Geekly articles weekly

Wireshark 3.0.0: revisión de innovaciones

imagen

La Fundación Wireshark ha lanzado la última versión estable del popular analizador de tráfico de red: Wireshark 3.0.0. La nueva versión corrigió varios errores, implementó la capacidad de analizar nuevos protocolos y reemplazó el controlador WinPcap con Npcap.

Wireshark es el analizador de protocolos de red más popular del mundo. Se utiliza para la resolución de problemas, análisis, desarrollo y capacitación.


Características nuevas y actualizadas


  • Interfaz de usuario mejorada. Se ha eliminado la compatibilidad con varias funciones y bibliotecas obsoletas.
  • La función de la tarjeta IP (botón Mapa en el cuadro de diálogo Puntos finales) se volvió a agregar en forma modernizada (Error 14693).
  • El paquete macOS ahora se entrega con Qt 5.12.1. Anteriormente, venía con Qt 5.9.7.
  • El paquete macOS requiere la versión 10.12 o posterior macOS (High Sierra / Mojave). Si está utilizando una versión anterior de macOS, use Wireshark 2.6.
  • Wireshark ahora admite sueco y ucraniano (admite ruso desde la versión 2.9).
  • Se agregó soporte para usar tokens PKCS # 11 para descifrar RSA en TLS.
  • Los instaladores de Windows ahora vienen con Qt 5.12.1. Anteriormente, venían con Qt 5.12.0.
  • Los instaladores .exe de Windows ahora vienen con Npcap en lugar de WinPcap. Además del soporte activo (proyecto nmap), Npcap admite la captura de bucle invertido y la captura del modo de monitoreo Wi-Fi 802.11 (si es compatible con el controlador NIC).
  • Las marcas de tiempo de conversación son compatibles con los protocolos UDP / UDP-Lite.
  • TShark ahora admite la opción -G elastic-mapping, que genera un archivo de asignación ElasticSearch.
  • Se ha vuelto a agregar el cuadro de diálogo "Información de captura" (error 12004).
  • Los disectores Ethernet e IEEE 802.11 ya no verifican la secuencia de verificación de trama predeterminada (suma de verificación).
  • El disector de TCP tiene una nueva preferencia para "Reensamblar segmentos no ordenados" para solucionar problemas de manipulación y descifrado si los segmentos de TCP no se reciben en orden.
  • Soporte de descifrado para el nuevo disector WireGuard (error 15011, se requiere Libgcrypt 1.8).
  • El disector BOOTP ha cambiado de nombre a DHCP. Excepto por "bootp.dhcp", los campos de filtro de visualización antiguos "bootp. * »Todavía son compatibles, pero pueden eliminarse en una versión futura.
  • El disector SSL ha sido renombrado TLS. Al igual que con BOOTP, los campos de filtro de visualización antiguos son "ssl. * ”Son compatibles, pero pueden eliminarse en una versión futura.
  • APT-X ha sido renombrado como aptX.
  • Al importar desde un volcado hexadecimal, ahora puede agregar el encabezado ExportPDU con el nombre de la carga útil. Esto invoca un disector particular directamente sin ningún protocolo descendente.
  • Las interfaces extshap sshdump y ciscodump ahora pueden usar proxies para conexiones SSH.
  • Dumpcap ahora admite los paquetes -a: NUM y -b paquetes: NUM opciones.

Nuevo protocolo de soporte


Además de actualizar la gran cantidad de protocolos que ya existen en Wireshark, los desarrolladores han agregado soporte para lo siguiente:

Enlace directo inalámbrico de Apple (AWDL), Protocolo de transporte básico (BTP), BLIP Couchbase Mobile (BLIP), CDMA 2000, Servicio de emulación de circuito a través de Ethernet (CESoETH), Protocolo de descubrimiento de Cisco Meraki (MDP), Ruby distribuido (DRb), DXL, E1AP (5G), EVS (3GPP TS 26.445 A.2 EVS RTP), Remolques Exablaze, Protocolo de aplicación de notificación de servicios de circuito general (GCSNA), GeoNetworking (GeoNw), formato de datos GLOW Lawo Emberplus, especificación complementaria de Gran Bretaña (GBCS) utilizada en las especificaciones técnicas del equipo de medición inteligente (SMETS), GSM-R (uso de elementos de información de usuario a usuario), HI3CC LinkData, nivel de aplicación de sistemas de transporte inteligente (ITS), comunicación de diagnóstico ISO 13400-2 sobre protocolo de Internet (DoIP), ITU- t X.696 Reglas de codificación de octeto (OER), Protocolo de consulta de base de datos de portabilidad de número local (ANSI), MsgPack, NGAP (5G), NR (5G) PDCP, Protocolo de actualización de suscriptor genérico de Osmocom (GSUP), protocolo PCOM, PKCS # 10 ( RFC2986 Sintaxis de solicitud de certificación), PROXY (v2), S101 Lawo Emberplus transp marco ort, protocolo de transporte seguro y confiable (SRT), decodificación de firma del centro de pruebas Spirent para Ethernet y FiberChannel (STCSIG, deshabilitado de forma predeterminada), porciones específicas de Sybase de TDS, systemd Journal Export, TeamSpeak 3 DNS, TPM 2.0, Ubiquiti Discovery Protocol ( UBDP), WireGuard, XnAP (5G) y Z39.50 Protocolo de recuperación de información.

WinPcap → Npcap


La innovación más relevante es el reemplazo de WinPcap con Npcap. Aunque la biblioteca Npcap se basa en WinPcap / Libpcap, está más optimizada, tiene mejor velocidad, portabilidad y seguridad. Otro factor importante es el soporte para Npcap por parte de los desarrolladores del Proyecto Nmap, a diferencia de WinPcap, que no se ha actualizado desde 2013.

Source: https://habr.com/ru/post/442530/

More articles:


All Articles