Geekly articles weekly

Wireshark 3.0.0: revue des innovations

image

La Wireshark Foundation a publié la dernière version stable de l'analyseur de trafic réseau populaire - Wireshark 3.0.0. La nouvelle version a corrigé plusieurs bogues, implémenté la possibilité d'analyser de nouveaux protocoles et remplacé le pilote WinPcap par Npcap.

Wireshark est l'analyseur de protocole réseau le plus populaire au monde. Il est utilisé pour le dépannage, l'analyse, le développement et la formation.


Fonctionnalités nouvelles et mises à jour


  • Interface utilisateur améliorée. La prise en charge d'un certain nombre de fonctionnalités et de bibliothèques obsolètes a été supprimée.
  • La fonction de carte IP (bouton Carte dans la boîte de dialogue Points de terminaison) a été ajoutée sous une forme modernisée (erreur 14693).
  • Le package macOS est désormais livré avec Qt 5.12.1. Auparavant, il était fourni avec Qt 5.9.7.
  • Le package macOS nécessite la version 10.12 ou une version ultérieure de macOS (High Sierra / Mojave). Si vous utilisez une ancienne version de macOS, utilisez Wireshark 2.6.
  • Wireshark prend désormais en charge le suédois et l'ukrainien (il prend en charge le russe à partir de la version 2.9).
  • Ajout de la prise en charge de l'utilisation des jetons PKCS # 11 pour déchiffrer RSA dans TLS.
  • Les programmes d'installation de Windows sont désormais livrés avec Qt 5.12.1. Auparavant, ils étaient livrés avec Qt 5.12.0.
  • Les programmes d'installation de Windows .exe sont désormais livrés avec Npcap au lieu de WinPcap. Outre la prise en charge active (par le projet nmap), Npcap prend en charge la capture en boucle et la capture du mode de surveillance Wi-Fi 802.11 (si pris en charge par le pilote NIC).
  • Les marques de temps de conversation sont prises en charge pour les protocoles UDP / UDP-Lite.
  • TShark prend désormais en charge l'option -G élastique-mapping, qui génère un fichier de mappage ElasticSearch.
  • La boîte de dialogue "Capture d'informations" a été ajoutée à nouveau (erreur 12004).
  • Les dissecteurs Ethernet et IEEE 802.11 ne vérifient plus la séquence de vérification de trame par défaut (somme de contrôle).
  • Le dissecteur TCP a une nouvelle préférence pour «Réassembler les segments non ordonnés» pour résoudre les problèmes de falsification et de déchiffrement si les segments TCP ne sont pas reçus dans l'ordre.
  • Prise en charge du déchiffrement pour le nouveau dissecteur WireGuard (bogue 15011, Libgcrypt 1.8 requis).
  • Le dissecteur BOOTP a été renommé DHCP. À l'exception de «bootp.dhcp», les anciens champs de filtre d'affichage «bootp. * »Sont toujours pris en charge, mais pourraient être supprimés dans une prochaine version.
  • Le dissecteur SSL a été renommé TLS. Comme pour BOOTP, les anciens champs du filtre d'affichage sont «ssl. * "Sont pris en charge, mais pourraient être supprimés dans une future version.
  • APT-X a été renommé aptX.
  • Lors de l'importation à partir d'un vidage hexadécimal, vous pouvez maintenant ajouter l'en-tête ExportPDU avec le nom de la charge utile. Cela appelle directement un dissecteur particulier sans aucun protocole en aval.
  • Les interfaces extshap sshdump et ciscodump peuvent désormais utiliser des proxys pour les connexions SSH.
  • Dumpcap prend désormais en charge les options -a paquets: NUM et -b paquets: NUM.

Prise en charge du nouveau protocole


En plus de mettre à jour le grand nombre de protocoles qui existent déjà dans Wireshark, les développeurs ont ajouté la prise en charge des éléments suivants:

Apple Wireless Direct Link (AWDL), Basic Transport Protocol (BTP), BLIP Couchbase Mobile (BLIP), CDMA 2000, Circuit Emulation Service over Ethernet (CESoETH), Cisco Meraki Discovery Protocol (MDP), Distributed Ruby (DRb), DXL, E1AP (5G), EVS (3GPP TS 26.445 A.2 EVS RTP), remorques Exablaze, General Circuit Services Notification Application Protocol (GCSNA), GeoNetworking (GeoNw), GLOW Lawo Emberplus Data format, Great Britain Companion Specification (GBCS) utilisé dans les spécifications techniques de l'équipement de comptage intelligent (SMETS), GSM-R (utilisation des éléments d'information utilisateur à utilisateur), HI3CC LinkData, niveau d'application des systèmes de transport intelligents (ITS), ISO 13400-2 Communication de diagnostic sur protocole Internet (DoIP), UIT- t X.696 Octet Encoding Rules (OER), Local Number Portability Database Query Protocol (ANSI), MsgPack, NGAP (5G), NR (5G) PDCP, Osmocom Generic Subscriber Update Protocol (GSUP), PCOM protocol, PKCS # 10 ( RFC2986 Certification Request Syntax), PROXY (v2), S101 Lawo Emberplus transp trame ort, SRT (Secure Reliable Transport Protocol), décodage de signature Spirent Test Center pour Ethernet et FibreChannel (STCSIG, désactivé par défaut), portions TDS spécifiques à Sybase, exportation de journaux systemd, DNS TeamSpeak 3, TPM 2.0, protocole de découverte Ubiquiti ( UBDP), WireGuard, XnAP (5G) et Z39.50 Information Retrieval Protocol.

WinPcap → Npcap


L'innovation la plus pertinente est le remplacement de WinPcap par Npcap. Bien que la bibliothèque Npcap soit basée sur WinPcap / Libpcap, elle est plus optimisée, a une meilleure vitesse, portabilité et sécurité. Un autre facteur important est le support de Npcap par les développeurs du projet Nmap, contrairement à WinPcap, qui n'a pas été mis à jour depuis 2013.

Source: https://habr.com/ru/post/fr442530/

More articles:


All Articles