• XSS.stack #1 – первый литературный журнал от юзеров форума

Wireshark

Отслеживать
INC.

INC.

REVERSE SIDE OF THE MEDAL
Эксперт
Регистрация
02.02.2008
Сообщения
3 950
Реакции
1 872
Состоялся релиз новой стабильной ветки сетевого анализатора Wireshark 3.0. Напомним, что изначально проект развивался под именем Ethereal, но в 2006 году из-за конфликта с владельцем торговой марки Ethereal, разработчики были вынуждены переименовать проект в Wireshark.

В Wireshark 3 удалена реализация старого интерфейса пользователя, основанного на библиотеке GTK+. В прошлой ветке Wireshark 2 интерфейс пользователя был переведён с GTK+ на Qt, но старый интерфейс оставался доступен в качестве опции. В новом интерфейсе прекращена поддержка Qt 4.x, для работы теперь требуется как минимум Qt 5.2.

Ключевые новшества Wireshark 3.0.0:

Начальная поддержка токенов PKCS #11 для расшифровки RSA в TLS (добавить ключи для расшифровки можно в секции настроек в меню "RSA Keys");

Обеспечена поддержка повторяемых сборок, позволяющих любому пользователю убедиться, что предлагаемые бинарные сборки сформированы на основе опубликованных исходных текстов;

Добавлена поддержка преобразования меток времени для протоколов UDP/UDP-Lite;

В анализатор TShark добавлена опция "-G" для генерации файла сопоставлений (mapping) для ElasticSearch;

Добавлен диалог с информацией о применяемой системе захвата трафика (Capture Information);

В модулях разбора (dissector) потоков Ethernet и IEEE 802.11 по умолчанию отключена верификация последовательности кадров (контрольных сумм);

В модуль разбора TCP добавлена настройка "Reassemble out-of-order segments", позволяющая решить проблемы с разбором и расшифровкой потоков при неупорядоченном поступлении сегментов;

Добавлен новый модуль WireGuard Dissector для расшифровки трафика VPN WireGuard;

Модуль разбора BOOTP переименован в DHCP, а модуль SSL в TLS;

Добавлена возможность переноса между профилями настроек правил подсветки, графиков ввода/вывода, фильтров и настроек протоколов;

При импорте шестнадцатеричных дампов предоставлена возможность указания заголовка ExportPDU для прямого вызова необходимого модуля разбора, без обращения к модулям нижележащих протоколов;

В extcap-интерфейсы sshdump и ciscodump добавлена поддержка использования прокси для SSH-соединений;

В dumpcap добавлены опции "-a packets:NUM" с определением условия прекращения захвата после записи в дамп NUM пакетов и "-b packets:NUM" с определением лимита по числу пакетов в одном файле;

Добавлен отдельный профиль "No Reassembly" для отключения нормализации трафика;

В систему сборки добавлена поддержка формирования самодостаточных установочных пакетов в формате AppImage;

Реализована возможность расшифровки DTLS и TLS из файлов pcapng, включающих блок DSB (Decryption Secrets Block) c захваченными ключами (TLS Key Log);

В утилиту editcap добавлена опция "--inject-secrets" для прикрепления файла с захваченными ключами (TLS Key Log) к файлу pcapng;

В dfilter добавлена функция string() для преобразования нестроковых полей в строки для последующего использования в функциях сопоставления;

Добавлены переводы интерфейса для русского и украинского языков;

Сборки для Windows теперь поставляются с Npcap вместо WinPcap. Версия для macOS теперь может работать только в выпусках 10.12+;

Добавлена поддержка декодирования формата Ruby Marshal, используемого для сериализации объектов;

Добавлена поддержка захвата данных, передаваемых через AUX-канал интерфейса DisplayPort;

Добавлена поддержка извлечения данных из форматов PEM (RFC 7468) и файлов экспорта systemd Journal;

Обеспечена поддержка новых протоколов:
Apple Wireless Direct Link (AWDL),
Basic Transport Protocol (BTP),
BLIP Couchbase Mobile (BLIP),
CDMA 2000,
Circuit Emulation Service over Ethernet (CESoETH),
Cisco Meraki Discovery Protocol (MDP),
Distributed Ruby (DRb),
DXL,
E1AP (5G),
EVS (3GPP TS 26.445 A.2 EVS RTP),
Exablaze trailers,
General Circuit Services Notification Application Protocol (GCSNA),
GeoNetworking (GeoNw),
GLOW Lawo Emberplus Data,
Great Britain Companion Specification (GBCS),
GSM-R (User-to-User Information Element usage),
HI3CCLinkData, Intelligent Transport Systems (ITS),
ISO 13400-2 Diagnostic communication over Internet Protocol (DoIP),
ITU-t X.696 Octet Encoding Rules (OER),
Local Number Portability Database Query Protocol (ANSI),
MsgPack,
NGAP (5G),
NR (5G)
PDCP,
Osmocom Generic Subscriber Update Protocol (GSUP),
PCOM,
PKCS#10 (RFC2986 Certification Request Syntax),
PROXY (v2),
S101 Lawo Emberplus,
Secure Reliable Transport Protocol (SRT),
Spirent Test Center Signature (STCSIG),
TeamSpeak 3 DNS,
TPM 2.0,
Ubiquiti Discovery Protocol (UBDP),
WireGuard,
XnAP (5G).

• Source: https://www.wireshark.org/news/20190228.html
 
Sn@p сказал(а):
может ли провайдер расшифровать трафик wireguard с помощью WireGuard Dissector ?

конечно могут. сидят парни у прова и только и делают что весь траффик что через их сетки проходит дешифруют. а вообще им для этого вайршарк не нужен, у них свои темы есть
 
Кстати,а кто нить пользовался Wireshark в терминальном режиме.Интересно удобно?))
3289

github.com

termshark/README.md at master · gcla/termshark

A terminal UI for tshark, inspired by Wireshark. Contribute to gcla/termshark development by creating an account on GitHub.
github.com
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Состоялся релиз новой стабильной ветки сетевого анализатора Wireshark 3.4. Напомним, что изначально проект развивался под именем Ethereal, но в 2006 году из-за конфликта с владельцем торговой марки Ethereal, разработчики были вынуждены переименовать проект в Wireshark.

Ключевые новшества Wireshark 3.4.0:

• Появилась возможность записи в файлы ".au" RTP-потоков с любыми кодеками, использующими частоту дискретизации 8000 Hz.

• Включён асинхронный режим резолвинга DNS, реализованный при помощи библиотеки c-ares, которая включена в обязательные зависимости.

• Добавлена возможность разбора полей Protobuf в виде заголовочных полей Wireshark, что даёт возможность пользователю вводить полные имена полей или сообщений Protobuf в панели Filter для поиска. Модули разбора (dissector) Protobuf теперь могут регистрироваться в новой таблице 'protobuf_field', включающей полные имена полей.

• Реализована возможность декодирования, воспроизведения и записи данных, закодированных при помощи кодека iLBC (internet Low Bitrate Codec).

• Добавлена кнопка для копирования элементов "Decode As" из других профилей.

• Утилита sshdump, применяемая для захвата трафика на другом хосте с передачей данных по SSH, теперь может запускаться в нескольких экземплярах, каждый из которых имеет свой интерфейс и свой профиль.

• В основное окно добавлено представление для просмотра статистики о пакетах в форме диаграммы.

• Предоставлена возможность группировки кнопок фильтра (Preferences → Filter Buttons), используя "//" в качестве разделителя путей в метке кнопки.

• Добавлена поддержка разбора и отображения пакетов "IPP Over USB".

• Добавлена поддержка протоколов:
HTTP/3,
Arinc 615A (A615A),
Asphodel Protocol,
AudioCodes Debug Recording (ACDR),
Bluetooth HCI ISO (BT HCI ISO),
Cisco MisCabling Protocol (MCP),
Community ID Flow Hashing (CommunityID),
DCE/RPC IRemoteWinspool SubSystem,
Dynamic Link Exchange Protocol (DLEP),
EAP Generalized Pre-Shared Key (EAP-GPSK),
EAP Password Authenticated Exchange (EAP-PAX),
EAP Pre-Shared Key (EAP-PSK),
EAP Shared-secret Authentication and Key Establishment (EAP-SAKE),
Fortinet Single Sign-on (FSSO),
FTDI Multi-Protocol Synchronous Serial Engine (FTDI MPSSE),
ILDA Digital Network (IDN),
Java Debug Wire Protocol (JDWP),
LBM Stateful Resolution Service (LBMSRS),
Lithionics Battery Management,
OBSAI UDP-based Communication Protocol (UDPCP),
Palo Alto Heartbeat Backup (PA-HB-Bak),
ScyllaDB RPC,
Technically Enhanced Capture Module Protocol (TECMP),
Tunnel Extensible Authentication Protocol (TEAP),
UDP based FTP w/ multicast V5 (UFTP5),
USB Printer (USBPRINTER).

• Source: https://www.wireshark.org/news/20201029.html

• Source: https://www.wireshark.org/docs/relnotes/wireshark-3.4.0.html
 
После года разработки состоялся релиз новой стабильной ветки сетевого анализатора Wireshark 3.6.

Ключевые новшества Wireshark 3.6.0:

* Внесены изменения в синтаксис правил фильтрации трафика:

Добавлена поддержка синтаксиса "a ~= b" или "a any_ne b" для выбора любых значений кроме одного.
Добавлена поддержка синтаксиса "a not in b", аналогичного по действию "not a in b".
Разрешено указание строк по аналогии с raw-строками в Python, без необходимости экранирования спецсимволов.
Выражение "a != b" теперь всегда аналогично выражению "!(a == b)" при использовании со значениями, охватывающими несколько полей ("ip.addr != 1.1.1.1" теперь аналогично указанию "ip.src != 1.1.1.1 and ip.dst != 1.1.1.1").
Элементы set-списков теперь должны разделяться только запятыми, разделение пробелами запрещено (т.е. правило 'http.request.method in {"GET" "HEAD"}' должно быть заменено на 'http.request.method in {"GET", "HEAD"}'.

* Для TCP трафика добавлен фильтр tcp.completeness, позволяющий разделять TCP-потоки на основе состояния активности соединения, т.е. можно выявлять TCP-потоки для которых были выполнен обмен пакетами для установки, передачи данных или завершения соединения.

* Добавлена настройка "add_default_value", через которую можно указать значения по умолчанию полей Protobuf, не сериализированных или пропущенных при захвате трафика.

* Добавлена поддержка чтения файлов с перехваченным трафиком в формате ETW (Event Tracing for Windows). Также добавлен модуль разбора (dissector) для пакетов DLT_ETW.

* Добавлен режим "Follow DCCP stream", позволяющий фильтровать и извлекать содержимое из потоков DCCP.

* Добавлена поддержка разбора пакетов RTP со звуковыми данными в формате OPUS.

* Предоставлена возможность импорта перехваченных пакетов из текстовых дампов в формат libpcap с заданием правил разбора на основе регулярных выражений.

* Существенно переработан проигрыватель RTP-потоков (Telephony > RTP > RTP Player), который может применяться для воспроизведения VoIP-вызовов. Добавлена поддержка списков воспроизведения, повышена отзывчивость интерфейса, предоставлена возможность приглушения звука и смены каналов, добавлена опция для сохранения воспроизводимых звуков в форме многоканальных файлов .au или .wav.

* Переделаны диалоги, сязанные с VoIP (VoIP Calls, RTP Streams, RTP Analysis, RTP Player и SIP Flows), которые теперь не являются модальными и могут быть открыты в фоне.

* В диалог "Follow Stream" добавлена возможность отслеживания SIP-вызовов на основе значения Call-ID. Повышена детализация вывода в формате YAML.

* Реализована возможность пересборки фрагментов IP-пакетов, имеющих разные VLAN ID.

* Добавлен обработчик для пересборки пакетов USB (USB Link Layer), перехваченных с использованием аппаратных анализаторов.

* В TShark добавлена опция "--export-tls-session-keys" для экспорта сеансовых ключей TLS.

* В анализаторе RTP-потоков изменён диалог экспорта в формате CSV.

* Началось формирование пакетов для систем на базе macOS, укомплектованных ARM-чипом Apple M1. В пакетах для устройств Apple с чипами Intel повышены требования к версии macOS (10.13+). Добавлены переносимые 64-разрядные пакеты для Windows (PortableApps). Добавлена начальная поддержка сборки Wireshark для Windows, используя GCC и MinGW-w64.

* Добавлена поддержка декодирования и захвата данных в формате BLF ( Informatik Binary Log File).

* Добавлена поддержка протоколов:

Bluetooth Link Manager Protocol (BT LMP),
Bundle Protocol version 7 (BPv7),
Bundle Protocol version 7 Security (BPSec),
CBOR Object Signing and Encryption (COSE),
E2 Application Protocol (E2AP),
Event Tracing for Windows (ETW),
EXtreme extra Eth Header (EXEH),
High-Performance Connectivity Tracer (HiPerConTracer),
ISO 10681,
Kerberos SPAKE,
Linux psample protocol,
Local Interconnect Network (LIN),
Microsoft Task Scheduler Service,
O-RAN E2AP,
O-RAN fronthaul UC-plane (O-RAN),
Opus Interactive Audio Codec (OPUS),
PDU Transport Protocol, R09.x (R09),
RDP Dynamic Channel Protocol (DRDYNVC),
RDP Graphic pipeline channel Protocol (EGFX),
RDP Multi-transport (RDPMT),
Real-Time Publish-Subscribe Virtual Transport (RTPS-VT),
Real-Time Publish-Subscribe Wire Protocol (processed) (RTPS-PROC),
Shared Memory Communications (SMC),
Signal PDU, SparkplugB,
State Synchronization Protocol (SSyncP),
Tagged Image File Format (TIFF),
TP-Link Smart Home Protocol,
UAVCAN DSDL,
UAVCAN/CAN,
UDP Remote Desktop Protocol (RDPUDP),
Van Jacobson PPP compression (VJC),
World of Warcraft World (WOWW),
X2 xIRI payload (xIRI).

• Source: https://www.wireshark.org/news/20211122.html
 
Опубликован релиз новой стабильной ветки сетевого анализатора Wireshark 4.2. Напомним, что изначально проект развивался под именем Ethereal, но в 2006 году из-за конфликта с владельцем торговой марки Ethereal, разработчики были вынуждены переименовать проект в Wireshark. Wireshark 4.2 стал первым выпуском, сформированным под эгидой некоммерческой организации Wireshark Foundation, которая теперь будет курировать развитие проекта. Код проекта распространяется под лицензией GPLv2.

Ключевые новшества Wireshark 4.2.0:

• Улучшены возможности, связанные с сортировкой сетевых пакетов. Например, для ускорения вывода теперь сортируются только пакеты, видимые после применения фильтра. Пользователю предоставлена возможность прервать процесс сортировки.

• В выпадающих списках применена по умолчанию сортировка по времени использования, а не создания записей.

• В Wireshark и TShark налажена генерация корректного вывода в кодировке UTF-8. Применение оператора slice к строкам UTF-8 теперь приводит к формированию строки UTF-8, а не байтового массива.

• Добавлен новый фильтр для отсеивания произвольных байтовых последовательностей в пакетах (@some.field == <bytes…>), что, например, может быть использовано для отлавливания некорректных строк UTF-8.

• В выставляемых элементах фильтров разрешено использование арифметических выражений.

• Добавлен логический оператор XOR.

• Улучшены средства для автодополнения ввода в фильтрах.

• Добавлена возможность поиска MAC-адресов в реестре IEEE OUI.

• Файлы конфигурации, определяющие списки производителей и сервисов, скомпилированы для более быстрой загрузки.

• На платформе Windows добавлена поддержка тёмной темы оформления. Для Windows добавлен инсталлятор для архитектуры Arm64. Добавлена возможность компиляции для Windows с использованием инструментария MSYS2, а также кросс-компиляции в Linux. В сборки для Windows добавлена новая внешняя зависимость - SpeexDSP (ранее код был встроен).

• Установочные файлы для Linux теперь не привязаны к местоположению в ФС и используют относительные пути в RPATH. Каталог с плагинами extcap перемещён в $HOME/.local/lib/wireshark/extcap (было $XDG_CONFIG_HOME/wireshark/extcap).

• По умолчанию обеспечена компиляция с Qt6, для сборки с Qt5 необходимо указать USE_qt6=OFF в CMake.

• В "ciscodump" добавлена поддержка Cisco IOS XE 17.x.

• Интервал обновления интерфейса при захвате трафика снижен с 500ms до 100ms (может быть изменён в настройках).

• Изменено оформление консоли Lua, в которой теперь имеется одно общее окно для ввода и вывода.

• В модуль разбора (dissector) JSON добавлены настройки для управление экранированием значений и показом данных в исходном (raw) представлении.

• В модуль разбора IPv6 добавлена поддержка отображения семантических деталей об адресе и возможность разбора опции APN6 в заголовках HBH (Hop-by-Hop Options Header) и DOH (Destination Options Header).

• В модуль разбора XML добавлена возможность показа символов с учётом кодировки, заданной в заголовке документа или выбранной по умолчанию в настройках.

• В модуль разбора SIP добавлена возможность указания кодировки для отображения содержимого SIP-сообщений.

• Для HTTP реализован разбор chunked-данных в режиме потоковой пересборки.

• В модуле разбора мультимедийных типов реализована поддержка всех MIME-типов, упомянутых в RFC 6838, и убрана привязка к регистру символов.

• Добавлена поддержка протоколов:
Код: 
        HTTP/3,
        MCTP (Management Component Transport Protocol),
        BT-Tracker (UDP Tracker Protocol for BitTorrent),
        ID3v2,
        Zabbix,
        Aruba UBT,
        ASAM Capture Module Protocol (CMP),
        ATSC Link-Layer Protocol (ALP),
        DECT DLC protocol layer (DECT-DLC),
        DECT NWK protocol layer (DECT-NWK),
        DECT proprietary Mitel OMM/RFP Protocol (AaMiDe),
        Digital Object Identifier Resolution Protocol (DO-IRP),
        Discard Protocol,
        FiRa UWB Controller Interface (UCI),
        FiveCo’s Register Access Protocol (5CoRAP),
        Fortinet FortiGate Cluster Protocol (FGCP),
        GPS L1 C/A LNAV,
        GSM Radio Link Protocol (RLP),
        H.224,
        High Speed Fahrzeugzugang (HSFZ),
        IEEE 802.1CB (R-TAG),
        Iperf3,
        JSON 3GPP,
        Low Level Signalling (ATSC3 LLS),
        Matter home automation protocol,
        Microsoft Delivery Optimization, Multi-Drop Bus (MDB),
        Non-volatile Memory Express - Management Interface (NVMe-MI) over MCTP,
        RDP audio output virtual channel Protocol (rdpsnd),
        RDP clipboard redirection channel Protocol (cliprdr),
        RDP Program virtual channel Protocol (RAIL),
        SAP Enqueue Server (SAPEnqueue),
        SAP GUI (SAPDiag),
        SAP HANA SQL Command Network Protocol (SAPHDB),
        SAP Internet Graphic Server (SAP IGS),
        SAP Message Server (SAPMS),
        SAP Network Interface (SAPNI),
        SAP Router (SAPROUTER),
        SAP Secure Network Connection (SNC),
        SBAS L1 Navigation Messages (SBAS L1),
        SINEC AP1 Protocol (SINEC AP),
        SMPTE ST2110-20 (Uncompressed Active Video),
        Train Real-Time Data Protocol (TRDP),
        UBX (u-blox GNSS receivers),
        UWB UCI Protocol, Video Protocol 9 (VP9),
        VMware HeartBeat,
        Windows Delivery Optimization (MS-DO),
        Z21 LAN Protocol (Z21),
        ZigBee Direct (ZBD),
        Zigbee TLV.
 
Опубликован релиз новой стабильной ветки сетевого анализатора Wireshark 4.4.0. Программа поддерживает более тысячи сетевых протоколов и несколько десятков форматов захвата трафика. Предоставляется гибкий интерфейс для создания фильтров, захвата трафика, анализа сохранённых дампов и инспектирования пакетов. Поддерживаются такие расширенные возможности, как пересборка порядка следования пакетов, выделение и сохранение содержимого файлов, передаваемых с использованием разных протколов, воспроизведение VoIP и RTP-потоков, расшифровка IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP и WPA/WPA2. Код проекта распространяется под лицензией GPLv2.

Ключевые новшества Wireshark 4.4.0:

• Добавлена поддержка автоматического переключения профилей с настройками. Пользователь может привязать фильтр отображения к профилю и в случае открытия файла с захваченным трафиком, подпадающего под фильтр, автоматически будет задействован связанный с ним профиль.

• Добавлена поддержка Lua 5.3 и 5.4. Прекращена поддержка Lua 5.1 и 5.2.

• В фильтрах отображения улучшена поддержка строковых значений (появилась возможность строкового представления числовых полей).

• Предоставлена возможность определения функции фильтра в виде плагинов, по аналогиями с парсерами файлов и модулями разбора протоколов.

• Добавлена операция "Edit > Copy > Display filter as pcap filter" для преобразования фильтров отображения в pcap-фильтры с эквивалентными полями.

• Улучшены многие графические диалоги, модернизированы графики ввода/вывода, потоков трафика, VoIP-вызовов и TCP-потоков.

• Разрешено определение собственных столбцов, для формирования которых могут использоваться любые операции над полями (функции фильтров, арифметические вычисления, логические операции, модификаторы протоколов и т.п.).

• Разрешено определение собственных полей вывода для "tshark -e", используя операции над имеющимися полями.

• Добавлена поддержка сборки с библиотекой zlib-ng вместо zlib для работы со сжатыми файлами.

• Добавлена поддержка протоколов и форматов:
Код: 
        Allied Telesis Resiliency Link (AT RL),
        ATN Security Label,
        Bit Index Explicit Replication (BIER),
        Bus Mirroring Protocol,
        EGNOS Message Server (EMS),
        Galileo E1-B I/NAV,
        IBM i RDMA Endpoint (iRDMA-EDP),
        IWBEMSERVICES, MAC NR Framed (mac-nr-framed),
        Matter Bluetooth Transport Protocol (MatterBTP),
        MiWi P2P Star,
        Monero,
        NMEA 0183,
        PLDM,
        RDP authentication redirection virtual channel protocol (rdpear),
        RF4CE Network Layer (RF4CE),
        RF4CE Profile (RF4CE Profile),
        RK512, SAP Remote Function Call (SAPRFC),
        SBAS L1 Navigation Message,
        Scanner Access Now Easy (SANE),
        TREL,
        WMIO,
        ZeroMQ Message Transport Protocol (ZMTP).

• Устранена уязвимость (CVE-2024-8250), приводящая к аварийному завершению при обработке специального оформленных пакетов.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх