Die Wireshark Foundation hat die endgültige stabile Version des beliebten Netzwerkverkehrsanalysators Wireshark 3.0.0 veröffentlicht. Die neue Version behebt mehrere Fehler, implementiert die Möglichkeit, neue Protokolle zu analysieren, und ersetzt den WinPcap-Treiber durch Npcap.
Wireshark ist der weltweit beliebteste Netzwerkprotokollanalysator. Es wird zur Fehlerbehebung, Analyse, Entwicklung und Schulung verwendet.
Neue und aktualisierte Funktionen
- Verbesserte Benutzeroberfläche. Die Unterstützung für eine Reihe veralteter Funktionen und Bibliotheken wurde entfernt.
- Die IP-Kartenfunktion (Schaltfläche "Karte" im Dialogfeld "Endpunkte") wurde in modernisierter Form wieder hinzugefügt (Fehler 14693).
- Das macOS-Paket wird jetzt mit Qt 5.12.1 ausgeliefert. Zuvor war Qt 5.9.7 enthalten.
- Das macOS-Paket erfordert Version 10.12 oder höher macOS (High Sierra / Mojave). Wenn Sie eine ältere Version von macOS verwenden, verwenden Sie Wireshark 2.6.
- Wireshark unterstützt jetzt Schwedisch und Ukrainisch (es unterstützt Russisch ab Version 2.9).
- Unterstützung für die Verwendung von PKCS # 11-Token zum Entschlüsseln von RSA in TLS hinzugefügt.
- Windows-Installationsprogramme werden jetzt mit Qt 5.12.1 ausgeliefert. Zuvor kamen sie mit Qt 5.12.0.
- Windows EXE-Installationsprogramme werden jetzt mit Npcap anstelle von WinPcap ausgeliefert. Neben der aktiven Unterstützung (nmap-Projekt) unterstützt Npcap die Loopback-Erfassung und Erfassung des 802.11-WLAN-Überwachungsmodus (sofern vom NIC-Treiber unterstützt).
- Gesprächszeitmarken werden für UDP / UDP-Lite-Protokolle unterstützt.
- TShark unterstützt jetzt die Option -G Elastic-Mapping, mit der eine ElasticSearch-Mapping-Datei generiert wird.
- Das Dialogfeld "Informationen erfassen" wurde wieder hinzugefügt (Fehler 12004).
- Die Ethernet- und IEEE 802.11-Dissektoren überprüfen nicht mehr die Standard-Frame-Check-Sequenz (Prüfsumme).
- Der TCP-Dissektor hat eine neue Präferenz für "Zusammensetzen ungeordneter Segmente", um Manipulations- und Entschlüsselungsprobleme zu beheben, wenn TCP-Segmente nicht in der richtigen Reihenfolge empfangen werden.
- Entschlüsselungsunterstützung für den neuen WireGuard-Dissektor (Fehler 15011, Libgcrypt 1.8 erforderlich).
- Der BOOTP-Dissektor wurde in DHCP umbenannt. Mit Ausnahme von "bootp.dhcp" werden in den alten Anzeigefilterfeldern "bootp" angezeigt. * »Werden weiterhin unterstützt, können jedoch in einer zukünftigen Version entfernt werden.
- Der SSL-Dissektor wurde in TLS umbenannt. Wie bei BOOTP lauten die alten Anzeigefilterfelder „ssl. * ”Werden unterstützt, können aber in einer zukünftigen Version entfernt werden.
- APT-X wurde in aptX umbenannt.
- Beim Importieren aus einem Hex-Dump können Sie jetzt den ExportPDU-Header mit dem Namen der Nutzlast hinzufügen. Dies ruft einen bestimmten Dissektor direkt ohne nachgeschaltete Protokolle auf.
- Die extshap-Schnittstellen sshdump und ciscodump können jetzt Proxys für SSH-Verbindungen verwenden.
- Dumpcap unterstützt jetzt die Optionen -a Pakete: NUM und -b Pakete: NUM.
Neue Protokollunterstützung
Zusätzlich zur Aktualisierung der großen Anzahl von Protokollen, die bereits in Wireshark vorhanden sind, haben Entwickler Unterstützung für Folgendes hinzugefügt:
AWDL (Apple Wireless Direct Link), BTP (Basic Transport Protocol), BLIP Couchbase Mobile (BLIP), CDMA 2000, CESoETH (Circuit Emulation Service über Ethernet), MDP (Cisco Meraki Discovery Protocol), DRB (Distributed Ruby), DXL, E1AP (5G), EVS (3GPP TS 26.445 A.2 EVS RTP), Exablaze-Anhänger, GCSNA (General Circuit Services Notification Application Protocol), GeoNetworking (GeoNw), GLOW Lawo Emberplus-Datenformat, GBCS (Great Britain Companion Specification) die technischen Spezifikationen für intelligente Messgeräte (SMETS), GSM-R (Verwendung von Benutzer-zu-Benutzer-Informationselementen), HI3CC LinkData, Anwendungsebene für intelligente Verkehrssysteme (ITS), ISO 13400-2 Diagnosekommunikation über Internetprotokoll (DoIP), ITU- t X.696 Octet Encoding Rules (OER), ANSI (Local Number Portability Database Query Protocol), MsgPack, NGAP (5G), NR (5G) PDCP, GSUP (Osmocom Generic Subscriber Update Protocol), PCOM-Protokoll, PKCS # 10 ( RFC2986-Syntax für Zertifizierungsanforderungen), PROXY (v2), S101 Lawo Emberplus transp oder Frame, Secure Reliable Transport Protocol (SRT), Spirent Test Center-Signaturdecodierung für Ethernet und FibreChannel (STCSIG, standardmäßig deaktiviert), Sybase-spezifische Teile von TDS, Systemd Journal Export, TeamSpeak 3 DNS, TPM 2.0, Ubiquiti Discovery Protocol ( UBDP), WireGuard, XnAP (5G) und Z39.50 Information Retrieval Protocol.
WinPcap → Npcap
Die wichtigste Neuerung ist der Ersatz von WinPcap durch Npcap. Obwohl die Npcap-Bibliothek auf WinPcap / Libpcap basiert, ist sie optimierter, bietet eine bessere Geschwindigkeit, Portabilität und Sicherheit. Ein weiterer wichtiger Faktor ist die Unterstützung von Npcap durch die Entwickler des Nmap-Projekts im Gegensatz zu WinPcap, das seit 2013 nicht aktualisiert wurde.