Выпуск сетевого анализатора Wireshark 3.0

1 марта 2019 года

Состоялся релиз новой стабильной ветки сетевого анализатора Wireshark 3.0. Напомним, что изначально проект развивался под именем Ethereal, но в 2006 году из-за конфликта с владельцем торговой марки Ethereal, разработчики были вынуждены переименовать проект в Wireshark.

В Wireshark 3 удалена реализация старого интерфейса пользователя, основанного на библиотеке GTK+. В прошлой ветке Wireshark 2 интерфейс пользователя был переведён с GTK+ на Qt, но старый интерфейс оставался доступен в качестве опции. В новом интерфейсе прекращена поддержка Qt 4.x, для работы теперь требуется как минимум Qt 5.2.

Ключевые новшества Wireshark 3.0.0:

• Начальная поддержка токенов PKCS #11 для расшифровки

RSA в TLS (добавить ключи для расшифровки можно в секции настроек в меню "RSA Keys");

• Обеспечена поддержка повторяемых сборок, позволяющих любому пользователю убедиться, что предлагаемые бинарные сборки сформированы на основе опубликованных исходных текстов;
• Добавлена поддержка преобразования меток времени для протоколов UDP/UDP-Lite;
• В анализатор TShark добавлена опция "-G" для генерации файла сопоставлений (mapping) для ElasticSearch;
• Добавлен диалог с информацией о применяемой системе захвата трафика (Capture Information);
• В модулях разбора (dissector) потоков Ethernet и IEEE 802.11 по умолчанию отключена верификация последовательности кадров (контрольных сумм);
• В модуль разбора TCP добавлена настройка "Reassemble out-of-order segments", позволяющая решить проблемы с разбором и расшифровкой потоков при неупорядоченном поступлении сегментов;
• Добавлен новый модуль WireGuard Dissector для расшифровки трафика VPN WireGuard (при наличии ключей);
• Модуль разбора BOOTP переименован в DHCP, а модуль SSL в TLS;
• Добавлена возможность переноса между профилями настроек правил подсветки, графиков ввода/вывода, фильтров и настроек протоколов;
• При импорте шестнадцатеричных дампов предоставлена возможность указания заголовка ExportPDU для прямого вызова необходимого модуля разбора, без обращения к модулям нижележащих протоколов;
• В extcap-интерфейсы sshdump и ciscodump добавлена поддержка использования прокси для SSH-соединений;
• В dumpcap добавлены опции "-a packets:NUM" с определением условия прекращения захвата после записи в дамп NUM пакетов и "-b packets:NUM" с определением лимита по числу пакетов в одном файле;
• Добавлен отдельный профиль "No Reassembly" для отключения нормализации трафика;
• В систему сборки добавлена поддержка формирования самодостаточных установочных пакетов в формате AppImage;
• Реализована возможность расшифровки DTLS и TLS из файлов pcapng, включающих блок DSB (Decryption Secrets Block) c захваченными ключами (TLS Key Log);
• В утилиту editcap добавлена опция "--inject-secrets" для прикрепления файла с захваченными ключами (TLS Key Log) к файлу pcapng;
• В dfilter добавлена функция string() для преобразования нестроковых полей в строки для последующего использования в функциях сопоставления;
• Добавлены переводы интерфейса для русского и украинского языков;
• Сборки для Windows теперь поставляются с Npcap вместо WinPcap. Версия для macOS теперь может работать только в выпусках 10.12+;
• Добавлена поддержка декодирования формата Ruby Marshal, используемого для сериализации объектов;
• Добавлена поддержка захвата данных, передаваемых через AUX-канал интерфейса DisplayPort;
• Добавлена поддержка извлечения данных из форматов PEM (RFC 7468) и файлов экспорта systemd Journal;
• Обеспечена поддержка новых протоколов:
• Apple Wireless Direct Link (AWDL),
• Basic Transport Protocol (BTP),
• BLIP Couchbase Mobile (BLIP),
• CDMA 2000,
• Circuit Emulation Service over Ethernet (CESoETH),
• Cisco Meraki Discovery Protocol (MDP),
• Distributed Ruby (DRb),
• DXL,
• E1AP (5G),
• EVS (3GPP TS 26.445 A.2 EVS RTP),
• Exablaze trailers,
• General Circuit Services Notification Application Protocol (GCSNA),
• GeoNetworking (GeoNw),
• GLOW Lawo Emberplus Data,
• Great Britain Companion Specification (GBCS),
• GSM-R (User-to-User Information Element usage),
• HI3CCLinkData, Intelligent Transport Systems (ITS),
• ISO 13400-2 Diagnostic communication over Internet Protocol (DoIP),
• ITU-t X.696 Octet Encoding Rules (OER),
• Local Number Portability Database Query Protocol (ANSI),
• MsgPack,
• NGAP (5G),
• NR (5G)
• PDCP,
• Osmocom Generic Subscriber Update Protocol (GSUP),
• PCOM,
• PKCS#10 (RFC2986 Certification Request Syntax),
• PROXY (v2),
• S101 Lawo Emberplus,
• Secure Reliable Transport Protocol (SRT),
• Spirent Test Center Signature (STCSIG),
• TeamSpeak 3 DNS,
• TPM 2.0,
• Ubiquiti Discovery Protocol (UBDP),
• WireGuard,
• XnAP (5G).