Wireshark 3.0.0: обзор нововведений

image

Wireshark Foundation выпустила финальную stable-версию популярного сетевого анализатора трафика — Wireshark 3.0.0. В новом релизе устранено несколько багов, реализована возможность анализа новых протоколов и заменен драйвер WinPcap на Npcap.

Wireshark — самый популярный в мире анализатор сетевых протоколов. Он используется для устранения неполадок, анализа, развития и обучения.
gn3_8wykczv2x-wj8xnwma6npiy.png

Новые и обновленные функции


  • Улучшен пользовательский интерфейс. Поддержка ряда устаревших функций и библиотек была удалена.
  • Функция IP-карты (кнопка «Карта» в диалоговом окне «Конечные точки») была добавлена ​​обратно в модернизированной форме (Ошибка 14693).
  • Пакет macOS теперь поставляется с Qt 5.12.1. Ранее он поставлялся с Qt 5.9.7.
  • Для пакета macOS требуется версия 10.12 или более поздняя версия macOS (High Sierra/Mojave). Если вы используете старую версию macOS, используйте Wireshark 2.6.
  • Wireshark теперь поддерживает шведский и украинский языки (русский он поддерживает с версии 2.9).
  • Добавлена поддержка использования токенов PKCS #11 для расшифровки RSA в TLS.
  • Установщики Windows теперь поставляются с Qt 5.12.1. Ранее они поставлялись с Qt 5.12.0.
  • Установщики Windows .exe теперь поставляются с Npcap вместо WinPcap. Помимо активной поддержки (проектом nmap), Npcap поддерживает петлевой захват и захват режима мониторинга 802.11 Wi-Fi (если поддерживается драйвером NIC).
  • Метки времени разговора поддерживаются для протоколов UDP/UDP-Lite.
  • TShark теперь поддерживает опцию -G elastic-mapping, которая генерирует файл сопоставления ElasticSearch.
  • Диалог «Захват информации» был добавлен обратно (ошибка 12004).
  • Диссекторы Ethernet и IEEE 802.11 больше не проверяют последовательность проверки кадра (контрольную сумму) по умолчанию.
  • Диссектор TCP получил новое предпочтение «Повторная сборка неупорядоченных сегментов», чтобы исправить проблемы с вскрытием и расшифровкой в ​​случае, если сегменты TCP получены не по порядку.
  • Поддержка расшифровки для нового диссектора WireGuard (ошибка 15011, требуется Libgcrypt 1.8).
  • Диссектор BOOTP был переименован в DHCP. За исключением «bootp.dhcp», старые поля фильтра дисплея «bootp. *» все еще поддерживаются, но могут быть удалены в будущем выпуске.
  • SSL-диссектор был переименован в TLS. Как и в случае с BOOTP, старые поля фильтра отображения «ssl. *» поддерживаются, но могут быть удалены в будущем выпуске.
  • APT-X был переименован в aptX.
  • При импорте из шестнадцатеричного дампа теперь можно добавить заголовок ExportPDU с именем полезной нагрузки. Это вызывает конкретный диссектор напрямую без нижестоящих протоколов.
  • Интерфейсы extshap sshdump и ciscodump теперь могут использовать прокси для соединения SSH.
  • Dumpcap теперь поддерживает -a packets: NUM и -b packets: NUM варианты.


Поддержка новых протоколов


Помимо обновления огромного количества протоколов, уже существующих в Wireshark, разработчики добавили поддержку следующих:

Apple Wireless Direct Link (AWDL), Basic Transport Protocol (BTP), BLIP Couchbase Mobile (BLIP), CDMA 2000, Circuit Emulation Service over Ethernet (CESoETH), Cisco Meraki Discovery Protocol (MDP), Distributed Ruby (DRb), DXL, E1AP (5G), EVS (3GPP TS 26.445 A.2 EVS RTP), Exablaze trailers, General Circuit Services Notification Application Protocol (GCSNA), GeoNetworking (GeoNw), GLOW Lawo Emberplus Data format, Great Britain Companion Specification (GBCS) used in the Smart Metering Equipment Technical Specifications (SMETS), GSM-R (User-to-User Information Element usage), HI3CCLinkData, Intelligent Transport Systems (ITS) application level, ISO 13400–2 Diagnostic communication over Internet Protocol (DoIP), ITU-t X.696 Octet Encoding Rules (OER), Local Number Portability Database Query Protocol (ANSI), MsgPack, NGAP (5G), NR (5G) PDCP, Osmocom Generic Subscriber Update Protocol (GSUP), PCOM protocol, PKCS#10 (RFC2986 Certification Request Syntax), PROXY (v2), S101 Lawo Emberplus transport frame, Secure Reliable Transport Protocol (SRT), Spirent Test Center Signature decoding for Ethernet and FibreChannel (STCSIG, disabled by default), Sybase-specific portions of TDS, systemd Journal Export, TeamSpeak 3 DNS, TPM 2.0, Ubiquiti Discovery Protocol (UBDP), WireGuard, XnAP (5G), and Z39.50 Information Retrieval Protocol.

WinPcap > Npcap


Самым актуальным нововведением является замена WinPcap на Npcap. Хотя библиотека Npcap и основана на WinPcap/Libpcap, однако она более оптимизирована, имеет лучшую скорость работы, портативность и безопасность. Также немаловажным фактором является поддержка Npcap разработчиками Nmap Project, в отличие от необновляемой с 2013 года WinPcap.

© Habrahabr.ru