Po roku rozwoju wypuszczono nową stabilną gałąź analizatora sieci Wireshark 3.6. Przypomnijmy, że projekt początkowo powstawał pod nazwą Ethereal, jednak w 2006 roku w wyniku konfliktu z właścicielem znaku towarowego Ethereal twórcy zmuszeni byli zmienić nazwę projektu Wireshark. Kod projektu jest rozpowszechniany na licencji GPLv2.
Kluczowe innowacje w Wireshark 3.6.0:
- Wprowadzono zmiany w składni reguł filtrowania ruchu:
- Dodano obsługę składni „a ~= b” lub „a any_ne b”, aby wybrać dowolną wartość z wyjątkiem jednej.
- Dodano obsługę składni „a nie w b”, która działa podobnie do „nie a w b”.
- Dopuszczalne jest określanie ciągów przez analogię do surowych ciągów w Pythonie, bez konieczności ucieczki przed znakami specjalnymi.
- Wyrażenie „a != b” jest teraz zawsze takie samo, jak wyrażenie „!(a == b)”, gdy jest używane z wartościami obejmującymi wiele pól („ip.addr != 1.1.1.1” jest teraz takie samo jak podając „ip.src != 1.1.1.1. 1.1.1.1 i ip.dst != XNUMX”).
- Elementy setlist powinny być teraz oddzielane jedynie przecinkami, niedopuszczalne jest rozdzielanie spacjami (tzn. regułę 'http.request.method in {"GET" "HEAD"}' należy zastąpić regułą 'http.request.method in {" POBIERZ”, „GŁOWA”}”.
- Dla ruchu TCP dodano filtr tcp.completeness, który umożliwia separację strumieni TCP na podstawie stanu aktywności połączenia, tj. Można zidentyfikować przepływy TCP, dla których wymieniono pakiety w celu nawiązania, przesłania danych lub zakończenia połączenia.
- Dodano ustawienie „add_default_value”, za pomocą którego można określić domyślne wartości dla pól Protobuf, które nie są serializowane ani pomijane podczas przechwytywania ruchu.
- Dodano obsługę odczytu plików z przechwyconym ruchem w formacie ETW (Event Tracing for Windows). Do pakietów DLT_ETW dodano także moduł dysektora.
- Dodano tryb „Śledź strumień DCCP”, umożliwiający filtrowanie i wyodrębnianie treści ze strumieni DCCP.
- Dodano obsługę analizowania pakietów RTP z danymi audio w formacie OPUS.
- Możliwe jest importowanie przechwyconych pakietów ze zrzutów tekstowych do formatu libpcap z ustawieniem reguł analizowania w oparciu o wyrażenia regularne.
- Odtwarzacz strumieniowy RTP (Telefonia > RTP > Odtwarzacz RTP) został znacznie przeprojektowany, dzięki czemu można odtwarzać połączenia VoIP. Dodano obsługę list odtwarzania, zwiększono responsywność interfejsu, zapewniono możliwość wyciszenia dźwięku i zmiany kanałów, dodano opcję zapisywania odtwarzanych dźwięków w postaci wielokanałowych plików .au lub .wav.
- Przeprojektowano okna dialogowe związane z VoIP (połączenia VoIP, strumienie RTP, analiza RTP, odtwarzacz RTP i przepływy SIP), które nie są teraz modalne i można je otwierać w tle.
- Do okna dialogowego „Śledź strumień” dodano możliwość śledzenia połączeń SIP na podstawie wartości Call-ID. Zwiększona szczegółowość wyników YAML.
- Zaimplementowano możliwość ponownego składania fragmentów pakietów IP mających różne identyfikatory VLAN.
- Dodano procedurę odbudowy pakietów USB (USB Link Layer) przechwyconych przy użyciu analizatorów sprzętowych.
- Dodano opcję „--export-tls-session-keys” do TShark w celu eksportowania kluczy sesji TLS.
- W analizatorze strumienia RTP zmieniono okno dialogowe eksportu w formacie CSV
- Rozpoczęło się tworzenie pakietów dla systemów opartych na macOS wyposażonych w chip Apple M1 ARM. Pakiety dla urządzeń Apple z chipami Intel mają zwiększone wymagania dla wersji macOS (10.13+). Dodano przenośne pakiety 64-bitowe dla systemu Windows (PortableApps). Dodano wstępną obsługę tworzenia Wireshark dla Windows przy użyciu GCC i MinGW-w64.
- Dodano obsługę dekodowania i przechwytywania danych w formacie BLF (Informatik Binary Log File).
- Dodano obsługę protokołów:
- Protokół Bluetooth Link Manager (BT LMP),
- Protokół pakietu w wersji 7 (BPv7),
- Pakiet bezpieczeństwa protokołu w wersji 7 (BPSec),
- Podpisywanie i szyfrowanie obiektów CBOR (COSE),
- Protokół aplikacji E2 (E2AP),
- Śledzenie zdarzeń dla Windows (ETW),
- Ekstremalnie dodatkowy nagłówek Eth (EXEH),
- Tracer o wysokiej wydajności (HiPerConTracer),
- ISO 10681,
- MÓWIENIE Kerberosa,
- protokół psalmu Linux,
- Lokalna sieć połączeń międzysieciowych (LIN),
- Usługa Harmonogramu Zadań Microsoft,
- O-RAN E2AP,
- Samolot fronthaul O-RAN UC (O-RAN),
- Interaktywny kodek audio Opus (OPUS),
- Protokół transportowy PDU, R09.x (R09),
- Protokół kanału dynamicznego RDP (DRDYNVC),
- Protokół kanału potoku graficznego RDP (EGFX),
- Multitransport PROW (RDPMT),
- Wirtualny transport publikowania-subskrypcji w czasie rzeczywistym (RTPS-VT),
- Protokół publikowania-subskrypcji w czasie rzeczywistym (przetworzony) (RTPS-PROC),
- Komunikacja w pamięci współdzielonej (SMC),
- PDU sygnału, świeca zapłonowaB,
- Protokół synchronizacji stanu (SSyncP),
- Oznaczony format pliku obrazu (TIFF),
- Protokół inteligentnego domu TP-Link,
- UAVCAN DSDL
- BSP / MOŻE,
- Protokół zdalnego pulpitu UDP (RDPUDP),
- kompresja Van Jacobsona PPP (VJC),
- World of Warcraft World (WOW),
- Ładunek X2 xIRI (xIRI).
Źródło: opennet.ru