ProHoster > blog > internetnieuws > Wireshark 4.0 netwerkanalysator uitgebracht

Wireshark 4.0 netwerkanalysator uitgebracht

De release van een nieuwe stabiele tak van de Wireshark 4.0-netwerkanalysator is gepubliceerd. Laten we niet vergeten dat het project aanvankelijk werd ontwikkeld onder de naam Ethereal, maar in 2006 werden de ontwikkelaars, vanwege een conflict met de eigenaar van het handelsmerk Ethereal, gedwongen het project Wireshark te hernoemen. De projectcode wordt gedistribueerd onder de GPLv2-licentie.

Belangrijkste innovaties in Wireshark 4.0.0:

  • De lay-out van elementen in het hoofdvenster is gewijzigd. De panelen Extra pakketinformatie en Pakketbytes bevinden zich naast elkaar onder het paneel Pakketlijst.
  • Het ontwerp van de dialoogvensters “Gesprek” en “Eindpunt” is gewijzigd.
    • Opties toegevoegd aan contextmenu's om het formaat van alle kolommen te wijzigen en items te kopiëren.
    • Er is de mogelijkheid om tabbladen los te maken en te bevestigen.
    • Ondersteuning toegevoegd voor exporteren in JSON-indeling.
    • Wanneer filters worden toegepast, worden kolommen weergegeven die de verschillen tonen tussen pakketten die zijn gematcht en pakketten die niet zijn gefilterd.
    • De sortering van verschillende soorten gegevens is gewijzigd.
    • Identifiers zijn gekoppeld aan TCP- en UDP-streams en er is de mogelijkheid om hierop te filteren.
    • Toegestaan ​​om dialoogvensters te verbergen in het contextmenu.
  • Verbeterde import van hex-dumps vanuit de Wireshark-interface en het gebruik van de opdracht text2pcap.
    • text2pcap biedt de mogelijkheid om dumps op te nemen in alle formaten die door de afluisterbibliotheek worden ondersteund.
    • In text2pcap is pcapng ingesteld als het standaardformaat, vergelijkbaar met de hulpprogramma's editcap, mergecap en tshark.
    • Ondersteuning toegevoegd voor het selecteren van het inkapselingstype van het uitvoerformaat.
    • Nieuwe opties voor loggen toegevoegd.
    • Biedt de mogelijkheid om dummy IP-, TCP-, UDP- en SCTP-headers in dumps op te slaan bij gebruik van Raw IP-, Raw IPv4- en Raw IPv6-inkapseling.
    • Ondersteuning toegevoegd voor het scannen van invoerbestanden met behulp van reguliere expressies.
    • De functionaliteit van het text2pcap-hulpprogramma en de interface "Import from Hex Dump" in Wireshark zijn gewaarborgd.
  • De prestaties van locatiebepaling met behulp van MaxMind-databases zijn aanzienlijk verbeterd.
  • Er zijn wijzigingen aangebracht in de syntaxis van verkeersfilterregels:
    • De mogelijkheid toegevoegd om een ​​specifieke laag van de protocolstack te selecteren, bijvoorbeeld bij het inkapselen van IP-over-IP, om adressen uit externe en geneste pakketten te extraheren, kunt u “ip.addr#1 == 1.1.1.1” en “ ip.addr#2 == 1.1.1.2".
    • Voorwaardelijke instructies ondersteunen nu de kwantoren 'any' en 'all', bijvoorbeeld 'all tcp.port > 1024' om alle tcp.port-velden te testen.
    • Er is een ingebouwde syntaxis voor het opgeven van veldverwijzingen - ${some.field}, geïmplementeerd zonder het gebruik van macro's.
    • De mogelijkheid toegevoegd om rekenkundige bewerkingen (“+”, “-“, “*”, “/”, “%”) te gebruiken met numerieke velden, waarbij de expressie wordt gescheiden met accolades.
    • Functies max(), min() en abs() toegevoegd.
    • Het is toegestaan ​​om expressies op te geven en andere functies aan te roepen als functieargumenten.
    • Nieuwe syntaxis toegevoegd om letterlijke waarden te scheiden van identifiers: een waarde die begint met een punt wordt behandeld als een protocol of protocolveld, en een waarde tussen punthaken wordt behandeld als een letterlijke waarde.
    • Bitoperator “&” toegevoegd, om bijvoorbeeld individuele bits te wijzigen, kunt u “frame[0] & 0x0F == 3” specificeren.
    • De prioriteit van de logische AND-operator is nu hoger dan die van de OR-operator.
    • Ondersteuning toegevoegd voor het specificeren van constanten in binaire vorm met behulp van het voorvoegsel “0b”.
    • De mogelijkheid toegevoegd om negatieve indexwaarden te gebruiken voor rapportage vanaf het einde, om bijvoorbeeld de laatste twee bytes in de TCP-header te controleren, kunt u “tcp[-2:] == AA:BB” opgeven.
    • Het scheiden van elementen van een set met spaties is verboden; het gebruik van spaties in plaats van komma's leidt nu tot een fout in plaats van een waarschuwing.
    • Extra ontsnappingsreeksen toegevoegd: \a, \b, \f, \n, \r, \t, \v.
    • De mogelijkheid toegevoegd om Unicode-tekens op te geven in de formaten \uNNNN en \UNNNNNNNNN.
    • Een nieuwe vergelijkingsoperator “===” (“all_eq”) toegevoegd, die alleen werkt als in de uitdrukking “a === b” alle waarden van “a” samenvallen met “b”. Er is ook een omgekeerde operator "!==" ("any_ne") toegevoegd.
    • De operator "~=" is verouderd en in plaats daarvan moet "!==" worden gebruikt.
    • Het is verboden cijfers met een open punt te gebruiken, d.w.z. waarden ".7" en "7." zijn nu ongeldig en moeten worden vervangen door “0.7” en “7.0”.
    • De reguliere expressie-engine in de displayfilter-engine is verplaatst naar de PCRE2-bibliotheek in plaats van GRegex.
    • Correcte afhandeling van null-bytes wordt geïmplementeerd in strings en sjablonen voor reguliere expressies ('\0' in een string wordt behandeld als een null-byte).
    • Naast 1 en 0 kunnen booleaanse waarden nu ook worden geschreven als True/TRUE en False/FALSE.
  • De HTTP2-dissectormodule heeft ondersteuning toegevoegd voor het gebruik van dummy-headers om gegevens te parseren die zijn vastgelegd zonder eerdere pakketten met headers (bijvoorbeeld bij het parseren van berichten in reeds bestaande gRPC-verbindingen).
  • Ondersteuning voor Mesh Connex (MCX) is toegevoegd aan de IEEE 802.11-parser.
  • Er is tijdelijke opslag (zonder opslaan op schijf) van het wachtwoord in het Extcap-dialoogvenster voorzien, zodat het niet kan worden ingevoerd tijdens herhaalde lanceringen. De mogelijkheid toegevoegd om een ​​wachtwoord in te stellen voor extcap via opdrachtregelhulpprogramma's zoals tshark.
  • Het ciscodump-hulpprogramma implementeert de mogelijkheid om op afstand gegevens vast te leggen vanaf apparaten op basis van IOS, IOS-XE en ASA.
  • Protocolondersteuning toegevoegd:
    • Allied Telesis Loop-detectie (AT LDF),
    • AUTOSAR I-PDU-multiplexer (AUTOSAR I-PduM),
    • DTN-bundelprotocolbeveiliging (BPSec),
    • DTN-bundelprotocol versie 7 (BPv7),
    • DTN TCP Convergence Layer Protocol (TCPCL),
    • DVB-selectie-informatietabel (DVB SIT),
    • Verbeterde interface voor contante handel 10.0 (XTI),
    • Verbeterde orderboekinterface 10.0 (EOBI),
    • Verbeterde handelsinterface 10.0 (ETI),
    • FiveCo's Legacy Register Access Protocol (5co-legacy),
    • Generiek gegevensoverdrachtprotocol (GDT),
    • gRPC-web (gRPC-web),
    • Host IP-configuratieprotocol (HICP),
    • Huawei GRE-binding (GREbond),
    • Locatie-interfacemodule (IDENT, KALIBRATIE, MONSTERS - IM1, MONSTERS - IM2R0),
    • Mesh Connex (MCX),
    • Microsoft Cluster Remote Control Protocol (RCP),
    • Open controleprotocol voor OCA/AES70 (OCP.1),
    • Beschermd Extensible Authentication Protocol (PEAP),
    • REdis Serialisatie Protocol v2 (RESP),
    • Roon Ontdekking (RoonDisco),
    • Veilig bestandsoverdrachtprotocol (sftp),
    • Secure Host IP-configuratieprotocol (SHICP),
    • SSH-bestandsoverdrachtprotocol (SFTP),
    • USB aangesloten SCSI (UASP),
    • ZBOSS-netwerkcoprocessor (ZB NCP).
  • De vereisten voor de bouwomgeving (CMake 3.10) en afhankelijkheden (GLib 2.50.0, Libgcrypt 1.8.0, Python 3.6.0, GnuTLS 3.5.8) zijn verhoogd.

Bron: opennet.ru

Voeg een reactie