ProHoster > Blog > tin tức mạng > Phát hành máy phân tích mạng Wireshark 4.4.0 và Zeek 7.0.0

Phát hành máy phân tích mạng Wireshark 4.4.0 và Zeek 7.0.0

Việc phát hành nhánh ổn định mới của bộ phân tích mạng Wireshark 4.4 đã được xuất bản. Chương trình hỗ trợ hơn một nghìn giao thức mạng và hàng chục định dạng ghi lại lưu lượng truy cập. Một giao diện linh hoạt được cung cấp để tạo bộ lọc, nắm bắt lưu lượng truy cập, phân tích các kết xuất được lưu trữ và kiểm tra các gói. Hỗ trợ các tính năng nâng cao như sắp xếp lại gói, trích xuất và lưu nội dung của các tệp được truyền bằng các giao thức khác nhau, phát luồng VoIP và RTP, giải mã IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP và WPA/WPA2. Mã dự án được phân phối theo giấy phép GPLv2.

Những cải tiến chính trong Wireshark 4.4.0:

  • Đã thêm hỗ trợ để tự động chuyển đổi cấu hình bằng cài đặt. Người dùng có thể liên kết bộ lọc hiển thị với một cấu hình và nếu một tệp có lưu lượng truy cập đã ghi phù hợp với bộ lọc được mở thì cấu hình được liên kết với nó sẽ tự động được kích hoạt.
  • Đã thêm hỗ trợ cho Lua 5.3 và 5.4. Hỗ trợ cho Lua 5.1 và 5.2 đã bị ngừng.
  • Trong bộ lọc hiển thị, hỗ trợ cho các giá trị chuỗi đã được cải thiện (khả năng biểu diễn chuỗi của các trường số đã xuất hiện).
  • Có thể xác định các chức năng lọc dưới dạng plugin, tương tự như trình phân tích cú pháp tệp và mô-đun phân tích giao thức.
  • Đã thêm thao tác "Chỉnh sửa > Sao chép > Hiển thị bộ lọc dưới dạng bộ lọc pcap" để chuyển đổi bộ lọc hiển thị thành bộ lọc pcap có các trường tương đương.
  • Nhiều hộp thoại đồ họa đã được cải tiến, đồ thị đầu vào/đầu ra, luồng lưu lượng, cuộc gọi VoIP và luồng TCP đã được hiện đại hóa.
  • Nó được phép xác định các cột của riêng bạn, để hình thành bất kỳ thao tác nào trên các trường có thể được sử dụng (hàm lọc, tính toán số học, phép toán logic, bộ sửa đổi giao thức, v.v.).
  • Cho phép xác định các trường đầu ra của riêng bạn cho "tshark -e" bằng cách sử dụng các thao tác trên các trường hiện có.
  • Đã thêm hỗ trợ xây dựng bằng thư viện zlib-ng thay vì zlib để làm việc với các tệp nén.
  • Đã thêm hỗ trợ cho các giao thức và định dạng:
    • Liên kết khả năng phục hồi truyền hình đồng minh (AT RL),
    • Nhãn bảo mật ATN,
    • Sao chép rõ ràng chỉ số bit (BIER),
    • Giao thức phản chiếu xe buýt
    • Máy chủ tin nhắn EGNOS (EMS),
    • Galileo E1-B I/NAV,
    • Điểm cuối IBM i RDMA (iRDMA-EDP),
    • IWBEMSERVICES, MAC NR Đóng khung (mac-nr-framed),
    • Giao thức truyền tải Bluetooth có vấn đề (MatterBTP),
    • Ngôi sao MiWi P2P,
    • Monero,
    • NMEA 0183
    • PLDM
    • Giao thức kênh ảo chuyển hướng xác thực RDP (rdpear),
    • Lớp mạng RF4CE (RF4CE),
    • Hồ sơ RF4CE (Hồ sơ RF4CE),
    • RK512, Cuộc gọi chức năng từ xa SAP (SAPRFC),
    • Thông báo điều hướng SBAS L1,
    • Truy cập máy quét ngay bây giờ dễ dàng (SANE),
    • TREL,
    • WMIO,
    • Giao thức truyền tải tin nhắn ZeroMQ (ZMTP).
  • Đã khắc phục lỗ hổng (CVE-2024-8250) gây ra sự cố khi xử lý các gói được chế tạo đặc biệt.

Ngoài ra, chúng tôi có thể lưu ý việc phát hành hệ thống phân tích lưu lượng truy cập và phát hiện xâm nhập mạng Zeek 7.0.0, trước đây được phân phối dưới tên Bro. Zeek là một nền tảng phân tích lưu lượng truy cập tập trung chủ yếu vào nhưng không giới hạn ở việc giám sát sự kiện bảo mật. Nền tảng Zeek cung cấp các mô-đun để phân tích và phân tích các giao thức mạng cấp ứng dụng khác nhau, có tính đến trạng thái kết nối và cho phép tạo nhật ký chi tiết (kho lưu trữ) hoạt động mạng. Một ngôn ngữ dành riêng cho miền được đề xuất để viết tập lệnh giám sát và xác định các điểm bất thường, có tính đến các chi tiết cụ thể của cơ sở hạ tầng cụ thể. Hệ thống được tối ưu hóa để sử dụng trong các mạng băng thông cao. API được cung cấp để tích hợp với hệ thống thông tin của bên thứ ba và trao đổi dữ liệu trong thời gian thực. Mã hệ thống được viết bằng C++ và được phân phối theo giấy phép BSD.

Trong số mới của Zeek:

  • Khung Từ xa được sử dụng để tích lũy và xuất số liệu thống kê (ví dụ: số lượng kết nối mở và cường độ yêu cầu) đã được thiết kế lại. Thay vì tổng hợp số liệu trên các nút cuối và chuyển chúng đến một nút quản lý riêng biệt, phiên bản mới sử dụng cơ chế xác định dịch vụ dựa trên Prometheus để thu thập số liệu từ các nút.
  • Trình tạo trình phân tích cú pháp để phân tích các giao thức và tệp đã được cập nhật lên phiên bản Spicy 1.11, phiên bản này đã thay đổi cách biểu diễn mã trong bộ nhớ, tăng độ tin cậy, cải thiện khả năng xử lý mất gói, hỗ trợ mở rộng cho các trường bit và tăng tốc hoạt động (đối với một số giao thức, hiệu suất tăng đạt 30%).
  • Đã thêm hỗ trợ cho công cụ tối ưu hóa tập lệnh ZAM (Zeek Tóm tắt Machine), giúp cải thiện hiệu suất của tập lệnh Zeek bằng cách biên dịch các nút cây cú pháp thành dạng cấp thấp có thể thực thi hiệu quả hơn.
  • Các bộ phân tích giao thức QUIC và LDAP mới được đề xuất, xây dựng bằng trình tạo trình phân tích cú pháp Spicy.
  • Đảm bảo xử lý chính xác việc chuyển tiếp sang các phiên bản mới hơn của giao thức HTTP.
  • Cải thiện phân tích cú pháp WebSocket.
  • Đã thêm hỗ trợ cho việc đăng nhập bị trì hoãn.

Nguồn: opennet.ru

Thêm một lời nhận xét