Wireshark 3.0.0: обзор нововведений

    image

    Wireshark Foundation выпустила финальную stable-версию популярного сетевого анализатора трафика — Wireshark 3.0.0. В новом релизе устранено несколько багов, реализована возможность анализа новых протоколов и заменен драйвер WinPcap на Npcap.

    Wireshark — самый популярный в мире анализатор сетевых протоколов. Он используется для устранения неполадок, анализа, развития и обучения.


    Новые и обновленные функции


    • Улучшен пользовательский интерфейс. Поддержка ряда устаревших функций и библиотек была удалена.
    • Функция IP-карты (кнопка «Карта» в диалоговом окне «Конечные точки») была добавлена ​​обратно в модернизированной форме (Ошибка 14693).
    • Пакет macOS теперь поставляется с Qt 5.12.1. Ранее он поставлялся с Qt 5.9.7.
    • Для пакета macOS требуется версия 10.12 или более поздняя версия macOS (High Sierra/Mojave). Если вы используете старую версию macOS, используйте Wireshark 2.6.
    • Wireshark теперь поддерживает шведский и украинский языки (русский он поддерживает с версии 2.9).
    • Добавлена поддержка использования токенов PKCS #11 для расшифровки RSA в TLS.
    • Установщики Windows теперь поставляются с Qt 5.12.1. Ранее они поставлялись с Qt 5.12.0.
    • Установщики Windows .exe теперь поставляются с Npcap вместо WinPcap. Помимо активной поддержки (проектом nmap), Npcap поддерживает петлевой захват и захват режима мониторинга 802.11 Wi-Fi (если поддерживается драйвером NIC).
    • Метки времени разговора поддерживаются для протоколов UDP/UDP-Lite.
    • TShark теперь поддерживает опцию -G elastic-mapping, которая генерирует файл сопоставления ElasticSearch.
    • Диалог «Захват информации» был добавлен обратно (ошибка 12004).
    • Диссекторы Ethernet и IEEE 802.11 больше не проверяют последовательность проверки кадра (контрольную сумму) по умолчанию.
    • Диссектор TCP получил новое предпочтение «Повторная сборка неупорядоченных сегментов», чтобы исправить проблемы с вскрытием и расшифровкой в ​​случае, если сегменты TCP получены не по порядку.
    • Поддержка расшифровки для нового диссектора WireGuard (ошибка 15011, требуется Libgcrypt 1.8).
    • Диссектор BOOTP был переименован в DHCP. За исключением «bootp.dhcp», старые поля фильтра дисплея «bootp. *» все еще поддерживаются, но могут быть удалены в будущем выпуске.
    • SSL-диссектор был переименован в TLS. Как и в случае с BOOTP, старые поля фильтра отображения «ssl. *» поддерживаются, но могут быть удалены в будущем выпуске.
    • APT-X был переименован в aptX.
    • При импорте из шестнадцатеричного дампа теперь можно добавить заголовок ExportPDU с именем полезной нагрузки. Это вызывает конкретный диссектор напрямую без нижестоящих протоколов.
    • Интерфейсы extshap sshdump и ciscodump теперь могут использовать прокси для соединения SSH.
    • Dumpcap теперь поддерживает -a packets:NUM и -b packets:NUM варианты.

    Поддержка новых протоколов


    Помимо обновления огромного количества протоколов, уже существующих в Wireshark, разработчики добавили поддержку следующих:

    Apple Wireless Direct Link (AWDL), Basic Transport Protocol (BTP), BLIP Couchbase Mobile (BLIP), CDMA 2000, Circuit Emulation Service over Ethernet (CESoETH), Cisco Meraki Discovery Protocol (MDP), Distributed Ruby (DRb), DXL, E1AP (5G), EVS (3GPP TS 26.445 A.2 EVS RTP), Exablaze trailers, General Circuit Services Notification Application Protocol (GCSNA), GeoNetworking (GeoNw), GLOW Lawo Emberplus Data format, Great Britain Companion Specification (GBCS) used in the Smart Metering Equipment Technical Specifications (SMETS), GSM-R (User-to-User Information Element usage), HI3CCLinkData, Intelligent Transport Systems (ITS) application level, ISO 13400-2 Diagnostic communication over Internet Protocol (DoIP), ITU-t X.696 Octet Encoding Rules (OER), Local Number Portability Database Query Protocol (ANSI), MsgPack, NGAP (5G), NR (5G) PDCP, Osmocom Generic Subscriber Update Protocol (GSUP), PCOM protocol, PKCS#10 (RFC2986 Certification Request Syntax), PROXY (v2), S101 Lawo Emberplus transport frame, Secure Reliable Transport Protocol (SRT), Spirent Test Center Signature decoding for Ethernet and FibreChannel (STCSIG, disabled by default), Sybase-specific portions of TDS, systemd Journal Export, TeamSpeak 3 DNS, TPM 2.0, Ubiquiti Discovery Protocol (UBDP), WireGuard, XnAP (5G), and Z39.50 Information Retrieval Protocol.

    WinPcap → Npcap


    Самым актуальным нововведением является замена WinPcap на Npcap. Хотя библиотека Npcap и основана на WinPcap/Libpcap, однако она более оптимизирована, имеет лучшую скорость работы, портативность и безопасность. Также немаловажным фактором является поддержка Npcap разработчиками Nmap Project, в отличие от необновляемой с 2013 года WinPcap.
    Инфосистемы Джет
    740,00
    Системный интегратор
    Поддержать автора
    Поделиться публикацией

    Комментарии 33

      0
      «Npcap поддерживает петлевой захват» — в смысле, loopback? То есть захват всего, что летит на localhost теперь будет из коробки?
        +2
        Да, речь именно о loopback, с оговоркой поддержи NIC-драйвера: Npcap brings support for loopback capture and 802.11 WiFi monitor mode capture (if supported by the NIC driver).
          +1
          Мне кажется, что это замечание относится только к Wi-Fi. Для loopback интерфейса создается некий отдельный адаптер: After installation, Npcap will create an adapter named Npcap Loopback Adapter for you. If you are a Wireshark user, choose this adapter to capture, you will see all loopback traffic the same way as other non-loopback adapters. Похоже, что это именно их собственный драйвер, т.е. он как раз для того и написан, чтобы поддерживать захват с loopback.
          +2

          Ну наконец-то, а то вечно приходилось какой-то колхоз городить для этого

            +1
            И не говорите! Теперь заживем!
          –1
          Круто, что добавили 5G
            +6
            Человеческий loopback на винде из коробки?
            Ущипните меня.
              –1
              Расскажите кратко что такое loopback, плиз.
                +1

                Все соединения на 127.0.0.1/8, т.е. соединения к своему же компьютеру. Часто используется при обмене трафиком между разными программами, которые хотят между собой общаться. Например некая прога и база данных. Либо платформа для запуска игры, и сама игра.

                  –1
                  Ага спасибо, мине это надо будет скоро. (пилюсы не могу ставить)
                    +1
                    Все соединения на 127.0.0.1/8
                    Строго говоря, это не совсем так. 127.0.0.0/8 — это блок локалхост (localhost) адресов. А лупбеки (loopback) — это виртуальные интерфейсы, на которые могут назначаться любые unicast адреса, в т.ч. и локалхост. Но это может быть и, к примеру, адрес 1.2.3.4/32. Пакеты, приходящие на адреса лупбек интерфейсов, маршрутизируются хостом самому себе (отсюда и название). Адрес на лупбеке может быть доступен извне, для этого должен быть маршрут до него через адрес какой-либо из физических интерфейсов этого же хоста. Как правило, это используется для обеспечения доступности адресов и/или балансировки трафика.
                0
                Жаль, что подмена пакетов так и не поддерживается до сих пор.
                  +2
                  Можете воспользоваться intercepter-ng.
                    0
                    Интересно. Хром с ума сходит и упорно не даёт скачать.
                      +11
                      Давненько хром блочит сайт. Я думаю человек с Вашим ником вполне справится с этим.
                        +14
                        Еслм только это не год рождения :))
                          –1
                          у меня сыну 2.5 года: включает вай фай на телефоне (андроид, выпадающее меню сверху) и смотрит ролики на ютюбе (причем иконка ютюба запрятана в «папку» с другими иконками). (ролики в основном про лифты, поезда, железнодорожные переезды, но это ладно). Я к тому что 2011 — это уже 8 лет.
                          +1
                          Если хакер раскрыл себя уже в нике, значит он — …
                          0
                          там два лишних клика мышкой
                            0
                            Древняя Опера отдала мухой, без вопросов.
                              0
                                –3
                                У меня нет ни одного антивируса ни на маках ни на пИсях, и не будет.
                                  +1

                                  Прочитайте хоть статью. Там антивирус — на стороне Гугла, который сам решает что вам показывать. Поэтому и а простой опере все нормально открывается.

                        0
                        Огнелис тоже скачал без проблем (извините, промахнулся мимо кнопки «ответить»)
                          –5
                          Интерфейс, я так понимаю, как и в большинстве современных декстопных приложений застрял на уровне начала 10-ых годов, когда у нас уже эпоха тачскринов?
                            0
                            Почему для Linux-видных систем версии сильно отстают?
                              0
                              Полагаю это связано с тем что пингвиний зоопарк гораздо тяжелее поддерживать.
                                0

                                Потому, что поддержкой занимаются обычно люди, не являющиеся постоянными разработчики софта. К тому дэже не везде принято менять мажорные версии в стабильных ветках в угоду совместимости.
                                И поэтому мейнтейнеры основных дистрибутивов ещё не собрали. А текущая ветка 2.6.x а не 2.9 потому, что 2.9 это тестовые релизы ветки 3.0

                                0

                                Коллеги, будьте очень осторожны с Npcap (особенно с loopback). На нескольких машинах с Windows 7 (в т.ч. на моей) это сломало сетевой стек так, что перестали работать PPTP/L2TP-соединения вообще (ошибка "Модем удалён").


                                Также жалуются на проблемы с Wi-Fi, но я подобного не замечал.
                                https://github.com/nmap/nmap/issues/373
                                https://www.tenforums.com/network-sharing/102532-npcap-loopback-adapter-dec-2017-win-10-update-interfering-vpn.html

                                  0
                                  А та часть, по которой npcap можно бесплатно поставить только на 5 машин, а дальше за деньги, как-то комментируется сообществом? С 6-ю машинами как жить с wireshark?
                                    0
                                    Интересно, когда исправят его поведение с падением вот в таком случае — есть дамп, гигов 60, и я хочу его посмотреть попакетно. Wireshark при этом отжирает всю память, сколько есть, а потом падает. Зачем весь файл дампа грузить в память я в упор не пойму. или может есть ему замена, с возможностью фильтрации пакетов с таким же синтаксисом?

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                  Самое читаемое