Utgivelsen av en ny stabil gren av Wireshark 4.0 nettverksanalysator har blitt publisert. La oss huske at prosjektet opprinnelig ble utviklet under navnet Ethereal, men i 2006, på grunn av en konflikt med eieren av Ethereal-varemerket, ble utviklerne tvunget til å gi nytt navn til prosjektet Wireshark. Prosjektkoden distribueres under GPLv2-lisensen.
Viktige innovasjoner i Wireshark 4.0.0:
- Oppsettet av elementer i hovedvinduet er endret. Panelene Ekstra pakkeinformasjon og Pakkebytes er plassert side ved side under Pakkeliste-panelet.
- Utformingen av dialogboksene "Samtale" og "Endepunkt" er endret.
- Lagt til alternativer i kontekstmenyer for å endre størrelse på alle kolonner og kopiere elementer.
- Muligheten til å løsne og feste faner er gitt.
- Lagt til støtte for eksport i JSON-format.
- Når filtre brukes, vises kolonner som viser forskjellene mellom pakker som ble matchet og de som ikke ble filtrert.
- Sorteringen av ulike typer data er endret.
- Identifikatorer er knyttet til TCP- og UDP-strømmer og muligheten til å filtrere etter dem er gitt.
- Tillatt å skjule dialoger fra kontekstmenyen.
- Forbedret import av hex-dumps fra Wireshark-grensesnittet og bruk av text2pcap-kommandoen.
- text2pcap gir muligheten til å ta opp dumps i alle formater som støttes av avlyttingsbiblioteket.
- I text2pcap er pcapng satt som standardformat, lik editcap, mergecap og tshark-verktøyene.
- Lagt til støtte for valg av innkapslingstype for utdataformat.
- Lagt til nye alternativer for logging.
- Gir muligheten til å lagre dummy IP-, TCP-, UDP- og SCTP-hoder i dumper når du bruker Raw IP, Raw IPv4 og Raw IPv6-innkapsling.
- Lagt til støtte for å skanne inndatafiler ved hjelp av regulære uttrykk.
- Funksjonaliteten til text2pcap-verktøyet og "Import from Hex Dump"-grensesnittet i Wireshark er sikret.
- Ytelsen til stedsbestemmelse ved bruk av MaxMind-databaser har blitt betydelig forbedret.
- Det er gjort endringer i syntaksen for trafikkfiltreringsregler:
- Lagt til muligheten til å velge et spesifikt lag av protokollstabelen, for eksempel når du kapsler inn IP-over-IP, for å trekke ut adresser fra eksterne og nestede pakker, kan du spesifisere "ip.addr#1 == 1.1.1.1" og " ip.addr#2 == 1.1.1.2. XNUMX".
- Betingede utsagn støtter nå "any" og "all" kvantifiserere, for eksempel "all tcp.port > 1024" for å teste alle tcp.port-feltene.
- Det er en innebygd syntaks for å spesifisere feltreferanser - ${some.field}, implementert uten bruk av makroer.
- Lagt til muligheten til å bruke aritmetiske operasjoner ("+", "-", "*", "/", "%") med numeriske felt, som skiller uttrykket med krøllete klammeparenteser.
- Lagt til max(), min() og abs() funksjoner.
- Det er tillatt å spesifisere uttrykk og kalle andre funksjoner som funksjonsargumenter.
- Lagt til ny syntaks for å skille bokstaver fra identifikatorer - en verdi som begynner med en prikk behandles som en protokoll eller et protokollfelt, og en verdi innenfor vinkelparentes behandles som en bokstavelig.
- Lagt til bitoperator "&", for eksempel, for å endre individuelle biter kan du spesifisere "ramme[0] & 0x0F == 3".
- Forrangen til den logiske OG-operatoren er nå høyere enn for OR-operatoren.
- Lagt til støtte for å spesifisere konstanter i binær form ved å bruke "0b"-prefikset.
- Lagt til muligheten til å bruke negative indeksverdier for rapportering fra slutten, for eksempel for å sjekke de to siste bytene i TCP-overskriften kan du spesifisere "tcp[-2:] == AA:BB".
- Det er forbudt å skille elementer i et sett med mellomrom; bruk av mellomrom i stedet for komma vil nå føre til en feil i stedet for en advarsel.
- Lagt til flere escape-sekvenser: \a, \b, \f, \n, \r, \t, \v.
- Lagt til muligheten til å spesifisere Unicode-tegn i formatene \uNNNN og \UNNNNNNNNN.
- Lagt til en ny sammenligningsoperator "===" ("all_eq"), som bare fungerer hvis i uttrykket "a === b" alle verdiene til "a" sammenfaller med "b". En omvendt operator "!==" ("any_ne") er også lagt til.
- Operatoren "~=" er avviklet og "!==" bør brukes i stedet.
- Det er forbudt å bruke tall med åpen prikk, dvs. verdier ".7" og "7." er nå ugyldige og bør erstattes med "0.7" og "7.0".
- Den regulære uttrykksmotoren i skjermfiltermotoren har blitt flyttet til PCRE2-biblioteket i stedet for GRegex.
- Riktig håndtering av nullbyte er implementert i regulære uttrykksstrenger og maler ('\0' i en streng behandles som en nullbyte).
- I tillegg til 1 og 0 kan boolske verdier nå også skrives som True/TRUE og False/FALSE.
- HTTP2-dissektormodulen har lagt til støtte for bruk av dummy-overskrifter for å analysere data som er fanget uten tidligere pakker med overskrifter (for eksempel ved analyse av meldinger i allerede etablerte gRPC-forbindelser).
- Støtte for Mesh Connex (MCX) er lagt til IEEE 802.11-parseren.
- Midlertidig lagring (uten å lagre på disk) av passordet i Extcap-dialogen er gitt, for ikke å legge det inn under gjentatte lanseringer. Lagt til muligheten til å angi et passord for extcap via kommandolinjeverktøy som tshark.
- Ciscodump-verktøyet implementerer muligheten til å eksternt fange fra enheter basert på IOS, IOS-XE og ASA.
- Lagt til protokollstøtte:
- Allied Telesis Loop Detection (AT LDF),
- AUTOSAR I-PDU multiplekser (AUTOSAR I-PduM),
- DTN Bundle Protocol Security (BPSec),
- DTN Bundle Protocol versjon 7 (BPv7),
- DTN TCP Convergence Layer Protocol (TCPCL),
- DVB-utvalgsinformasjonstabell (DVB SIT),
- Enhanced Cash Trading Interface 10.0 (XTI),
- Enhanced Order Book Interface 10.0 (EOBI),
- Enhanced Trading Interface 10.0 (ETI),
- FiveCos Legacy Register Access Protocol (5co-legacy),
- Generic Data Transfer Protocol (GDT),
- gRPC Web (gRPC-Web),
- Host IP Configuration Protocol (HICP),
- Huawei GRE bonding (GREbond),
- Lokaliseringsgrensesnittmodul (IDENT, KALIBRERING, PRØVER - IM1, PRØVER - IM2R0),
- Mesh Connex (MCX),
- Microsoft Cluster Remote Control Protocol (RCP),
- Åpne kontrollprotokoll for OCA/AES70 (OCP.1),
- Protected Extensible Authentication Protocol (PEAP),
- REdis Serialization Protocol v2 (RESP),
- Roon Discovery (RoonDisco),
- Secure File Transfer Protocol (sftp),
- Secure Host IP Configuration Protocol (SHICP),
- SSH File Transfer Protocol (SFTP),
- USB Attached SCSI (UASP),
- ZBOSS Network Coprocessor (ZB NCP).
- Kravene til byggemiljøet (CMake 3.10) og avhengigheter (GLib 2.50.0, Libgcrypt 1.8.0, Python 3.6.0, GnuTLS 3.5.8) er økt.
Kilde: opennet.ru