image

Wireshark Foundation выпустила финальную stable-версию популярного сетевого анализатора трафика — Wireshark 3.0.0. В новом релизе устранено несколько багов, реализована возможность анализа новых протоколов и заменен драйвер WinPcap на Npcap.

Wireshark — самый популярный в мире анализатор сетевых протоколов. Он используется для устранения неполадок, анализа, развития и обучения.


Новые и обновленные функции


  • Улучшен пользовательский интерфейс. Поддержка ряда устаревших функций и библиотек была удалена.
  • Функция IP-карты (кнопка «Карта» в диалоговом окне «Конечные точки») была добавлена ??обратно в модернизированной форме (Ошибка 14693).
  • Пакет macOS теперь поставляется с Qt 5.12.1. Ранее он поставлялся с Qt 5.9.7.
  • Для пакета macOS требуется версия 10.12 или более поздняя версия macOS (High Sierra/Mojave). Если вы используете старую версию macOS, используйте Wireshark 2.6.
  • Wireshark теперь поддерживает шведский и украинский языки (русский он поддерживает с версии 2.9).
  • Добавлена поддержка использования токенов PKCS #11 для расшифровки RSA в TLS.
  • Установщики Windows теперь поставляются с Qt 5.12.1. Ранее они поставлялись с Qt 5.12.0.
  • Установщики Windows .exe теперь поставляются с Npcap вместо WinPcap. Помимо активной поддержки (проектом nmap), Npcap поддерживает петлевой захват и захват режима мониторинга 802.11 Wi-Fi (если поддерживается драйвером NIC).
  • Метки времени разговора поддерживаются для протоколов UDP/UDP-Lite.
  • TShark теперь поддерживает опцию -G elastic-mapping, которая генерирует файл сопоставления ElasticSearch.
  • Диалог «Захват информации» был добавлен обратно (ошибка 12004).
  • Диссекторы Ethernet и IEEE 802.11 больше не проверяют последовательность проверки кадра (контрольную сумму) по умолчанию.
  • Диссектор TCP получил новое предпочтение «Повторная сборка неупорядоченных сегментов», чтобы исправить проблемы с вскрытием и расшифровкой в ??случае, если сегменты TCP получены не по порядку.
  • Поддержка расшифровки для нового диссектора WireGuard (ошибка 15011, требуется Libgcrypt 1.8).
  • Диссектор BOOTP был переименован в DHCP. За исключением «bootp.dhcp», старые поля фильтра дисплея «bootp. *» все еще поддерживаются, но могут быть удалены в будущем выпуске.
  • SSL-диссектор был переименован в TLS. Как и в случае с BOOTP, старые поля фильтра отображения «ssl. *» поддерживаются, но могут быть удалены в будущем выпуске.
  • APT-X был переименован в aptX.
  • При импорте из шестнадцатеричного дампа теперь можно добавить заголовок ExportPDU с именем полезной нагрузки. Это вызывает конкретный диссектор напрямую без нижестоящих протоколов.
  • Интерфейсы extshap sshdump и ciscodump теперь могут использовать прокси для соединения SSH.
  • Dumpcap теперь поддерживает -a packets:NUM и -b packets:NUM варианты.

Поддержка новых протоколов


Помимо обновления огромного количества протоколов, уже существующих в Wireshark, разработчики добавили поддержку следующих:

Apple Wireless Direct Link (AWDL), Basic Transport Protocol (BTP), BLIP Couchbase Mobile (BLIP), CDMA 2000, Circuit Emulation Service over Ethernet (CESoETH), Cisco Meraki Discovery Protocol (MDP), Distributed Ruby (DRb), DXL, E1AP (5G), EVS (3GPP TS 26.445 A.2 EVS RTP), Exablaze trailers, General Circuit Services Notification Application Protocol (GCSNA), GeoNetworking (GeoNw), GLOW Lawo Emberplus Data format, Great Britain Companion Specification (GBCS) used in the Smart Metering Equipment Technical Specifications (SMETS), GSM-R (User-to-User Information Element usage), HI3CCLinkData, Intelligent Transport Systems (ITS) application level, ISO 13400-2 Diagnostic communication over Internet Protocol (DoIP), ITU-t X.696 Octet Encoding Rules (OER), Local Number Portability Database Query Protocol (ANSI), MsgPack, NGAP (5G), NR (5G) PDCP, Osmocom Generic Subscriber Update Protocol (GSUP), PCOM protocol, PKCS#10 (RFC2986 Certification Request Syntax), PROXY (v2), S101 Lawo Emberplus transport frame, Secure Reliable Transport Protocol (SRT), Spirent Test Center Signature decoding for Ethernet and FibreChannel (STCSIG, disabled by default), Sybase-specific portions of TDS, systemd Journal Export, TeamSpeak 3 DNS, TPM 2.0, Ubiquiti Discovery Protocol (UBDP), WireGuard, XnAP (5G), and Z39.50 Information Retrieval Protocol.

WinPcap > Npcap


Самым актуальным нововведением является замена WinPcap на Npcap. Хотя библиотека Npcap и основана на WinPcap/Libpcap, однако она более оптимизирована, имеет лучшую скорость работы, портативность и безопасность. Также немаловажным фактором является поддержка Npcap разработчиками Nmap Project, в отличие от необновляемой с 2013 года WinPcap.

Комментарии (28)


  1. vilgeforce
    04.03.2019 14:37

    «Npcap поддерживает петлевой захват» — в смысле, loopback? То есть захват всего, что летит на localhost теперь будет из коробки?


    1. LukaSafonov Автор
      04.03.2019 14:52
      +1

      Да, речь именно о loopback, с оговоркой поддержи NIC-драйвера: Npcap brings support for loopback capture and 802.11 WiFi monitor mode capture (if supported by the NIC driver).


      1. alexzeed
        04.03.2019 18:35

        Мне кажется, что это замечание относится только к Wi-Fi. Для loopback интерфейса создается некий отдельный адаптер: After installation, Npcap will create an adapter named Npcap Loopback Adapter for you. If you are a Wireshark user, choose this adapter to capture, you will see all loopback traffic the same way as other non-loopback adapters. Похоже, что это именно их собственный драйвер, т.е. он как раз для того и написан, чтобы поддерживать захват с loopback.


    1. lisnake
      05.03.2019 11:21
      +1

      Ну наконец-то, а то вечно приходилось какой-то колхоз городить для этого


      1. vilgeforce
        05.03.2019 13:34

        И не говорите! Теперь заживем!


  1. Anton23
    04.03.2019 14:41

    Круто, что добавили 5G


  1. laviol
    04.03.2019 17:06
    +3

    Человеческий loopback на винде из коробки?
    Ущипните меня.


    1. Vlad_01
      05.03.2019 04:13

      Расскажите кратко что такое loopback, плиз.


      1. TimsTims
        05.03.2019 09:10

        Все соединения на 127.0.0.1/8, т.е. соединения к своему же компьютеру. Часто используется при обмене трафиком между разными программами, которые хотят между собой общаться. Например некая прога и база данных. Либо платформа для запуска игры, и сама игра.


        1. Vlad_01
          05.03.2019 09:24

          Ага спасибо, мине это надо будет скоро. (пилюсы не могу ставить)


  1. dollar
    04.03.2019 17:44

    Жаль, что подмена пакетов так и не поддерживается до сих пор.


    1. LukaSafonov Автор
      04.03.2019 17:46
      +2

      Можете воспользоваться intercepter-ng.


      1. xakep2011
        04.03.2019 18:10
        +1

        Интересно. Хром с ума сходит и упорно не даёт скачать.


        1. LukaSafonov Автор
          04.03.2019 18:22
          +3

          Давненько хром блочит сайт. Я думаю человек с Вашим ником вполне справится с этим.


          1. sidristij
            04.03.2019 19:12
            +6

            Еслм только это не год рождения :))


            1. arthur_veber
              05.03.2019 16:22

              у меня сыну 2.5 года: включает вай фай на телефоне (андроид, выпадающее меню сверху) и смотрит ролики на ютюбе (причем иконка ютюба запрятана в «папку» с другими иконками). (ролики в основном про лифты, поезда, железнодорожные переезды, но это ладно). Я к тому что 2011 — это уже 8 лет.


          1. Vlad_01
            05.03.2019 03:55

            Если хакер раскрыл себя уже в нике, значит он — …


        1. panchmp
          04.03.2019 22:54

          там два лишних клика мышкой


        1. Vlad_01
          05.03.2019 04:01

          Древняя Опера отдала мухой, без вопросов.


          1. TimsTims
            05.03.2019 09:14

            1. Vlad_01
              05.03.2019 09:30
              -2

              У меня нет ни одного антивируса ни на маках ни на пИсях, и не будет.


              1. TimsTims
                05.03.2019 17:44

                Прочитайте хоть статью. Там антивирус — на стороне Гугла, который сам решает что вам показывать. Поэтому и а простой опере все нормально открывается.


  1. X_e_L
    05.03.2019 08:38

    Огнелис тоже скачал без проблем (извините, промахнулся мимо кнопки «ответить»)


  1. Antizhirafon
    05.03.2019 12:18
    -2

    Интерфейс, я так понимаю, как и в большинстве современных декстопных приложений застрял на уровне начала 10-ых годов, когда у нас уже эпоха тачскринов?


  1. slavyan_sh
    05.03.2019 12:20

    Почему для Linux-видных систем версии сильно отстают?


    1. Antizhirafon
      05.03.2019 12:37

      Полагаю это связано с тем что пингвиний зоопарк гораздо тяжелее поддерживать.


    1. DerRotBaron
      06.03.2019 21:39

      Потому, что поддержкой занимаются обычно люди, не являющиеся постоянными разработчики софта. К тому дэже не везде принято менять мажорные версии в стабильных ветках в угоду совместимости.
      И поэтому мейнтейнеры основных дистрибутивов ещё не собрали. А текущая ветка 2.6.x а не 2.9 потому, что 2.9 это тестовые релизы ветки 3.0


  1. Groosha
    06.03.2019 13:55

    Коллеги, будьте очень осторожны с Npcap (особенно с loopback). На нескольких машинах с Windows 7 (в т.ч. на моей) это сломало сетевой стек так, что перестали работать PPTP/L2TP-соединения вообще (ошибка "Модем удалён").


    Также жалуются на проблемы с Wi-Fi, но я подобного не замечал.
    https://github.com/nmap/nmap/issues/373
    https://www.tenforums.com/network-sharing/102532-npcap-loopback-adapter-dec-2017-win-10-update-interfering-vpn.html