Прибуття Wireshark 4.6 Це являє собою значне оновлення для одного з найпоширеніших аналізаторів мережевих протоколів у світі, яким він був на момент його публікації. нова версія Wireshark 3.0.0У цьому випуску представлено кілька функцій, розроблених для покращення візуалізації, продуктивності захоплення даних та сумісності з іншими інструментами, зокрема точне налаштування стовпців, форматів часу та статистики.
Окрім внутрішніх покращень, проєкт посилює свою мультиплатформенну підтримку завдяки оновлені пакети для Windows та macOSта підтримує свій дистрибутив Linux як у форматі вихідного коду, так і у форматі Flatpak. Реліз також включає зміни до системних залежностей та компонентів, прагнучи більшої стабільності та чіткішого життєвого циклу для професійних користувачів.
Основні можливості аналізу та візуалізації Wireshark 4.6
Одним із чудових доповнень є нове діалогове вікно «Діаграми», що дозволяє генерувати діаграми розсіювання з кількома трасами, маркерами та автоматичною прокруткою. Це сприяє швидшій візуальній діагностиці під час тривалих сеансів або під час зміни схем руху.
Також додано стиснення живого запису під час запису на диск, що особливо корисно в середовищах з високою швидкістю передачі пакетів. Паралельно, запис полів абсолютного часу у вивід JSON (-T json) має вигляд ISO 8601 у UTC, а стовпці часу UTC відображають суфікс Z відповідно до стандарту.
Що стосується розшифрування, Wireshark тепер може розшифрувати NTP за допомогою NTS (Безпека мережевого часу). Щоб це спрацювало, вам потрібні секрети клієнта TLS, секрети експортера та самі пакети. НТС-КЕКрім того, розширено можливості обробки MACsec: можливо використовувати SAK розпаковано дисектором MKA або PSK налаштовується безпосередньо в дисекторі MACsec. Для повноти картини, осі Граф потоку TCP використовує префікси SI, точне налаштування зчитування величин.
Покращення платформи та налаштування захоплення
У Linux фільтри захоплення з розширеннями БНФ такі як вхідні, вихідні та ifindex, можна використовувати безпосередньо для захоплення, що відкриває шлях до розширених сценаріїв фільтрації на рівні ядра. Після завершення зіставлення пакетів, базовий тип полів EUI-64 конвертовано в байти, покращуючи консистенцію.
У macOS Wireshark тепер може обробляти додаткову інформацію, яка tcpdump надає: дані процесу, метадані пакетів, ідентифікатори потоку або події втрат, серед іншого. Це збагачує аналіз на пристроях Apple без складних конфігурацій.
У Windows інсталятори розповсюджуються разом із Npcap 1.83 (раніше 1.79), а як у Windows, так і в macOS офіційні пакети переміщуються до Qt 6.9.3 (раніше 6.5.3). Універсальні інсталятори доступні на macOS, дійсний для Arm64 та Intel, що спрощує вибір двійкового коду.
Стовпці, таблиці та утиліти: більше контролю та узгодженості у Wireshark 4.6
Користувацькі стовпці містять опцію відображення значень за допомогою той самий формат, що й у деталях упаковки, уникаючи візуальних розбіжностей між панелями. Крім того, DNP3 тепер відображається в таблицях Спілкування y Кінцеві точки, а файл ефірів підтримує Призначення імен EUI-64.
Діалогове вікно експорту дисекції в графічному інтерфейсі може вивести необроблені шістнадцяткові байти фреймворку для кожного поля, з експортом значення поля або без нього. Тим часом Lua API додає підтримку для Функції симетричного шифрування Libgcrypt, що розширює можливості написання сценаріїв та автоматизації.
У самих таблицях Спілкування y Кінцеві точки Для відображення додано перемикач точна кількість байтів та швидкості передачі даних, а не формати, зчитувані людиною, з одиницями СІ. І TShark вперше пропонує цю перевагу -o statistics.output_format контролювати вихідний формат певних натискань статистики.
Імпорт, експорт та робочий процес
Функція «Імпорт із шістнадцяткового дампу» та text2pcap прийняти зараз групи від 2 до 4 байтів, що спрощує реконструкцію захоплених даних з різнорідних текстових дампів. Крім того, з розділів «Друк» та «Експорт розбору пакетів» можна додати позначки часу кадру як преамбула у шестикутних дампах.
Список пакетів та список подій Вони більше не дозволяють багаторядкові рядки, що покращує читабельність та запобігає неочікуваним переходам. Він також включає Слідкуйте за потоком для ПІД-ідентифікаторів Транспортний потік MPEG-2, а відстеження HTTP/2 для сеансів 3GPP через 5G можна додатково ввімкнути.
У меню «Редагувати» з’являється пункт «Копіювати › як HTML» копіювати звичайний текст із вирівняними стовпцями та вибирати формат під час використання комбінацій клавіш, тоді як у вікні «Вид» додається опція вручну перерозподілити пакетиКоли Wireshark компілюється з Qt 6.8 або вище (як в офіційних інсталяторах), світла/темна тема можна налаштувати незалежно від системних налаштувань Windows та macOS.
Додані формати та протоколи
У розділі форматів Wireshark 4.6 додає Декодування RIFF та TTL, розширюючи свій охоплення за межі суто мережевих протоколів.
Список нових підтримуваних протоколів є широким і охоплює різні сектори: промислову упаковку, автомобільну промисловість, Інтернет речей, супутникові технології та мобільні пристрої. До них належать AKP, бінарний HTTP, BIST TotalView-ITCH y BIST TotalView-OUCH, а також кілька доповнень Bluetooth та Bundle Protocol Security:
- Асиметричні пакети ключів (AKP)
- Бінарний HTTP
- BIST TotalView-ITCH (BIST-ITCH)
- BIST TotalView-OUCH (BIST-OUCH)
- Bluetooth Android HCI (HCI ANDROID)
- Bluetooth Intel HCI (INTEL HCI)
- Контекст BPSec COSE та стандартний SC BPSec
- Протокол захоплення Commsignia (C2P)
Також з'являються технології мобільних мереж, вимірювання та спеціалізована інкапсуляція, такі як DECT NR+ (DECT-2020), DLMS/COSEM, Ефемерний Діффі-Хеллман над COSE, ІЛНП, трейлер LDA_NEO_TRAILER, ЛСДП, ТОВ В1 та внутрішній протокол vSomeIP:
- DECT NR+ (нове радіо DECT-2020)
- DLMS/COSEM
- Ефемерний Діффі-Хеллман над COSE
- Мережевий протокол ідентифікатора-локатора (ILNP)
- Трейлер пристрою LDA Neo (LDA_NEO_TRAILER)
- Протокол виявлення послуг Ленбрука (LSDP)
- ТОВ В1
- Внутрішній протокол vSomeIP (vSomeIP)
Партія завершена за підтримки Повідомлення Navitrol, НТС-КЕ, датчики LIDAR, такі як Вигнання VLP-16, Емуляція приватної лінії (PLE), Радіокерований V3, RCG, Roughtime, SBAS L5 та віддалене налаштування eSIM-картки SGP.22 y SGP.32:
- Повідомлення Navitrol
- Протокол встановлення ключів безпеки мережевого часу (NTS-KE)
- Вигнання VLP-16
- Емуляція приватної лінії (PLE)
- RC V3 та RCG
- Roughtime
- Навігаційне повідомлення SBAS L5
- SGP.22 Віддалене налаштування SIM-картки GSMA (SGP.22)
- SGP.32 Віддалене налаштування SIM-картки GSMA (SGP.32)
Нарешті, додано протоколи та канали, орієнтовані на автоматизацію та USB, серед інших: SICK CoLA (ASCII та двійковий код), Канал налагодження Silabs, XCP, USB-PTP і повідомлення від Дані та положення VLP-16.
Виключені функції та зміни залежностей Wireshark 4.6
З цією версією Wireshark припиняє підтримку AirPcap та WinPcapУ системах Windows Npcap використовується за замовчуванням, тому WinPcap можна видалити, якщо він все ще присутній у системі.
Підтримка версій також припиняється. 1 та 2 бібліотеки libnl (Набір бібліотек протоколів Netlink) та libxml2 стає обов'язковою залежністюНа рівні збірки параметр CMake ENABLE_STATIC видалено на користь BUILD_SHARED_LIBS, що об'єднує критерії в процесі складання.
Доступність та завантаження Wireshark 4.6
Wireshark 4.6 можна завантажити з вашого офіційний сайт у формі вихідного коду для компіляції, а також попередньо скомпільовані пакети для Windows та macOS. Там також доступні наступні: примітки до цього випускуУ Linux програма доступна як Flatpak на Flathub, що полегшує його розгортання на кількох дистрибутивах.
Якщо ви вже використовували гілку 4.4 або 4.2, ви помітите, що багато з цих покращень не потребують змін потоку та природно інтегруються в повсякденну роботу: корисніша графіка, багатші можливості експорту та нові можливості декодування відкривають шлях до точнішого аналізу без шкоди для продуктивності.
Цей випуск консолідує Wireshark як довідковий інструмент, додавши розширена візуалізація, підтримка нових протоколів та ретельне обслуговування пакетів і залежностей, що зменшує тертя як для тих, хто щодня фіксує трафік, так і для тих, хто аналізує певні формати.
