Wireshark Foundation выпустила финальную stable-версию популярного сетевого анализатора трафика — Wireshark 3.0.0. В новом релизе устранено несколько багов, реализована возможность анализа новых протоколов и заменен драйвер WinPcap на Npcap.
Wireshark — самый популярный в мире анализатор сетевых протоколов. Он используется для устранения неполадок, анализа, развития и обучения.
Новые и обновленные функции
- Улучшен пользовательский интерфейс. Поддержка ряда устаревших функций и библиотек была удалена.
- Функция IP-карты (кнопка «Карта» в диалоговом окне «Конечные точки») была добавлена ??обратно в модернизированной форме (Ошибка 14693).
- Пакет macOS теперь поставляется с Qt 5.12.1. Ранее он поставлялся с Qt 5.9.7.
- Для пакета macOS требуется версия 10.12 или более поздняя версия macOS (High Sierra/Mojave). Если вы используете старую версию macOS, используйте Wireshark 2.6.
- Wireshark теперь поддерживает шведский и украинский языки (русский он поддерживает с версии 2.9).
- Добавлена поддержка использования токенов PKCS #11 для расшифровки RSA в TLS.
- Установщики Windows теперь поставляются с Qt 5.12.1. Ранее они поставлялись с Qt 5.12.0.
- Установщики Windows .exe теперь поставляются с Npcap вместо WinPcap. Помимо активной поддержки (проектом nmap), Npcap поддерживает петлевой захват и захват режима мониторинга 802.11 Wi-Fi (если поддерживается драйвером NIC).
- Метки времени разговора поддерживаются для протоколов UDP/UDP-Lite.
- TShark теперь поддерживает опцию -G elastic-mapping, которая генерирует файл сопоставления ElasticSearch.
- Диалог «Захват информации» был добавлен обратно (ошибка 12004).
- Диссекторы Ethernet и IEEE 802.11 больше не проверяют последовательность проверки кадра (контрольную сумму) по умолчанию.
- Диссектор TCP получил новое предпочтение «Повторная сборка неупорядоченных сегментов», чтобы исправить проблемы с вскрытием и расшифровкой в ??случае, если сегменты TCP получены не по порядку.
- Поддержка расшифровки для нового диссектора WireGuard (ошибка 15011, требуется Libgcrypt 1.8).
- Диссектор BOOTP был переименован в DHCP. За исключением «bootp.dhcp», старые поля фильтра дисплея «bootp. *» все еще поддерживаются, но могут быть удалены в будущем выпуске.
- SSL-диссектор был переименован в TLS. Как и в случае с BOOTP, старые поля фильтра отображения «ssl. *» поддерживаются, но могут быть удалены в будущем выпуске.
- APT-X был переименован в aptX.
- При импорте из шестнадцатеричного дампа теперь можно добавить заголовок ExportPDU с именем полезной нагрузки. Это вызывает конкретный диссектор напрямую без нижестоящих протоколов.
- Интерфейсы extshap sshdump и ciscodump теперь могут использовать прокси для соединения SSH.
- Dumpcap теперь поддерживает -a packets:NUM и -b packets:NUM варианты.
Поддержка новых протоколов
Помимо обновления огромного количества протоколов, уже существующих в Wireshark, разработчики добавили поддержку следующих:
Apple Wireless Direct Link (AWDL), Basic Transport Protocol (BTP), BLIP Couchbase Mobile (BLIP), CDMA 2000, Circuit Emulation Service over Ethernet (CESoETH), Cisco Meraki Discovery Protocol (MDP), Distributed Ruby (DRb), DXL, E1AP (5G), EVS (3GPP TS 26.445 A.2 EVS RTP), Exablaze trailers, General Circuit Services Notification Application Protocol (GCSNA), GeoNetworking (GeoNw), GLOW Lawo Emberplus Data format, Great Britain Companion Specification (GBCS) used in the Smart Metering Equipment Technical Specifications (SMETS), GSM-R (User-to-User Information Element usage), HI3CCLinkData, Intelligent Transport Systems (ITS) application level, ISO 13400-2 Diagnostic communication over Internet Protocol (DoIP), ITU-t X.696 Octet Encoding Rules (OER), Local Number Portability Database Query Protocol (ANSI), MsgPack, NGAP (5G), NR (5G) PDCP, Osmocom Generic Subscriber Update Protocol (GSUP), PCOM protocol, PKCS#10 (RFC2986 Certification Request Syntax), PROXY (v2), S101 Lawo Emberplus transport frame, Secure Reliable Transport Protocol (SRT), Spirent Test Center Signature decoding for Ethernet and FibreChannel (STCSIG, disabled by default), Sybase-specific portions of TDS, systemd Journal Export, TeamSpeak 3 DNS, TPM 2.0, Ubiquiti Discovery Protocol (UBDP), WireGuard, XnAP (5G), and Z39.50 Information Retrieval Protocol.
WinPcap > Npcap
Самым актуальным нововведением является замена WinPcap на Npcap. Хотя библиотека Npcap и основана на WinPcap/Libpcap, однако она более оптимизирована, имеет лучшую скорость работы, портативность и безопасность. Также немаловажным фактором является поддержка Npcap разработчиками Nmap Project, в отличие от необновляемой с 2013 года WinPcap.
Комментарии (28)
laviol
04.03.2019 17:06+3Человеческий loopback на винде из коробки?
Ущипните меня.Vlad_01
05.03.2019 04:13Расскажите кратко что такое loopback, плиз.
TimsTims
05.03.2019 09:10Все соединения на 127.0.0.1/8, т.е. соединения к своему же компьютеру. Часто используется при обмене трафиком между разными программами, которые хотят между собой общаться. Например некая прога и база данных. Либо платформа для запуска игры, и сама игра.
dollar
04.03.2019 17:44Жаль, что подмена пакетов так и не поддерживается до сих пор.
LukaSafonov Автор
04.03.2019 17:46+2Можете воспользоваться intercepter-ng.
xakep2011
04.03.2019 18:10+1Интересно. Хром с ума сходит и упорно не даёт скачать.
LukaSafonov Автор
04.03.2019 18:22+3Давненько хром блочит сайт. Я думаю человек с Вашим ником вполне справится с этим.
sidristij
04.03.2019 19:12+6Еслм только это не год рождения :))
arthur_veber
05.03.2019 16:22у меня сыну 2.5 года: включает вай фай на телефоне (андроид, выпадающее меню сверху) и смотрит ролики на ютюбе (причем иконка ютюба запрятана в «папку» с другими иконками). (ролики в основном про лифты, поезда, железнодорожные переезды, но это ладно). Я к тому что 2011 — это уже 8 лет.
Vlad_01
05.03.2019 04:01Древняя Опера отдала мухой, без вопросов.
Antizhirafon
05.03.2019 12:18-2Интерфейс, я так понимаю, как и в большинстве современных декстопных приложений застрял на уровне начала 10-ых годов, когда у нас уже эпоха тачскринов?
slavyan_sh
05.03.2019 12:20Почему для Linux-видных систем версии сильно отстают?
Antizhirafon
05.03.2019 12:37Полагаю это связано с тем что пингвиний зоопарк гораздо тяжелее поддерживать.
DerRotBaron
06.03.2019 21:39Потому, что поддержкой занимаются обычно люди, не являющиеся постоянными разработчики софта. К тому дэже не везде принято менять мажорные версии в стабильных ветках в угоду совместимости.
И поэтому мейнтейнеры основных дистрибутивов ещё не собрали. А текущая ветка 2.6.x а не 2.9 потому, что 2.9 это тестовые релизы ветки 3.0
Groosha
06.03.2019 13:55Коллеги, будьте очень осторожны с Npcap (особенно с loopback). На нескольких машинах с Windows 7 (в т.ч. на моей) это сломало сетевой стек так, что перестали работать PPTP/L2TP-соединения вообще (ошибка "Модем удалён").
Также жалуются на проблемы с Wi-Fi, но я подобного не замечал.
https://github.com/nmap/nmap/issues/373
https://www.tenforums.com/network-sharing/102532-npcap-loopback-adapter-dec-2017-win-10-update-interfering-vpn.html
vilgeforce
«Npcap поддерживает петлевой захват» — в смысле, loopback? То есть захват всего, что летит на localhost теперь будет из коробки?
LukaSafonov Автор
Да, речь именно о loopback, с оговоркой поддержи NIC-драйвера: Npcap brings support for loopback capture and 802.11 WiFi monitor mode capture (if supported by the NIC driver).
alexzeed
Мне кажется, что это замечание относится только к Wi-Fi. Для loopback интерфейса создается некий отдельный адаптер: After installation, Npcap will create an adapter named Npcap Loopback Adapter for you. If you are a Wireshark user, choose this adapter to capture, you will see all loopback traffic the same way as other non-loopback adapters. Похоже, что это именно их собственный драйвер, т.е. он как раз для того и написан, чтобы поддерживать захват с loopback.
lisnake
Ну наконец-то, а то вечно приходилось какой-то колхоз городить для этого
vilgeforce
И не говорите! Теперь заживем!