco dei pacchetti.
  • Il design delle finestre di dialogo "Conversazione" e "Endpoint" è stato modificato.
    • Aggiunte opzioni ai menu contestuali per ridimensionare tutte le colonne e copiare elementi.
    • Viene fornita la possibilità di sbloccare e collegare le schede.
    • Aggiunto il supporto per l'esportazione in formato JSON.
    • Quando vengono applicati i filtri, vengono visualizzate le colonne che mostrano le differenze tra i pacchetti corrispondenti e quelli non filtrati.
    • L'ordinamento dei vari tipi di dati è stato modificato.
    • Gli identificatori sono collegati ai flussi TCP e UDP e viene fornita la possibilità di filtrarli.
    • Autorizzato a nascondere le finestre di dialogo dal menu contestuale.
  • Importazione migliorata di dump esadecimali dall'interfaccia Wireshark e utilizzo del comando text2pcap.
    • text2pcap offre la possibilità di registrare dump in tutti i formati supportati dalla libreria intercettazioni telefoniche.
    • In text2pcap, pcapng è impostato come formato predefinito, simile alle utilità editcap, mergecap e tshark.
    • Aggiunto il supporto per la selezione del tipo di incapsulamento del formato di output.
    • Aggiunte nuove opzioni per la registrazione.
    • Fornita la possibilità di salvare intestazioni IP fittizie, TCP, UDP e SCTP nei dump quando si utilizza l'incapsulamento Raw IP, Raw IPv4 e Raw IPv6.
    • Aggiunto il supporto per la scansione dei file di input utilizzando le espressioni regolari.
    • La funzionalità dell'utilità text2pcap e dell'interfaccia "Importa da Hex Dump" in Wireshark è garantita.
  • Le prestazioni di determinazione della posizione utilizzando i database MaxMind sono state notevolmente migliorate.
  • Sono state apportate modifiche alla sintassi delle regole di filtraggio del traffico:
    • Aggiunta la possibilità di selezionare un livello specifico dello stack di protocolli, ad esempio, quando si incapsula IP-over-IP, per estrarre indirizzi da pacchetti esterni e nidificati, è possibile specificare “ip.addr#1 == 1.1.1.1” e “ ip.addr#2 == 1.1.1.2".
    • Le istruzioni condizionali ora supportano i quantificatori "any" e "all", ad esempio "all tcp.port > 1024" per testare tutti i campi tcp.port.
    • Esiste una sintassi incorporata per specificare i riferimenti ai campi: ${some.field}, implementata senza l'uso di macro.
    • Aggiunta la possibilità di utilizzare operazioni aritmetiche (“+”, “-“, “*”, “/”, “%”) con campi numerici, separando l'espressione con parentesi graffe.
    • Aggiunte le funzioni max(), min() e abs().
    • È consentito specificare espressioni e chiamare altre funzioni come argomenti di funzione.
    • Aggiunta una nuova sintassi per separare i valori letterali dagli identificatori: un valore che inizia con un punto viene trattato come un protocollo o un campo di protocollo e un valore tra parentesi angolari viene trattato come un valore letterale.
    • Aggiunto operatore bit “&”, ad esempio per modificare i singoli bit è possibile specificare “frame[0] & 0x0F == 3”.
    • La precedenza dell'operatore logico AND è ora superiore a quella dell'operatore OR.
    • Aggiunto il supporto per specificare le costanti in formato binario utilizzando il prefisso "0b".
    • Aggiunta la possibilità di utilizzare valori di indice negativi per il reporting end-to-end, ad esempio per controllare gli ultimi due byte nell'intestazione TCP è possibile specificare “tcp[-2:] == AA:BB”.
    • È vietato separare gli elementi di un set con spazi; l'uso di spazi invece di virgole ora porterà a un errore anziché a un avviso.
    • Aggiunte ulteriori sequenze di escape: \a, \b, \f, \n, \r, \t, \v.
    • Aggiunta la possibilità di specificare caratteri Unicode nei formati \uNNNN e \UNNNNNNNN.
    • Aggiunto un nuovo operatore di confronto “===” (“all_eq”), che funziona solo se nell'espressione “a === b” tutti i valori di “a” corrispondono a “b”. Aggiunto anche l'operatore inverso "!==" ("any_ne").
    • L'operatore "~=" è stato deprecato e al suo posto dovrebbe essere utilizzato "!==".
    • È vietato utilizzare numeri con punto vuoto, ad es. valori ".7" e "7." ora non sono più validi e dovrebbero essere sostituiti da “0.7” e “7.0”.
    • Il motore delle espressioni regolari nel motore dei filtri di visualizzazione è stato spostato nella libreria PCRE2 invece che in GRegex.
    • La corretta gestione dei byte null è implementata nelle stringhe e nei modelli delle espressioni regolari ('\0' in una stringa viene trattato come un byte null).
    • Oltre a 1 e 0, i valori booleani ora possono essere scritti anche come Vero/VERO e Falso/FALSO.
  • Il modulo dissettore HTTP2 ha aggiunto il supporto per l'utilizzo di intestazioni fittizie per analizzare i dati acquisiti senza precedenti pacchetti con intestazioni (ad esempio, durante l'analisi di messaggi in connessioni gRPC già stabilite).
  • Il supporto Mesh Connex (MCX) è stato aggiunto al parser IEEE 802.11.
  • È prevista la memorizzazione temporanea (senza salvataggio su disco) della password nella finestra di dialogo Extcap, in modo da non inserirla durante i lanci ripetuti. Aggiunta la possibilità di impostare una password per extcap tramite utilità a riga di comando come tshark.
  • L'utilità ciscodump implementa la capacità di acquisire in remoto da dispositivi basati su IOS, IOS-XE e ASA.
  • Aggiunto il supporto per i protocolli:
    • Rilevamento del loop di Allied Telesis (AT LDF),
    • Multiplexer AUTOSAR I-PDU (AUTOSAR I-PduM),
    • Sicurezza del protocollo bundle DTN (BPSec),
    • Protocollo bundle DTN versione 7 (BPv7),
    • Protocollo DTN TCP Convergence Layer (TCPCL),
    • Tabella delle informazioni sulla selezione DVB (DVB SIT),
    • Interfaccia di trading in contanti migliorata 10.0 (XTI),
    • Interfaccia avanzata del registro ordini 10.0 (EOBI),
    • Interfaccia di trading avanzata 10.0 (ETI),
    • Protocollo di accesso al registro legacy di FiveCo (5co-legacy),
    • Protocollo di trasferimento dati generico (GDT),
    • gRPC Web (gRPC-Web),
    • Protocollo di configurazione IP host (HICP),
    • Legame Huawei GRE (GREbond),
    • Modulo interfaccia di localizzazione (IDENT, CALIBRAZIONE, CAMPIONI - IM1, CAMPIONI - IM2R0),
    • Connessione Mesh (MCX),
    • Protocollo di controllo remoto del cluster Microsoft (RCP),
    • Protocollo di controllo aperto per OCA/AES70 (OCP.1),
    • Protocollo di autenticazione estensibile protetto (PEAP),
    • Protocollo di serializzazione REdis v2 (RESP),
    • Roon Discovery (RoonDisco),
    • Protocollo di trasferimento file sicuro (sftp),
    • Protocollo di configurazione IP host sicuro (SHICP),
    • Protocollo di trasferimento file SSH (SFTP),
    • SCSI collegato tramite USB (UASP),
    • Coprocessore di rete ZBOSS (ZB NCP).
  • I requisiti per l'ambiente di compilazione (CMake 3.10) e le dipendenze (GLib 2.50.0, Libgcrypt 1.8.0, Python 3.6.0, GnuTLS 3.5.8) sono stati aumentati.

Fonte: opennet.ru

Aggiungi un commento