Після року розробки відбувся випуск нової стабільної гілки мережевого аналізатора Wireshark 3.6. Нагадаємо, що спочатку проект розвивався під ім'ям Ethereal, але у 2006 році через конфлікт із власником торгової марки Ethereal, розробники були змушені перейменувати проект у Wireshark. Код проекту розповсюджується під ліцензією GPLv2.
Ключові нововведення Wireshark 3.6.0:
- Внесено зміни до синтаксису правил фільтрації трафіку:
- Додано підтримку синтаксису «a ~= b» або «a any_ne b» для вибору будь-яких значень крім одного.
- Додано підтримку синтаксису "a not in b", аналогічного по дії "not a in b".
- Дозволено вказівку рядків за аналогією з raw-рядками в Python, без необхідності екранування спецсимволів.
- Вираз «a != b» тепер завжди аналогічний до виразу «!(a == b)» при використанні зі значеннями, що охоплюють кілька полів («ip.addr != 1.1.1.1» тепер аналогічний до вказівки «ip.src != 1.1.1.1. 1.1.1.1 and ip.dst! = XNUMX »).
- Елементи set-списків тепер повинні розділятися тільки комами, поділ пробілами заборонено (тобто правило 'http.request.method in {«GET» «HEAD»}' має бути замінено на 'http.request.method in {«GET») , "HEAD"}'.
- Для TCP трафіку доданий фільтр tcp.completeness, що дозволяє розділяти TCP-потоки з урахуванням стану активності з'єднання, тобто. можна виявляти TCP-потоки для яких було виконано обмін пакетами для встановлення, передачі або завершення з'єднання.
- Додано налаштування add_default_value, через яке можна вказати значення за промовчанням полів Protobuf, не серіалізованих або пропущених при захопленні трафіку.
- Додано підтримку читання файлів з перехопленим трафіком у форматі ETW (Event Tracing for Windows). Також доданий модуль аналізу (dissector) для пакетів DLT_ETW.
- Додано режим «Follow DCCP stream», що дозволяє фільтрувати та витягувати вміст із потоків DCCP.
- Додана підтримка аналізу пакетів RTP зі звуковими даними у форматі OPUS.
- Надано можливість імпорту перехоплених пакетів із текстових дампів у формат libpcap із завданням правил розбору на основі регулярних виразів.
- Істотно перероблений програвач RTP-потоків (Telephony > RTP > RTP Player), який може застосовуватися для відтворення VoIP-дзвінків. Додано підтримку списків відтворення, підвищено чуйність інтерфейсу, надано можливість приглушення звуку та зміни каналів, додано опцію для збереження відтворюваних звуків у формі багатоканальних файлів .au або .wav.
- Перероблені діалоги, пов'язані з VoIP (VoIP Calls, RTP Streams, RTP Analysis, RTP Player і SIP Flows), які тепер не модальні і можуть бути відкриті в фоні.
- До діалогу «Follow Stream» додано можливість відстеження SIP-дзвінків на основі значення Call-ID. Підвищена деталізація виводу у форматі YAML.
- Реалізовано можливість перескладання фрагментів IP-пакетів, що мають різні VLAN ID.
- Додано обробник для перескладання пакетів USB (USB Link Layer), перехоплених з використанням апаратних аналізаторів.
- У TShark додано опцію «-export-tls-session-keys» для експорту сеансових ключів TLS.
- В аналізаторі RTP-потоків змінено діалог експорту у форматі CSV
- Почалося формування пакетів для систем на базі MacOS, укомплектованих ARM-чіпом Apple M1. У пакетах для пристроїв Apple із чіпами Intel підвищено вимоги до версії macOS (10.13+). Додані 64-розрядні пакети для Windows (PortableApps). Додана початкова підтримка складання Wireshark для Windows, використовуючи GCC та MinGW-w64.
- Додано підтримку декодування та захоплення даних у форматі BLF (Informatik Binary Log File).
- Додано підтримку протоколів:
- Протокол Bluetooth Link Manager (BT LMP),
- Bundle Protocol версії 7 (BPv7),
- Безпека Bundle Protocol версії 7 (BPSec),
- Підписання та шифрування об'єктів CBOR (COSE),
- Протокол додатків E2 (E2AP),
- Відстеження подій для Windows (ETW),
- Надзвичайний додатковий заголовок Eth (EXEH),
- Високопродуктивний інструмент для підключення (HiPerConTracer),
- ISO 10681,
- Kerberos SPAKE,
- Протокол Psample Linux,
- Локальна мережа з'єднання (LIN),
- Служба планувальника завдань Microsoft,
- O-RAN E2AP,
- O-RAN фронтальний UC-літак (O-RAN),
- Інтерактивний аудіокодек Opus (OPUS),
- Транспортний протокол PDU, R09.x (R09),
- Протокол динамічного каналу RDP (DRDYNVC),
- Протокол каналу графічного конвеєра RDP (EGFX),
- RDP Multi-транспорт (RDPMT),
- Віртуальний транспорт для публікації та підписки в реальному часі (RTPS-VT),
- Протокол публікування-підписки в реальному часі (оброблено) (RTPS-PROC),
- Комунікації спільної пам'яті (SMC),
- PDU сигналу, свічка B,
- Протокол синхронізації стану (SSyncP),
- Формат файлу з тегами (TIFF),
- Протокол розумного дому TP-Link,
- UAVCAN DSDL,
- UAVCAN / CAN,
- Протокол віддаленого робочого стола UDP (RDPUDP),
- Ван Якобсон PPP стиснення (VJC),
- World of Warcraft World (WOW),
- Корисне навантаження X2 xIRI (xIRI).
Джерело: opennet.ru