Bolo zverejnené vydanie novej stabilnej vetvy sieťového analyzátora Wireshark 4.0. Pripomeňme, že projekt bol spočiatku vyvíjaný pod názvom Ethereal, no v roku 2006 kvôli konfliktu s majiteľom ochrannej známky Ethereal boli vývojári nútení projekt premenovať na Wireshark. Kód projektu je distribuovaný pod licenciou GPLv2.
Kľúčové inovácie vo Wireshark 4.0.0:
- Rozloženie prvkov v hlavnom okne bolo zmenené. Panely Additional Packet Information a Packet Bytes sú umiestnené vedľa seba pod panelom Package List.
- Dizajn dialógových okien „Konverzácia“ a „Koncový bod“ bol zmenený.
- Pridané možnosti do kontextových ponúk na zmenu veľkosti všetkých stĺpcov a kopírovanie položiek.
- K dispozícii je možnosť odopnúť a pripojiť karty.
- Pridaná podpora pre export vo formáte JSON.
- Keď sa použijú filtre, zobrazia sa stĺpce, ktoré zobrazujú rozdiely medzi paketmi, ktoré sa zhodovali, a tými, ktoré neboli filtrované.
- Zmenilo sa triedenie rôznych typov údajov.
- Identifikátory sú pripojené k tokom TCP a UDP a poskytuje sa možnosť ich filtrovania.
- Povolené skryť dialógové okná z kontextovej ponuky.
- Vylepšený import hexadecimálnych výpisov z rozhrania Wireshark a pomocou príkazu text2pcap.
- text2pcap poskytuje možnosť zaznamenávať výpisy vo všetkých formátoch podporovaných knižnicou odpočúvania.
- V text2pcap je pcapng nastavený ako predvolený formát, podobne ako pomocné programy editcap, mergecap a tshark.
- Pridaná podpora pre výber typu zapuzdrenia výstupného formátu.
- Pridané nové možnosti protokolovania.
- Poskytuje možnosť ukladať fiktívne hlavičky IP, TCP, UDP a SCTP do výpisov pri použití zapuzdrenia Raw IP, Raw IPv4 a Raw IPv6.
- Pridaná podpora pre skenovanie vstupných súborov pomocou regulárnych výrazov.
- Funkčnosť pomôcky text2pcap a rozhrania „Import from Hex Dump“ v programe Wireshark je zabezpečená.
- Výkon určovania polohy pomocou databáz MaxMind sa výrazne zlepšil.
- Boli vykonané zmeny v syntaxi pravidiel filtrovania návštevnosti:
- Pridaná možnosť vybrať špecifickú vrstvu zásobníka protokolov, napríklad pri zapuzdrení IP-over-IP, na extrahovanie adries z externých a vnorených paketov, môžete zadať „ip.addr#1 == 1.1.1.1“ a „ ip.addr#2 == 1.1.1.2. XNUMX".
- Podmienené príkazy teraz podporujú „akékoľvek“ a „všetky“ kvantifikátory, napríklad „všetky tcp.port > 1024“ na testovanie všetkých polí tcp.port.
- Existuje vstavaná syntax na špecifikovanie odkazov na polia - ${some.field}, implementovaná bez použitia makier.
- Pridaná možnosť používať aritmetické operácie („+“, „-“, „*“, „/“, „%“) s číselnými poľami, pričom výraz oddeľuje zloženými zátvorkami.
- Pridané funkcie max(), min() a abs().
- Je povolené špecifikovať výrazy a volať ďalšie funkcie ako argumenty funkcií.
- Pridaná nová syntax na oddelenie literálov od identifikátorov – hodnota začínajúca bodkou sa považuje za protokol alebo pole protokolu a hodnota v lomených zátvorkách sa považuje za literál.
- Pridaný bitový operátor „&“, napríklad na zmenu jednotlivých bitov môžete zadať „rámec[0] & 0x0F == 3“.
- Priorita logického operátora AND je teraz vyššia ako priorita operátora OR.
- Pridaná podpora pre špecifikáciu konštánt v binárnej forme pomocou predpony „0b“.
- Pridaná možnosť použiť záporné hodnoty indexu na hlásenie od konca, napríklad na kontrolu posledných dvoch bajtov v hlavičke TCP môžete zadať „tcp[-2:] == AA:BB“.
- Oddeľovanie prvkov množiny medzerami je zakázané; použitie medzier namiesto čiarok teraz povedie k chybe, nie k varovaniu.
- Pridané ďalšie escape sekvencie: \a, \b, \f, \n, \r, \t, \v.
- Pridaná možnosť špecifikovať znaky Unicode vo formátoch \uNNNN a \UNNNNNNNNN.
- Pridaný nový porovnávací operátor „===“ („all_eq“), ktorý funguje iba vtedy, ak sa vo výraze „a === b“ všetky hodnoty „a“ zhodujú s „b“. Bol pridaný aj spätný operátor "!==" ("any_ne").
- Operátor "~=" bol zastaraný a namiesto neho by sa mal použiť "!==".
- Je zakázané používať čísla s otvorenou bodkou, t.j. hodnoty ".7" a "7." sú teraz neplatné a mali by byť nahradené „0.7“ a „7.0“.
- Modul regulárneho výrazu v jadre filtra zobrazenia bol presunutý do knižnice PCRE2 namiesto GRegex.
- Správne spracovanie prázdnych bajtov je implementované v reťazcoch regulárnych výrazov a šablónach ("\0" v reťazci sa považuje za nulový bajt).
- Okrem 1 a 0 môžu byť boolovské hodnoty teraz zapísané aj ako True/TRUE a False/FALSE.
- Modul disektora HTTP2 pridal podporu pre používanie fiktívnych hlavičiek na analýzu údajov zachytených bez predchádzajúcich paketov s hlavičkami (napríklad pri analýze správ v už vytvorených pripojeniach gRPC).
- Do syntaktického analyzátora IEEE 802.11 bola pridaná podpora Mesh Connex (MCX).
- Dočasné uloženie (bez uloženia na disk) hesla v dialógovom okne Extcap je zabezpečené, aby sa pri opakovanom spustení nezadávalo. Pridaná možnosť nastaviť heslo pre extcap pomocou nástrojov príkazového riadka, ako je tshark.
- Nástroj ciscodump implementuje možnosť vzdialeného snímania zo zariadení založených na IOS, IOS-XE a ASA.
- Pridaná podpora protokolov:
- Allied Telesis Loop Detection (AT LDF),
- AUTOSAR I-PDU multiplexer (AUTOSAR I-PduM),
- DTN Bundle Protocol Security (BPSec),
- DTN Bundle Protocol, verzia 7 (BPv7),
- DTN TCP Convergence Layer Protocol (TCPCL),
- Tabuľka informácií o výbere DVB (DVB SIT),
- Rozšírené rozhranie na obchodovanie s hotovosťou 10.0 (XTI),
- Rozšírené rozhranie knihy objednávok 10.0 (EOBI),
- Rozšírené obchodné rozhranie 10.0 (ETI),
- protokol FiveCo Legacy Register Access Protocol (5co-legacy),
- Generic Data Transfer Protocol (GDT),
- gRPC Web (gRPC-Web),
- Hostiteľský protokol IP Configuration Protocol (HICP),
- Huawei GRE bonding (GREbond),
- Modul lokalizačného rozhrania (IDENT, KALIBRÁCIA, VZORKY - IM1, VZORKY - IM2R0),
- Mesh Connex (MCX),
- Microsoft Cluster Remote Control Protocol (RCP),
- Open Control Protocol for OCA/AES70 (OCP.1),
- Protected Extensible Authentication Protocol (PEAP),
- REdis Serialization Protocol v2 (RESP),
- Roon Discovery (RoonDisco),
- Secure File Transfer Protocol (sftp),
- Secure Host IP Configuration Protocol (SHICP),
- SSH File Transfer Protocol (SFTP),
- USB Attached SCSI (UASP),
- Sieťový koprocesor ZBOSS (ZB NCP).
- Zvýšené požiadavky na prostredie zostavy (CMake 3.10) a závislosti (GLib 2.50.0, Libgcrypt 1.8.0, Python 3.6.0, GnuTLS 3.5.8).
Zdroj: opennet.ru