主持人 > 博客 > 网络新闻 > Wireshark 4.0网络分析仪发布

Wireshark 4.0网络分析仪发布

Wireshark 4.0网络分析仪的新稳定分支已经发布。 让我们回想一下,该项目最初是以 Ethereal 的名称开发的,但在 2006 年,由于与 Ethereal 商标所有者的冲突,开发人员被迫将项目更名为 Wireshark。 项目代码根据 GPLv2 许可证分发。

Wireshark 4.0.0 的主要创新:

  • 主窗口中元素的布局已更改。 “附加数据包信息”和“数据包字节”面板并排位于“数据包列表”面板下方。
  • “对话”和“端点”对话框的设计已更改。
    • 在上下文菜单中添加了用于调整所有列大小和复制项目的选项。
    • 提供了取消固定和附加选项卡的功能。
    • 添加了对 JSON 格式导出的支持。
    • 应用过滤器时,会显示列,显示匹配的数据包和未过滤的数据包之间的差异。
    • 各种类型数据的排序已更改。
    • 标识符附加到 TCP 和 UDP 流,并提供了通过它们进行过滤的能力。
    • 允许从上下文菜单中隐藏对话框。
  • 改进了从 Wireshark 界面并使用 text2pcap 命令导入十六进制转储的功能。
    • text2pcap 提供了以窃听库支持的所有格式记录转储的能力。
    • 在text2pcap中,pcapng被设置为默认格式,类似于editcap、mergecap和tshark实用程序。
    • 添加了对选择输出格式封装类型的支持。
    • 添加了新的日志记录选项。
    • 使用原始 IP、原始 IPv4 和原始 IPv6 封装时,能够在转储中保存虚拟 IP、TCP、UDP 和 SCTP 标头。
    • 添加了对使用正则表达式扫描输入文件的支持。
    • 确保了 Wireshark 中 text2pcap 实用程序和“从十六进制转储导入”界面的功能。
  • 使用 MaxMind 数据库进行位置确定的性能得到了显着提高。
  • 流量过滤规则的语法发生了变化:
    • 添加了选择协议栈特定层的功能,例如封装IP-over-IP时,要从外部和嵌套数据包中提取地址,可以指定“ip.addr#1 == 1.1.1.1”和“ ip.addr#2 == 1.1.1.2"。
    • 条件语句现在支持“any”和“all”量词,例如“all tcp.port > 1024”来测试所有 tcp.port 字段。
    • 有一个用于指定字段引用的内置语法 - ${some.field},无需使用宏即可实现。
    • 添加了对数字字段使用算术运算(“+”、“-”、“*”、“/”、“%”)的功能,并用大括号分隔表达式。
    • 添加了 max()、min() 和 abs() 函数。
    • 允许指定表达式并作为函数参数调用其他函数。
    • 添加了新语法以将文字与标识符分开 - 以点开头的值被视为协议或协议字段,尖括号内的值被视为文字。
    • 添加了位运算符“&”,例如,要更改各个位,您可以指定“frame[0] & 0x0F == 3”。
    • 逻辑 AND 运算符的优先级现在高于 OR 运算符。
    • 添加了对使用“0b”前缀以二进制形式指定常量的支持。
    • 添加了使用负索引值从末尾进行报告的功能,例如,要检查 TCP 标头中的最后两个字节,您可以指定“tcp[-2:] == AA:BB”。
    • 禁止用空格分隔集合的元素;使用空格代替逗号现在将导致错误而不是警告。
    • 添加了额外的转义序列:\a、\b、\f、\n、\r、\t、\v。
    • 添加了以 \uNNNN 和 \UNNNNNNNN 格式指定 Unicode 字符的功能。
    • 添加了新的比较运算符“===”(“all_eq”),仅当表达式“a === b”中“a”的所有值与“b”一致时才起作用。 还添加了反向运算符“!==”(“any_ne”)。
    • “~=”运算符已被弃用,应使用“!==”代替。
    • 禁止使用带有空心点的数字,即值“.7”和“7”。 现在无效,应替换为“0.7”和“7.0”。
    • 显示过滤引擎中的正则表达式引擎已移至 PCRE2 库而不是 GRegex。
    • 在正则表达式字符串和模板中实现了对空字节的正确处理(字符串中的“\0”被视为空字节)。
    • 除了 1 和 0 之外,布尔值现在还可以写成 True/TRUE 和 False/FALSE。
  • HTTP2 解析器模块添加了对使用虚拟标头来解析捕获的数据的支持,而先前的数据包没有标头(例如,在解析已建立的 gRPC 连接中的消息时)。
  • IEEE 802.11 解析器中添加了 Mesh Connex (MCX) 支持。
  • 提供了 Extcap 对话框中密码的临时存储(不保存在磁盘上),以免在重复启动时输入密码。 添加了通过命令行实用程序(例如 tshark)为 extcap 设置密码的功能。
  • ciscodump 实用程序实现了从基于 IOS、IOS-XE 和 ASA 的设备远程捕获的功能。
  • 添加了协议支持:
    • Allied Telesis 环路检测 (AT LDF)、
    • AUTOSAR I-PDU 多路复用器(AUTOSAR I-PduM),
    • DTN 捆绑协议安全 (BPSec)、
    • DTN 捆绑协议版本 7 (BPv7),
    • DTN TCP 汇聚层协议 (TCPCL)、
    • DVB 选择信息表 (DVB SIT),
    • 增强型现金交易接口10.0(XTI),
    • 增强型订单簿界面 10.0 (EOBI),
    • 增强型交易界面10.0(ETI),
    • FiveCo 的旧版寄存器访问协议(5co-legacy),
    • 通用数据传输协议(GDT),
    • gRPC Web(gRPC-Web),
    • 主机 IP 配置协议 (HICP)、
    • 华为GRE绑定(GREbond),
    • 定位接口模块(识别、校准、样品 - IM1、样品 - IM2R0)、
    • 网状连接 (MCX)、
    • 微软集群远程控制协议(RCP),
    • OCA/AES70 (OCP.1) 开放控制协议,
    • 受保护的可扩展身份验证协议(PEAP),
    • REdis 序列化协议 v2 (RESP),
    • 罗恩探索 (RoonDisco)、
    • 安全文件传输协议 (sftp)、
    • 安全主机 IP 配置协议 (SHICP)、
    • SSH 文件传输协议 (SFTP)、
    • USB 连接 SCSI (UASP)、
    • ZBOSS 网络协处理器 (ZB NCP)。
  • 构建环境 (CMake 3.10) 和依赖项 (GLib 2.50.0、Libgcrypt 1.8.0、Python 3.6.0、GnuTLS 3.5.8) 的要求已增加。

来源: opennet.ru

添加评论