Выпуск сетевых анализаторов Wireshark 4.4.0 и Zeek 7.0.0 30.08.2024 12:30

Опубликован релиз новой стабильной ветки сетевого анализатора Wireshark 4.4. Программа поддерживает более тысячи сетевых протоколов и различные форматы захвата трафика. Предоставляется гибкий интерфейс для создания фильтров, возможонсть пересборки порядка следования пакетов, выделения и сохранения содержимого файлов, передаваемых поверх HTTP и CIFS, воспроизведения RTP-потоков и т.п. Код проекта распространяется под лицензией GPLv2.

Ключевые новшества Wireshark 4.4.0:

  • Добавлена поддержка автоматического переключения профилей с настройками. Пользователь может привязать фильтр отображения к профилю и в случае открытия файла с захваченным трафиком, подпадающего под фильтр, автоматически будет задействован связанный с ним профиль.
  • Добавлена поддержка языка Lua 5.3 и 5.4. Прекращена поддержка Lua 5.1 и 5.2.

  • В фильтрах отображения улучшена поддержка строковых значений (появилась возможность строкового представления числовых полей). Предоставлена возможность определения функции фильтра отображения в виде плагинов, по аналогиями с парсерами файлов и модулями разбора протоколов. Добавлена операция «Edit › Copy › Display filter as pcap filter» для преобразования фильтров отображения в pcap-фильтры с эквивалентными полями.

  • Улучшены многие графические диалоги, модернизированы графики ввода/вывода, потоков трафика, VoIP-вызовов и TCP-потоков.

  • Разрешено определение собственных столбцов, для формирования которых могут использоваться любые операции над полями (функции фильтров, арифметические вычисления, логические операции, модификаторы протоколов и т.п.).

  • Разрешено определение собственных полей вывода для «tshark -e», используя операции над полями.

  • Добавлена поддержка сборки с библиотекой zlib-ng вместо zlib для работы со сжатыми файлами.

  • Добавлена поддержка протоколов и форматов:
    • Allied Telesis Resiliency Link (AT RL),
    • ATN Security Label,
    • Bit Index Explicit Replication (BIER),
    • Bus Mirroring Protocol,
    • EGNOS Message Server (EMS),
    • Galileo E1-B I/NAV,
    • IBM i RDMA Endpoint (iRDMA-EDP),
    • IWBEMSERVICES, MAC NR Framed (mac-nr-framed),
    • Matter Bluetooth Transport Protocol (MatterBTP),
    • MiWi P2P Star,
    • Monero,
    • NMEA 0183,
    • PLDM,
    • RDP authentication redirection virtual channel protocol (rdpear),
    • RF4CE Network Layer (RF4CE),
    • RF4CE Profile (RF4CE Profile),
    • RK512, SAP Remote Function Call (SAPRFC),
    • SBAS L1 Navigation Message,
    • Scanner Access Now Easy (SANE),
    • TREL,
    • WMIO,
    • ZeroMQ Message Transport Protocol (ZMTP).

  • Устранена уязвимость (CVE-2024–8250), приводящая к аварийному завершению при обработке специального оформленных пакетов.

Дополнительно можно отметить релиз системы анализа трафика и выявления сетевых вторжений Zeek 7.0.0, ранее распространявшейся под именем Bro. Zeek представляет собой платформу для анализа трафика, ориентированную в первую очередь на отслеживание событий, связанных с безопасностью, но не ограничивающуюся этим применением. Код системы написан на языке С++ и распространяется под лицензией BSD.

Платформой Zeek предоставляются модули для анализа и разбора различных сетевых протоколов уровня приложений, учитывающие состояние соединений и позволяющие формировать подробный журнал (архив) сетевой активности. Предлагается предметно-ориентированный язык для написания сценариев мониторинга и выявления аномалий с учётом специфики конкретных инфраструктур. Система оптимизирована для использования в сетях с большой пропускной способностью. Предоставляется API для интеграции со сторонними информационными системами и обмена данными в режиме реального времени.

В новом выпуске Zeek:

  • Переработан фреймворк Telemetry, используемый для накопления и экспорта статистики (например, число открытых соединений и интенсивность запросов). Вместо агрегирования метрик на конечных узлах с их направлением на отдельный управляющий узел, в новой версии для сборка метрик с узлов задействован механизм определения сервисов на базе Prometheus.

  • Генератор парсеров для разбора протоколов и файлов обновлён до версии Spicy 1.11, в которой изменено представление кода в памяти, повышена надёжность работы, улучшена обработка потери пакетов, расширена поддержка битовых полей и ускорена работа (для некоторых протоколов прирост производительности достигает 30%).

  • Добавлена поддержка движка оптимизации скриптов ZAM (Zeek Abstract Machine), позволяющего повысить производительность Zeek-скриптов благодаря компиляции узлов синтаксического дерева в более эффективно исполняемую низкоуровневую форму.

  • Предложены новые анализаторы протоколов QUIC и LDAP, построенные с использованием генератора парсеров Spicy.

  • Обеспечена корректная обработка проброса на более новые версии протокола HTTP.

  • Улучшен анализ WebSocket.

  • Добавлена поддержка отложенной записи в лог.



Источник: http://www.opennet.ru/opennews/art.shtml? num=61790

OpenNet прочитано 7100 раз