Geekly articles weekly

Wireshark 3.0.0: revisão de inovações

imagem

A Wireshark Foundation lançou a versão estável final do popular analisador de tráfego de rede - Wireshark 3.0.0. A nova versão corrigiu vários erros, implementou a capacidade de analisar novos protocolos e substituiu o driver WinPcap pelo Npcap.

O Wireshark é o analisador de protocolo de rede mais popular do mundo. É usado para solução de problemas, análise, desenvolvimento e treinamento.


Recursos novos e atualizados


  • Interface de usuário aprimorada. O suporte para vários recursos e bibliotecas obsoletos foi removido.
  • A função do cartão IP (botão Mapa na caixa de diálogo Pontos de extremidade) foi adicionada novamente em um formulário modernizado (Erro 14693).
  • O pacote macOS agora vem com o Qt 5.12.1. Anteriormente, ele vinha com o Qt 5.9.7.
  • O pacote macOS requer o macOS versão 10.12 ou posterior (High Sierra / Mojave). Se você estiver usando uma versão mais antiga do macOS, use o Wireshark 2.6.
  • O Wireshark agora suporta sueco e ucraniano (suporta russo da versão 2.9).
  • Adicionado suporte para o uso de tokens PKCS # 11 para descriptografar o RSA no TLS.
  • Os instaladores do Windows agora são fornecidos com o Qt 5.12.1. Anteriormente, eles vieram com o Qt 5.12.0.
  • Os instaladores do Windows .exe agora são fornecidos com o Npcap em vez do WinPcap. Além do suporte ativo (pelo projeto nmap), o Npcap suporta a captura de loopback e a captura do modo de monitoramento Wi-Fi 802.11 (se suportado pelo driver da NIC).
  • As marcas de tempo de conversação são suportadas para os protocolos UDP / UDP-Lite.
  • O TShark agora suporta a opção -G elastic-mapping, que gera um arquivo de mapeamento ElasticSearch.
  • A caixa de diálogo "Capturar informações" foi adicionada novamente (erro 12004).
  • Os dissectores Ethernet e IEEE 802.11 não verificam mais a sequência de verificação de quadros padrão (soma de verificação).
  • O dissecador TCP tem uma nova preferência por “Remontagem de segmentos não ordenados” para corrigir problemas de violação e descriptografia se os segmentos TCP não forem recebidos em ordem.
  • Suporte de descriptografia para o novo dissector WireGuard (bug 15011, Libgcrypt 1.8 necessário).
  • O dissector BOOTP foi renomeado para DHCP. Exceto por “bootp.dhcp”, os campos de filtro de exibição antigos “bootp. * »Ainda são suportados, mas podem ser removidos em uma versão futura.
  • O dissector SSL foi renomeado para TLS. Como no BOOTP, os campos de filtro de exibição antigos são “ssl. * ”São suportados, mas podem ser removidos em uma versão futura.
  • O APT-X foi renomeado para aptX.
  • Ao importar de um dump hexadecimal, agora você pode adicionar o cabeçalho ExportPDU com o nome da carga útil. Isso invoca um dissector específico diretamente, sem protocolos a jusante.
  • As interfaces extshap sshdump e ciscodump agora podem usar proxies para conexões SSH.
  • O Dumpcap agora suporta as opções -a packets: NUM e -b packets: NUM.

Suporte para novo protocolo


Além de atualizar o grande número de protocolos que já existem no Wireshark, os desenvolvedores adicionaram suporte ao seguinte:

Link direto sem fio da Apple (AWDL), Protocolo básico de transporte (BTP), BLIP Couchbase Mobile (BLIP), CDMA 2000, Serviço de emulação de circuito pela Ethernet (CESoETH), Cisco Meraki Discovery Protocol (MDP), MDP (Cisco Meraki Discovery Protocol), Distributed Ruby (DRb), DXL, E1AP (5G), EVS (3GPP TS 26.445 A.2 EVS RTP), reboques Exablaze, Protocolo Geral de Aplicação de Notificação de Serviços de Circuito (GCSNA), GeoNetworking (GeoNw), formato de dados GLOW Lawo Emberplus, Especificação de Companheiro da Grã-Bretanha (GBCS) usado em as especificações técnicas do equipamento de medição inteligente (SMETS), GSM-R (uso do elemento de informação usuário a usuário), HI3CC LinkData, nível de aplicativo ITS (Intelligent Transport Systems), comunicação de diagnóstico ISO 13400-2 por protocolo IP (DoIP), ITU- t Regras de codificação de octeto X.696 (OER), Protocolo de consulta de banco de dados de portabilidade de número local (ANSI), MsgPack, NGAP (5G), NR (5G) PDCP, GSCP (Osmocom Generic Subscriber Update Protocol), protocolo PCOM, PKCS # 10 ( Sintaxe de solicitação de certificação RFC2986), PROXY (v2), S101 Lawo Emberplus transp frame, protocolo seguro de transporte confiável (SRT), decodificação da Spirent Test Center Signature para Ethernet e FiberChannel (STCSIG, desativado por padrão), partes específicas do Sybase do TDS, systemd Journal Export, TeamSpeak 3 DNS, TPM 2.0, Ubiquiti Discovery Protocol ( UBDP), WireGuard, XnAP (5G) e Z39.50 Information Retrieval Protocol.

WinPcap → Npcap


A inovação mais relevante é a substituição do WinPcap pelo Npcap. Embora a biblioteca Npcap seja baseada no WinPcap / Libpcap, ela é mais otimizada, possui melhor velocidade, portabilidade e segurança. Outro fator importante é o suporte ao Npcap pelos desenvolvedores do Nmap Project, diferentemente do WinPcap, que não é atualizado desde 2013.

Source: https://habr.com/ru/post/pt442530/

More articles:


All Articles