Прибытие Wireshark 4.6 Он представляет собой существенное обновление одного из самых широко используемых в мире анализаторов сетевых протоколов, каким он был на момент его публикации. новая версия Wireshark 3.0.0В этом выпуске представлено несколько функций, направленных на улучшение визуализации, производительности захвата и взаимодействия с другими инструментами, включая тонкую настройку столбцов, форматов времени и статистики.
Помимо внутренних улучшений, проект усиливает свою многоплатформенную поддержку с помощью обновленные пакеты для Windows и macOS, и поддерживает дистрибутив Linux как в исходном коде, так и в формате Flatpak. В этот релиз также внесены изменения в системные зависимости и компоненты, что способствует повышению стабильности и более понятному жизненному циклу для профессиональных пользователей.
Основные возможности Wireshark 4.6 в области анализа и визуализации
Одним из замечательных дополнений является новый диалог «Сюжеты», что позволяет строить диаграммы рассеяния с несколькими трассами, маркерами и автоматической прокруткой. Это способствует более быстрой визуальной диагностике во время длительных сеансов или при изменении характера дорожного движения.
Также добавлено сжатие живого захвата При записи на диск, что особенно полезно в средах с высокой скоростью передачи пакетов. Параллельно запись полей абсолютного времени в JSON-вывод (-T json) осуществляется в виде ISO 8601 в UTCи столбцы времени UTC отображают суффикс Z в соответствии со стандартом.
Что касается расшифровки, Wireshark теперь может расшифровать NTP с помощью NTS (Безопасность сетевого времени). Для этого вам понадобятся секреты клиента TLS, секреты экспортера и пакеты. НТС-КЕ. Кроме того, расширены возможности работы с MACsec: можно использовать САК распакован диссектором МКА или PSK Настраивается непосредственно в диссекторе MACsec. Для полноты картины, оси TCP Stream Graph использует префиксы SI, точная настройка показаний величин.
Улучшения платформы и корректировки захвата
В Linux фильтры захвата с расширениями БНФ Такие параметры, как входящие, исходящие и ifindex, можно использовать напрямую для захвата, что открывает возможности для расширенных сценариев фильтрации на уровне ядра. После этого сопоставление пакетов, базовый тип полей EUI-64 преобразован в байты, улучшая согласованность.
В macOS Wireshark теперь может обрабатывать дополнительную информацию, которая tcpdump обеспечивает: данные процесса, метаданные пакетов, идентификаторы потоков или события потерь и т. д. Это расширяет возможности анализа на устройствах Apple без необходимости сложной настройки.
В Windows инсталляторы распространяются с Npcap 1.83 (ранее 1.79), и на Windows и macOS официальные пакеты перемещаются в Qt 6.9.3 (ранее 6.5.3). Универсальные установщики доступны для macOS, действительно для Arm64 и Intel, упрощая выбор двоичного кода.
Столбцы, таблицы и утилиты: больше контроля и согласованности в Wireshark 4.6
Пользовательские столбцы включают возможность отображения значений с помощью тот же формат, что и в деталях упаковки, избегая визуальных различий между панелями. Кроме того, DNP3 теперь отображается в таблицах Conversations y Endpoints, и файл эфиров поддерживает Назначения имен EUI-64.
Диалоговое окно экспорта вскрытия в графическом интерфейсе может вывести необработанные шестнадцатеричные байты фреймворка для каждого поля, с экспортом значения поля или без него. API Lua, тем временем, добавляет поддержку Функции симметричного шифрования Libgcrypt, который расширяет возможности скриптинга и автоматизации.
В самих таблицах Conversations y Endpoints Добавлен переключатель для отображения точное количество байтов и скорости передачи данных, а не в удобном для восприятия формате с единицами СИ. И TShark впервые предлагает предпочтительный -o статистика.выходной_формат контролировать формат вывода определенных кранов статистики.
Импорт, экспорт и рабочий процесс
Функция «Импорт из шестнадцатеричного дампа» и text2pcap принять сейчас группы от 2 до 4 байтов, что упрощает восстановление фрагментов из разнородных текстовых дампов. Кроме того, в меню «Печать» и «Экспорт анализа пакетов» можно добавить временные метки кадра в качестве преамбулы в шестнадцатеричных дампах.
Список пакетов и список мероприятий Они больше не допускают многострочных строк., что улучшает читаемость и предотвращает неожиданные переходы. Он также включает в себя Следите за трансляцией для PID-ов Транспортный поток MPEG-2и отслеживание HTTP/2 для сеансов 3GPP через 5G может быть опционально включено.
В меню «Правка» появляется «Копировать › как HTML» для копирования простого текста с выровненными столбцами и выбора формата при использовании сочетаний клавиш, в то время как в Виде опция добавлена в вручную пересортировать пакеты. Если Wireshark скомпилирован с Qt 6.8 или выше (как в официальных установщиках), светлая/темная тема можно настроить независимо от системных настроек в Windows и macOS.
Добавляемые форматы и протоколы
В разделе форматов Wireshark 4.6 добавляет Декодирование RIFF и TTL, расширяя сферу своего применения за пределы чисто сетевых протоколов.
Список новых поддерживаемых протоколов обширен и охватывает множество секторов: промышленную упаковку, автомобилестроение, Интернет вещей, спутниковую связь и мобильную связь. В их число входят: AKP, двоичный HTTP, BIST TotalView-ITCH y BIST TotalView-OUCH, а также несколько дополнений к безопасности Bluetooth и Bundle Protocol:
- Пакеты асимметричных ключей (AKP)
- Двоичный HTTP
- БИСТ TotalView-ITCH (БИСТ-ИТЧ)
- БИСТ TotalView-ОЧ (БИСТ-ОЧ)
- Bluetooth Android HCI (HCI ANDROID)
- Bluetooth Intel HCI (INTEL HCI)
- Контекст BPSec COSE и SC BPSec по умолчанию
- Протокол захвата сообщений (C2P)
Также появятся технологии мобильных сетей, измерения и специализированные инкапсуляции, такие как DECT NR+ (DECT-2020), DLMS/COSEM, Эфемерный протокол Диффи-Хеллмана через COSE, ИЛНП, трейлер LDA_NEO_TRAILER, ЛСДП, ООО В1 и внутренний протокол vSomeIP:
- DECT NR+ (Новое радио DECT-2020)
- DLMS/COSEM
- Эфемерный протокол Диффи-Хеллмана по COSE
- Сетевой протокол идентификатора-локатора (ILNP)
- Прицеп LDA Neo Device (LDA_NEO_TRAILER)
- Протокол обнаружения сервисов Lenbrook (LSDP)
- ООО В1
- Внутренний протокол vSomeIP (vSomeIP)
Партия комплектуется поддержкой Navitrol сообщения, НТС-КЕ, датчики LIDAR, такие как Выброс VLP-16, Эмуляция частной линии (PLE), RC V3, ГРС, Тяжелое время, СБАС Л5 и удаленная настройка eSIM СГП.22 y СГП.32:
- Navitrol сообщения
- Протокол установления ключа безопасности сетевого времени (NTS-KE)
- Выброс VLP-16
- Эмуляция частной линии (PLE)
- RC V3 и RCG
- Тяжелое время
- Навигационное сообщение SBAS L5
- SGP.22 GSMA Удаленная подготовка SIM-карты (SGP.22)
- SGP.32 GSMA Удаленная подготовка SIM-карты (SGP.32)
Наконец, добавлены протоколы и каналы, ориентированные на автоматизацию и USB, среди прочих: SICK CoLA (ASCII и двоичный), Канал отладки Silabs, XCP, USB-PTP и сообщения от Данные и положение VLP-16.
Устаревшие функции и изменения зависимостей Wireshark 4.6
С этой версией Wireshark прекращает поддержку AirPcap и WinPcapВ системах Windows Npcap используется по умолчанию, поэтому WinPcap можно удалить, если он все еще присутствует в системе.
Поддержка версий также прекращается. 1 и 2 из libnl (набор библиотек протоколов Netlink) и libxml2 становится обязательной зависимостьюНа уровне сборки опция CMake ENABLE_STATIC удалена в пользу BUILD_SHARED_LIBS, унифицирующие критерии в процессе компиляции.
Доступность и загрузка Wireshark 4.6
Wireshark 4.6 можно загрузить с вашего сайта официальный сайт в виде исходного кода для компиляции, а также готовые пакеты для Windows и macOS. Также доступны: примечания из этого выпуска. В Linux приложение доступно как Flatpak на Flathub, что облегчает его развертывание на нескольких дистрибутивах.
Если вы уже использовали версию 4.4 или 4.2, вы заметите, что многие из этих улучшений не требуют изменения расхода и естественным образом интегрируются в повседневную работу: более полезная графика, расширенные возможности экспорта и новые возможности декодирования открывают путь к более точному анализу без ущерба для производительности.
В этом выпуске Wireshark становится справочным инструментом, добавляя расширенная визуализация, поддержка новых протоколов и тщательное обслуживание пакетов и зависимостей, что снижает нагрузку как на тех, кто ежедневно собирает трафик, так и на тех, кто анализирует определенные форматы.
