Wireshark 4.0 네트워크 분석기 출시

Wireshark 4.0 네트워크 분석기의 새로운 안정 버전이 출시되었습니다. 이 프로젝트는 처음에 Ethereal이라는 이름으로 개발되었지만 2006년 Ethereal 상표 소유자와의 충돌로 인해 개발자는 프로젝트 이름을 Wireshark로 변경해야 했습니다. 프로젝트 코드는 GPLv2 라이센스에 따라 배포됩니다.

Wireshark 4.0.0의 주요 혁신 사항:

• 메인 창의 요소 레이아웃이 변경되었습니다. 추가 패킷 정보 및 패킷 바이트 패널은 패키지 목록 패널 아래에 나란히 위치합니다.
• "대화" 및 "엔드포인트" 대화 상자의 디자인이 변경되었습니다.
  • 모든 열의 크기를 조정하고 항목을 복사하는 옵션을 상황에 맞는 메뉴에 추가했습니다.
  • 탭을 고정 해제하고 부착하는 기능이 제공됩니다.
  • JSON 형식으로 내보내기에 대한 지원이 추가되었습니다.
  • 필터가 적용되면 일치하는 패킷과 필터링되지 않은 패킷 간의 차이를 보여주는 열이 표시됩니다.
  • 다양한 유형의 데이터 정렬이 변경되었습니다.
  • 식별자는 TCP 및 UDP 스트림에 첨부되며 이를 기준으로 필터링하는 기능이 제공됩니다.
  • 상황에 맞는 메뉴에서 대화 상자를 숨길 수 있습니다.
• Wireshark 인터페이스 및 text2pcap 명령을 사용하여 XNUMX진수 덤프 가져오기가 개선되었습니다.
  • text2pcap은 wiretap 라이브러리에서 지원하는 모든 형식으로 덤프를 기록하는 기능을 제공합니다.
  • text2pcap에서는 pcapng가 editcap, mergecap 및 tshark 유틸리티와 유사하게 기본 형식으로 설정됩니다.
  • 출력 형식 캡슐화 유형 선택에 대한 지원이 추가되었습니다.
  • 로깅에 대한 새로운 옵션이 추가되었습니다.
  • 원시 IP, 원시 IPv4 및 원시 IPv6 캡슐화를 사용할 때 덤프에 더미 IP, TCP, UDP 및 SCTP 헤더를 저장하는 기능이 제공되었습니다.
  • 정규식을 사용하여 입력 파일을 검색하기 위한 지원이 추가되었습니다.
  • Text2pcap 유틸리티의 기능과 Wireshark의 "XNUMX진수 덤프에서 가져오기" 인터페이스가 보장됩니다.
• MaxMind 데이터베이스를 사용한 위치 결정 성능이 크게 향상되었습니다.
• 트래픽 필터링 규칙의 구문이 변경되었습니다.
  • 예를 들어 IP-over-IP를 캡슐화할 때 외부 및 중첩 패킷에서 주소를 추출하기 위해 프로토콜 스택의 특정 계층을 선택하는 기능이 추가되었습니다. "ip.addr#1 == 1.1.1.1" 및 "를 지정할 수 있습니다. ip.addr#2 == 1.1.1.2".
  • 이제 조건문은 "모든" 및 "모든" 수량자를 지원합니다. 예를 들어 모든 tcp.port 필드를 테스트하려면 "all tcp.port > 1024"를 사용하세요.
  • 매크로를 사용하지 않고 구현된 필드 참조(${some.field})를 지정하기 위한 기본 제공 구문이 있습니다.
  • 숫자 필드에 산술 연산("+", "-", "*", "/", "%")을 사용하고 표현식을 중괄호로 구분하는 기능이 추가되었습니다.
  • max(), min(), abs() 함수를 추가했습니다.
  • 표현식을 지정하고 다른 함수를 함수 인수로 호출하는 것이 허용됩니다.
  • 식별자에서 리터럴을 분리하는 새로운 구문이 추가되었습니다. 점으로 시작하는 값은 프로토콜 또는 프로토콜 필드로 처리되고 꺾쇠 괄호 안의 값은 리터럴로 처리됩니다.
  • 예를 들어, 개별 비트를 변경하려면 "frame[0] & 0x0F == 3"을 지정할 수 있는 비트 연산자 "&"를 추가했습니다.
  • 이제 논리 AND 연산자의 우선순위가 OR 연산자의 우선순위보다 높습니다.
  • "0b" 접두사를 사용하여 이진 형식으로 상수를 지정하는 지원이 추가되었습니다.
  • 끝에서 보고하기 위해 음수 인덱스 값을 사용하는 기능이 추가되었습니다. 예를 들어 TCP 헤더의 마지막 2바이트를 확인하려면 "tcp[-XNUMX:] == AA:BB"를 지정할 수 있습니다.
  • 집합의 요소를 공백으로 구분하는 것은 금지됩니다. 쉼표 대신 공백을 사용하면 이제 경고가 아닌 오류가 발생합니다.
  • 추가 이스케이프 시퀀스를 추가했습니다: \a, \b, \f, \n, \r, \t, \v.
  • \uNNNN 및 \UNNNNNNNNN 형식으로 유니코드 문자를 지정하는 기능이 추가되었습니다.
  • "a === b" 표현식에서 "a"의 모든 값이 "b"와 일치하는 경우에만 작동하는 새로운 비교 연산자 "==="("all_eq")를 추가했습니다. 역방향 연산자 "!=="("any_ne")도 추가되었습니다.
  • "~=" 연산자는 더 이상 사용되지 않으며 대신 "!=="를 사용해야 합니다.
  • 열린 점이 있는 숫자를 사용하는 것은 금지되어 있습니다. 값은 ".7"과 "7"입니다. 이제 유효하지 않으며 "0.7" 및 "7.0"으로 바꿔야 합니다.
  • 디스플레이 필터 엔진의 정규식 엔진이 GRegex 대신 PCRE2 라이브러리로 이동되었습니다.
  • null 바이트의 올바른 처리는 정규식 문자열 및 템플릿에서 구현됩니다(문자열의 '\0'은 null 바이트로 처리됨).
  • 1과 0 외에도 부울 값을 True/TRUE 및 False/FALSE로 작성할 수도 있습니다.
• HTTP2 dissector 모듈에는 더미 헤더를 사용하여 헤더가 있는 이전 패킷 없이 캡처된 데이터를 구문 분석하는 지원이 추가되었습니다(예: 이미 설정된 gRPC 연결에서 메시지를 구문 분석하는 경우).
• MCX(Mesh Connex) 지원이 IEEE 802.11 파서에 추가되었습니다.
• 반복 실행 중에 비밀번호를 입력하지 않도록 Extcap 대화 상자에 비밀번호를 임시 저장(디스크에 저장하지 않음)하는 기능이 제공됩니다. tshark와 같은 명령줄 유틸리티를 통해 extcap의 비밀번호를 설정하는 기능이 추가되었습니다.
• ciscodump 유틸리티는 IOS, IOS-XE 및 ASA 기반 장치에서 원격으로 캡처하는 기능을 구현합니다.
• 프로토콜에 대한 지원이 추가되었습니다.
  • 연합 텔레시스 루프 감지(AT LDF),
  • AUTOSAR I-PDU 멀티플렉서(AUTOSAR I-PduM),
  • DTN 번들 프로토콜 보안(BPSec),
  • DTN 번들 프로토콜 버전 7(BPv7),
  • DTN TCP 수렴 계층 프로토콜(TCPCL),
  • DVB 선택 정보 테이블(DVB SIT),
  • 향상된 현금 거래 인터페이스 10.0(XTI),
  • 향상된 주문장 인터페이스 10.0(EOBI),
  • 향상된 거래 인터페이스 10.0(ETI),
  • FiveCo의 레거시 레지스터 액세스 프로토콜(5co-legacy),
  • 일반 데이터 전송 프로토콜(GDT),
  • gRPC 웹(gRPC-웹),
  • 호스트 IP 구성 프로토콜(HICP),
  • 화웨이 GRE 본딩(GREbond),
  • 위치 추적 인터페이스 모듈(IDENT, CALIBRATION, SAMPLES - IM1, SAMPLES - IM2R0),
  • 메시 코넥스(MCX),
  • Microsoft 클러스터 원격 제어 프로토콜(RCP),
  • OCA/AES70용 개방형 제어 프로토콜(OCP.1),
  • PEAP(보호 확장 가능 인증 프로토콜),
  • RESP(REdis 직렬화 프로토콜 v2),
  • 룬디스커버리(RoonDisco),
  • 보안 파일 전송 프로토콜(sftp),
  • 보안 호스트 IP 구성 프로토콜(SHICP),
  • SFTP(SSH 파일 전송 프로토콜),
  • USB 연결 SCSI(UASP),
  • ZBOSS 네트워크 보조 프로세서(ZB NCP).
• 빌드 환경(CMake 3.10) 및 종속성(GLib 2.50.0, Libgcrypt 1.8.0, Python 3.6.0, GnuTLS 3.5.8)에 대한 요구 사항이 증가했습니다.

출처 : opennet.ru