The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск сетевого анализатора Wireshark 3.6

24.11.2021 11:15

После года разработки состоялся релиз новой стабильной ветки сетевого анализатора Wireshark 3.6. Напомним, что изначально проект развивался под именем Ethereal, но в 2006 году из-за конфликта с владельцем торговой марки Ethereal, разработчики были вынуждены переименовать проект в Wireshark. Код проекта распространяется под лицензией GPLv2.

Ключевые новшества Wireshark 3.6.0:

  • Внесены изменения в синтаксис правил фильтрации трафика:
    • Добавлена поддержка синтаксиса "a ~= b" или "a any_ne b" для выбора любых значений кроме одного.
    • Добавлена поддержка синтаксиса "a not in b", аналогичного по действию "not a in b".
    • Разрешено указание строк по аналогии с raw-строками в Python, без необходимости экранирования спецсимволов.
    • Выражение "a != b" теперь всегда аналогично выражению "!(a == b)" при использовании со значениями, охватывающими несколько полей ("ip.addr != 1.1.1.1" теперь аналогично указанию "ip.src != 1.1.1.1 and ip.dst != 1.1.1.1").
    • Элементы set-списков теперь должны разделяться только запятыми, разделение пробелами запрещено (т.е. правило 'http.request.method in {"GET" "HEAD"}' должно быть заменено на 'http.request.method in {"GET", "HEAD"}'.
  • Для TCP трафика добавлен фильтр tcp.completeness, позволяющий разделять TCP-потоки на основе состояния активности соединения, т.е. можно выявлять TCP-потоки для которых были выполнен обмен пакетами для установки, передачи данных или завершения соединения.
  • Добавлена настройка "add_default_value", через которую можно указать значения по умолчанию полей Protobuf, не сериализированных или пропущенных при захвате трафика.
  • Добавлена поддержка чтения файлов с перехваченным трафиком в формате ETW (Event Tracing for Windows). Также добавлен модуль разбора (dissector) для пакетов DLT_ETW.
  • Добавлен режим "Follow DCCP stream", позволяющий фильтровать и извлекать содержимое из потоков DCCP.
  • Добавлена поддержка разбора пакетов RTP со звуковыми данными в формате OPUS.
  • Предоставлена возможность импорта перехваченных пакетов из текстовых дампов в формат libpcap с заданием правил разбора на основе регулярных выражений.
  • Существенно переработан проигрыватель RTP-потоков (Telephony > RTP > RTP Player), который может применяться для воспроизведения VoIP-вызовов. Добавлена поддержка списков воспроизведения, повышена отзывчивость интерфейса, предоставлена возможность приглушения звука и смены каналов, добавлена опция для сохранения воспроизводимых звуков в форме многоканальных файлов .au или .wav.
  • Переделаны диалоги, сязанные с VoIP (VoIP Calls, RTP Streams, RTP Analysis, RTP Player и SIP Flows), которые теперь не являются модальными и могут быть открыты в фоне.
  • В диалог "Follow Stream" добавлена возможность отслеживания SIP-вызовов на основе значения Call-ID. Повышена детализация вывода в формате YAML.
  • Реализована возможность пересборки фрагментов IP-пакетов, имеющих разные VLAN ID.
  • Добавлен обработчик для пересборки пакетов USB (USB Link Layer), перехваченных с использованием аппаратных анализаторов.
  • В TShark добавлена опция "--export-tls-session-keys" для экспорта сеансовых ключей TLS.
  • В анализаторе RTP-потоков изменён диалог экспорта в формате CSV
  • Началось формирование пакетов для систем на базе macOS, укомплектованных ARM-чипом Apple M1. В пакетах для устройств Apple с чипами Intel повышены требования к версии macOS (10.13+). Добавлены переносимые 64-разрядные пакеты для Windows (PortableApps). Добавлена начальная поддержка сборки Wireshark для Windows, используя GCC и MinGW-w64.
  • Добавлена поддержка декодирования и захвата данных в формате BLF ( Informatik Binary Log File).
  • Добавлена поддержка протоколов:
    • Bluetooth Link Manager Protocol (BT LMP),
    • Bundle Protocol version 7 (BPv7),
    • Bundle Protocol version 7 Security (BPSec),
    • CBOR Object Signing and Encryption (COSE),
    • E2 Application Protocol (E2AP),
    • Event Tracing for Windows (ETW),
    • EXtreme extra Eth Header (EXEH),
    • High-Performance Connectivity Tracer (HiPerConTracer),
    • ISO 10681,
    • Kerberos SPAKE,
    • Linux psample protocol,
    • Local Interconnect Network (LIN),
    • Microsoft Task Scheduler Service,
    • O-RAN E2AP,
    • O-RAN fronthaul UC-plane (O-RAN),
    • Opus Interactive Audio Codec (OPUS),
    • PDU Transport Protocol, R09.x (R09),
    • RDP Dynamic Channel Protocol (DRDYNVC),
    • RDP Graphic pipeline channel Protocol (EGFX),
    • RDP Multi-transport (RDPMT),
    • Real-Time Publish-Subscribe Virtual Transport (RTPS-VT),
    • Real-Time Publish-Subscribe Wire Protocol (processed) (RTPS-PROC),
    • Shared Memory Communications (SMC),
    • Signal PDU, SparkplugB,
    • State Synchronization Protocol (SSyncP),
    • Tagged Image File Format (TIFF),
    • TP-Link Smart Home Protocol,
    • UAVCAN DSDL,
    • UAVCAN/CAN,
    • UDP Remote Desktop Protocol (RDPUDP),
    • Van Jacobson PPP compression (VJC),
    • World of Warcraft World (WOWW),
    • X2 xIRI payload (xIRI).


  1. Главная ссылка к новости (https://www.wireshark.org/news...)
  2. OpenNews: Выпуск сетевого анализатора Wireshark 3.4
  3. OpenNews: Представлен Termshark 1.0 консольный интерфейс к tshark, похожий на Wireshark
  4. OpenNews: Выпуск сетевого анализатора Wireshark 2.0, перешедшего на Qt
  5. OpenNews: Лицензия сканера безопасности NMAP признана несовместимой с Fedora
  6. OpenNews: Выпуск сканера сетевой безопасности Nmap 7.92
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/56221-wireshark
Ключевые слова: wireshark
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (61) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:26, 24/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    Wireshark крутой! Так держать, ребята!

    Забавно, что wow протокол добавили

     
     
  • 2.2, E71 (?), 11:30, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Забавно, что wow протокол добавили

    Поржал про себя, что мол протокол по ВоВу, а потом глянул — это действительно протокол по WoW o_O

     
     
  • 3.37, lockywolf (ok), 08:33, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ещё будет время, когда общаться будем через маскировку трафика под WoW.

    Хотя раньше все эти игрушки через IRC работали

     
     
  • 4.44, Аноним (-), 15:04, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    XMPP over Аллоды Онлайн
     
  • 2.13, Аноним (-), 17:38, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +15 +/
    > Wireshark крутой! Так держать, ребята!

    Поддерживаю! Проверяю безопасность соседских вайфаев более 8 лет! Полет нормальный. :)

     
     
  • 3.38, 1 (??), 09:01, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Безопасность стала шелковистой ?
     

  • 1.3, Аноним (3), 11:40, 24/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Неплохие фичи завезли в обнове, однако. Особо довольны будут Network Engineers, InfoSec, ну и хакеры, конечно.
     
     
  • 2.4, Аноним (-), 11:47, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Русские хакеры ? брррр.
     

  • 1.5, Аноним (5), 12:47, 24/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Отличная штука, но fiddler вроде полезнее был. Или я не осилил в сабже, не помню.
     
     
  • 2.21, Аноним (-), 21:48, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    как можно сравнивать детскую линзу с электронным микроскопом?
     
     
  • 3.23, Аноним (5), 22:09, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Легко, ведь это единственная практически востребованная функциональность -- смотреть на шифрованные пакеты толку то?
     
     
  • 4.31, Аноним (-), 23:06, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    если только следить за nodejs, но ethernet не ограничен только этим убожеством. есть 5G, есть интернет вещей, есть интернет автороботов
     
  • 4.32, Аноним (3), 23:08, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    "кому и кобыла невеста" (c) Fiddler Classic  - proprietary, Windows-only, пока еще бесплатно, очень огранич.функционал, остальное платное. Wireshark - мультиплатформа, всегда бесплатно, GNU лицкха опенсорс, куча возможностей. Мониторить только HTTP траффик только под  Windows - ну такое себе.  
     
     
  • 5.42, Аноним (42), 13:29, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    есть вполне неплохая альтернатива - mitmproxy, тот же fiddler только в cli
     

  • 1.6, Аноним (6), 13:20, 24/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Appimage когда уже?
     
     
  • 2.7, Аноним (7), 14:27, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    когда ты сделаешь. остальным хватает нативного бинаря
     
  • 2.8, iPony129412 (?), 14:42, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Примерно никогда. Это по определению не портабельный софт требующий глубоко взаимодействия с ОС.
     
     
  • 3.20, Аноним (20), 20:48, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну deb там
     
     
  • 4.22, Michael Shigorin (ok), 21:56, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Спрашивайте в городах своего дистрибутива, как обычно.
     
     
  • 5.34, iCat (ok), 07:16, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Дык уже...
    - - -
    # eix -s wireshark
    * net-analyzer/wireshark
         Доступные версии:      3.4.7-r1(0/3.4.7)^t 3.4.8(0/3.4.8)^t 3.4.9(0/3.4.9)^t ~3.4.10(0/3.4.10)^t **3.6.0-r1(0/3.6.0)^t **9999(0/9999)*l^t {androiddump bcg729 brotli +capinfos +captype ciscodump +dftest doc dpauxmon +dumpcap +editcap +filecaps http2 ilbc kerberos libxml2 lto lua lz4 maxminddb +mergecap +minizip +netlink opus +pcap plugin-ifdemo +plugins +qt5 +randpkt +randpktdump +reordercap sbc sdjournal selinux +sharkd smi snappy spandsp sshdump ssl test +text2pcap tfshark +tshark +udpdump zlib +zstd LUA_SINGLE_TARGET="+lua5-1"}
     
  • 3.51, Аноним (51), 16:40, 26/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Это по определению не портабельный софт требующий глубоко взаимодействия с ОС.

    Ну это верно в отношении Винды, а среди дистров Линукса вполне себе портабельный. Т.к. ядро Linux, взаимодействие с сетевым стеком в дистрах одинаково.

     
     
  • 4.54, iPony129412 (?), 17:23, 26/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ну это не портальный калькулятор, чтобы просто так запуститься

    https://askubuntu.com/questions/74059/how-do-i-run-wireshark-with-root-privile

     
  • 4.55, iPony129412 (?), 17:28, 26/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот тут собственно кто-то долбился

    https://discourse.appimage.org/t/root-privileges/2227

     
  • 4.56, iPony129412 (?), 17:28, 26/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот тут собственно кто-то долбился

    https://discourse.appimage.org/t/root-privileges/2227

     

  • 1.9, Анониминг (?), 14:51, 24/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Сабж очень приятный и понятный по интерфейсу, но помню была проблема, что не умел показывать https и пришлось городить прокси, чтобы посмотреть что же там улетает. Fiddler умеет https из коробки. Надеюсь, что Wireshark тоже давно научился или просто я скриворучил.
     
     
  • 2.11, фывфывфыв (?), 16:14, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    TLS 1.3 дешифровать проблема, потому-что там есть сессионные ключи какие-то.
     

  • 1.10, Аноним12345 (?), 15:13, 24/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Пардон, он работает как файпвол ?
     
     
  • 2.27, Аноним (27), 22:44, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, это не фаерволл. Это анализатор сетевых пакетов.
     

  • 1.12, Аноним (12), 16:51, 24/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отличнейший софт. Постоянно в работе. Много полезного. Ещё бы безопастники меньше ныли в компании. Боятся его как непонятно чего. Но это только говорит о низком их уровне.

    Удачи проекту.

     
     
  • 2.14, Аноним (3), 17:40, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ??? Ну ладно бы они ныли, что не-InfoSec сотрудники Metasploit запускают, или жаловались на срабатывание IDS на "подозр.активность". Но безопасник, боящийся Wireshark - это как плотник боящийся измер.рулетки.
     
     
  • 3.16, Анонимиус (??), 18:09, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Видимо господа не умеют в Port Isolation + ACL на upstream в сети : /
    P.S. Главное чтобы nmap на компьютере не обнаружили, а то сразу в хакерЫ запишут!!111
     
     
  • 4.26, Аноним (3), 22:22, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты хотел сказать, хотя бы убрать иконку гуя zenmap с раб.стола? ;) Потому как на запуск самого nmap надо сканить нон-стоп порты всех компов в локалке чем-то специфическим типа PortSentry/Scanlogd, ну или мучительно ковыряться в логах, на что эти "профи" вряд ли способны. Да и вой поднимется в офисе, если сканить порты постоянно будут свои же, а сисадмин, ужаленный боссом за падение network throughput, матюками покроет таких.
     

  • 1.15, Admino (ok), 17:41, 24/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Классная штука, удачи проекту!
     
  • 1.17, Аноним (17), 18:35, 24/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Как запросы браузера смотреть, когда https?
     
     
  • 2.29, Аноним (3), 22:58, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https как раз и придуман, чтобы нельзя было траффик сниффить, LOL. MitM  же, ну кто тебе приватный ключ даст и доверится левому сертификату? Разве что трафик пустить через прозрачный прокси с ssl-bump. Это я про раб.локалку с сисадмином, а на своем локалхосте твори что хочешь.
     
  • 2.40, PnD (??), 12:51, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    *Собственный* https — вот инструкция на русском https://habr.com/ru/company/billing/blog/261301/
    WireShark в первую очередь — инструмент отладки. И умеет на данный момент примерно всё о чём я хоть что-то знаю, и ещё кучу (загляните в поддерживаемые протоколы).
    Если вы способны формализовать вопрос к сетевому трафику, WireShark скорее всего это умеет.

    Чужой https (нету ключей) — ну увы, разбираться с MITM. Но разбираться по-любому надо, иначе просто не поймёте что там wireshark понаписал.

     

  • 1.18, Аноним (18), 19:31, 24/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Найс!
     
  • 1.19, Аноним (19), 20:30, 24/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отлично справляется со своим предназначением. Проверял передаёт ли dns запросы в пакетах в открытом виде, при работе cloudflare warp.
     
     
  • 2.45, Аноним (-), 15:05, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И как, передаёт?
     
     
  • 3.52, Аноним (51), 16:42, 26/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Передаёт в зашифрованном, но передаёт кому надо ;)
     

  • 1.24, Смузихлёб (?), 22:21, 24/11/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +/
     
     
  • 2.28, Аноним (27), 22:46, 24/11/2021 Скрыто модератором
  • –1 +/
     
  • 2.30, Аноним (3), 22:59, 24/11/2021 Скрыто модератором
  • –2 +/
     

     ....ответы скрыты модератором (2)

  • 1.33, Аноним (-), 02:56, 25/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    стартовая страница оф сайта прикольная. ей можно быстродействие пикселей лцд мониторов тестировать.
     
  • 1.35, Аноним (-), 08:05, 25/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Эх. В Windows скачай и установи, а в Linux найди и установи дестрибутив в котором дадут установить. В Минт, 3.2 версия даже не 3.4.
     
     
  • 2.36, Аноним (-), 08:09, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я бы не гнался за версией выше еслибы изменения были несущественые - косметические.
     
  • 2.43, Аноним (-), 13:52, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    In Fedora Wireshark Version 3.4.9 (Git commit 365e236f5efe).
     
     
  • 3.48, Аноним (-), 07:13, 26/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А в 3.6 вон сколько протоколов добавили. Смотря для сего Wir нужен.
     
  • 2.46, Аноним (46), 23:05, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А в чём проблема в билде две цифорки 3.4 поменять на 3.6 и перекомпилить? Зачем что-то искать?
     
     
  • 3.47, Аноним (-), 07:11, 26/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В этом и проблема компилировать не умею. Нужна подробная информация как это делается и то не факт, что получится. Я не ищу сложных путей если это мне не надо настолько, чтобы компелировать. Wireyark я поверхностностно знаю, не настолько он мне нужен чтобы я его изучал.
     
     
  • 4.49, Аноним (-), 07:33, 26/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Wireshark
     
  • 4.57, Аноним (57), 19:36, 26/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > В этом и проблема компилировать не умею.

    https://www.google.com/search?q=debian+rebuild+package

    Там нет ничего сложного, поменять две цифры, распаковать поверх архив, собрать и установить новый пакет, это всё делается несколькими командами. В debian это всё автоматизировано 20 лет назад.

     
     
  • 5.58, Аноним (-), 08:31, 27/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Посмотрю. У меня разновидность Убунты. Сложно это когда делаешь по инструкции, а по инструкции не собирается и получаются ошибки и потом разбирайся дальше, что это.
     
     
  • 6.61, Аноним (-), 08:50, 27/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Уже у меня сомнения, что инструкция от Дебиан подойдёт к Убунтам. 50% на 50% мой прогноз. Но надо смотреть.
     
  • 2.53, Аноним (51), 16:47, 26/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В Windows скачай с варезника и установи со зловредом.
     
     
  • 3.62, Аноним (-), 09:59, 27/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Думайте, что пишете и не пишите ерунду.
     

  • 1.39, Аноним (39), 09:29, 25/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    15 лет прошло уже как переименовали и все равно продолжают об этом напоминать. Пора уже сменить "болванку" новости ))
     
     
  • 2.41, Аноним (-), 13:02, 25/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Может кто-то еще не успел обновиться,
     

  • 1.50, Аноним (-), 11:04, 26/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Элементы set-списков теперь должны разделяться только запятыми, разделение пробелами запрещено (т.е. правило 'http.request.method in {"GET" "HEAD"}' должно быть заменено на 'http.request.method in {"GET", "HEAD"}'.

    Надо отправить серной мази в проект. Уж не знают как со списками заморочится. То сделали только пробел, один пробел, теперь только запятая. Потом что надо описывать каждый элемент списка со своим индексом.
    Ну вот работало ж нормально, надо поковырять. Руки у них что ли чешутся.
    Со статистикой не удобно работать. Если всю сразу в файл записывать - то потом её парсить надо. Благо что под Линухом есть супер фитчи sed и awk.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру