Lançamento dos analisadores de rede Wireshark 4.4.0 e Zeek 7.0.0

O lançamento de uma nova ramificação estável do analisador de rede Wireshark 4.4 foi publicado. O programa suporta mais de mil protocolos de rede e várias dezenas de formatos de captura de tráfego. Uma interface flexível é fornecida para criar filtros, capturar tráfego, analisar dumps armazenados e inspecionar pacotes. Suporta recursos avançados como reordenação de pacotes, extração e salvamento do conteúdo de arquivos transmitidos usando diferentes protocolos, reprodução de fluxos VoIP e RTP, descriptografia IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP e WPA/WPA2. O código do projeto é distribuído sob a licença GPLv2.

Principais inovações no Wireshark 4.4.0:

  • Adicionado suporte para troca automática de perfis com configurações. O usuário pode vincular um filtro de exibição a um perfil e se um arquivo com tráfego capturado que corresponda ao filtro for aberto, o perfil associado a ele será ativado automaticamente.
  • Adicionado suporte para Lua 5.3 e 5.4. O suporte para Lua 5.1 e 5.2 foi descontinuado.
  • Nos filtros de exibição, o suporte para valores de string foi melhorado (apareceu a possibilidade de representação de campos numéricos em string).
  • É possível definir funções de filtro na forma de plugins, semelhantes a analisadores de arquivos e módulos de análise de protocolo.
  • Adicionada operação "Editar > Copiar > Exibir filtro como filtro pcap" para converter filtros de exibição em filtros pcap com campos equivalentes.
  • Muitos diálogos gráficos foram melhorados, gráficos de entrada/saída, fluxos de tráfego, chamadas VoIP e fluxos TCP foram modernizados.
  • É permitido definir colunas próprias, para cuja formação podem ser utilizadas quaisquer operações nos campos (funções de filtro, cálculos aritméticos, operações lógicas, modificadores de protocolo, etc.).
  • Permitir definir campos de saída personalizados para "tshark -e" usando operações em campos existentes.
  • Adicionado suporte para construção com a biblioteca zlib-ng em vez de zlib para trabalhar com arquivos compactados.
  • Adicionado suporte para protocolos e formatos:
    • Link de resiliência da Allied Telesis (AT RL),
    • Etiqueta de segurança ATN,
    • Replicação explícita de índice de bits (BIER),
    • Protocolo de espelhamento de barramento
    • Servidor de mensagens EGNOS (EMS),
    • Galileo E1-B I/NAV,
    • Ponto final RDMA do IBM i (iRDMA-EDP),
    • IWBEMSERVICES, MAC NR emoldurado (mac-nr-framed),
    • Protocolo de transporte Bluetooth Matter (MatterBTP),
    • MiWi P2P Estrela,
    • Moeda,
    • NMEA0183
    • PLDM
    • Protocolo de canal virtual de redirecionamento de autenticação RDP (rdpear),
    • Camada de rede RF4CE (RF4CE),
    • Perfil RF4CE (perfil RF4CE),
    • RK512, chamada de função remota SAP (SAPRFC),
    • Mensagem de navegação SBAS L1,
    • Acesso ao scanner agora fácil (SANE),
    • TREL,
    • WMIO,
    • Protocolo de transporte de mensagens ZeroMQ (ZMTP).
  • Uma vulnerabilidade (CVE-2024-8250) que causava travamento ao processar pacotes especialmente criados foi corrigida.

Adicionalmente, podemos destacar o lançamento do sistema de análise de tráfego e detecção de intrusão de rede Zeek 7.0.0, anteriormente distribuído sob o nome Bro. Zeek é uma plataforma de análise de tráfego focada principalmente, mas não se limitando a, rastreamento de eventos de segurança. A plataforma Zeek fornece módulos para análise e análise de vários protocolos de rede em nível de aplicação, levando em consideração o estado das conexões e permitindo a criação de um log detalhado (arquivo) da atividade da rede. É proposta uma linguagem específica de domínio para escrever scripts de monitoramento e identificar anomalias, levando em consideração as especificidades de infraestruturas específicas. O sistema é otimizado para uso em redes de alta largura de banda. É fornecida uma API para integração com sistemas de informação de terceiros e troca de dados em tempo real. O código do sistema é escrito em C++ e distribuído sob a licença BSD.

Na nova edição da Zeek:

  • A estrutura de telemetria usada para acumular e exportar estatísticas (por exemplo, o número de conexões abertas e a intensidade das solicitações) foi redesenhada. Em vez de agregar métricas em nós finais e direcioná-las para um nó de gerenciamento separado, a nova versão usa um mecanismo de definição de serviço baseado em Prometheus para coletar métricas de nós.
  • O gerador de analisador para análise de protocolos e arquivos foi atualizado para a versão Spicy 1.11, que alterou a representação do código na memória, aumentou a confiabilidade, melhorou o tratamento da perda de pacotes, expandiu o suporte para campos de bits e acelerou a operação (para alguns protocolos o desempenho aumento chega a 30%).
  • Adicionado suporte para o mecanismo de otimização de script ZAM (Zeek Abstract Machine), que melhora o desempenho dos scripts Zeek compilando nós da árvore de sintaxe em um formato de baixo nível executado com mais eficiência.
  • São propostos novos analisadores de protocolo QUIC e LDAP, construídos utilizando o gerador de analisador Spicy.
  • O processamento correto do encaminhamento para versões mais recentes do protocolo HTTP é garantido.
  • Análise WebSocket aprimorada.
  • Adicionado suporte para registro atrasado.

Fonte: opennet.ru

Adicionar um comentário