Wireshark 4.0.0 は約束通り登場しました。これらの新機能はあまりにもタイムリーです。

開発 2023-08-01 19:48:55 訪問数: null

タイトルの通り: Wireshark 4.0.0 が登場しました!

Wiresharkとは何ですか?

Wireshark は世界で最も人気のあるネットワーク プロトコル分析ツール (一般に「パケット キャプチャ ツール」と呼ばれます) であり、主にトラブルシューティング、分析、開発に使用されます。

最近、Wireshark バージョン 4.0.0 がリリースされました。以前のバージョンと比較して、4.0.0 にはさらに多くの機能が更新されており、主に次の点が反映されています。

  • 公式の 32 ビット Windows パッケージは提供されなくなりました。
  • 表示フィルター構文はより強力になり、多くの新しい拡張機能が追加されました。
  • 会話とエンドポイントのダイアログが再設計されました。
  • デフォルトのメイン ウィンドウのレイアウトが変更され、パケット リスト ペインの下にパケット詳細とパケット バイトが並べて表示されます。
  • Wireshark および text2pcap からの 16 進ダンプのインポートが改善されました。
  • MaxMind Geolocation を使用する際の速度が大幅に向上しました。
  • Wireshark の構築に必要なツールとライブラリが変更されました。
  • 他にも多くの改良が加えられました。

以下で詳しく見てみましょう。

Wireshark 4.0.0 の新機能と更新された機能

次の機能は、4.0.0rc1 リリース以降の新機能 (または大幅に更新されました) です。

  • macOS パッケージは現在 Qt 6.2.4 で出荷されており、macOS 10.14 が必要ですが、以前は Qt 5.15.3 でリリースされていました。
  • Windows インストーラーには、以前は Npcap 1.70 が付属していましたが、現在は Npcap 1.71 が付属しています。

次の機能は、バージョン 3.7.2 以降の新機能 (または大幅に更新されました) です。

  • Windows インストーラーは Npcap 1.70 に同梱されるようになりました。以前は Npcap 1.60 が同梱されていました。

次の機能は、バージョン 3.7.1 以降の新機能 (または大幅に更新されました) です。

  • 'v' (小文字) および 'V' (大文字) スイッチは、他のコマンド ライン ユーティリティと一致するように editcap および mergecap に置き換えられました。
  • ip.flags フィールドには全バイトではなく上位 3 ビットのみが含まれるようになり、このフィールドを使用する表示フィルターと色付けルールを調整する必要があります。
  • 新しいアドレス タイプ AT_NUMERIC では、AT_STRINGZ のような、より一般的なアドレス指定方法を持たないプロトコルに単純な数値アドレスを使用できます。

次の機能は、バージョン 3.7.0 以降の新機能 (または大幅に更新されました) です。

  • Windows インストーラーは、以前は Qt 6.2.4 でリリースされていましたが、現在は Qt 6.2.3 に同梱されています。
  • ダイアログとエンドポイント ダイアログが再設計され、次の改善が加えられました。
    • コンテキスト メニューには、すべての列のサイズを変更し、要素を複製するオプションが含まれるようになりました。
    • データはJSONとしてエクスポートできます。
    • タブはダイアログから取り外したり再接続したりできます。
    • タブを追加または削除すると、タブは常に同じ順序に保たれます。
    • フィルタが適用されると、どちらのダイアログにも 2 つの列が表示され、一致しないパケットと一致するパケットの違いが詳しく説明されます。
    • 同一のエントリが見つかった場合、列は補助属性によってソートされるようになりました。
    • 会話は、2 番目にアドレス、最初にポート番号によってソートされます。
    • エンドポイントはポート番号によって並べ替えられます。
    • IPv6 アドレスは、IPv4 アドレスの後に正しくソートされます。
    • ダイアログ要素は、新しいユーザーが扱いやすいように移動されました。
    • クリックされた要素の選択はリストを通じて行われます。
    • すべての設定とオプションは、左側のボタンの列を通じて実行されます。
    • ダイアログとエンドポイント ダイアログの列は、コンテキスト メニューから非表示にすることができます。
    • TCP および UDP 会話にフロー ID が含まれるようになり、それに対するフィルタリングが可能になりました。

次の機能は、バージョン 3.6.0 以降の新機能 (または大幅に更新されました) です。

  • Windows インストーラーには、以前は Npcap 1.55 が付属していましたが、現在は Npcap 1.60 が付属しています。
  • Windows インストーラーは、以前は Qt 5.12.2 でリリースされていましたが、現在は Qt 6.2.4 に同梱されています。
  • 表示フィルターの構文が更新され、強化されました。
    • プロトコル スタックの特定のレイヤーに一致する構文を追加しました。たとえば、IP-over-IP パケットでは、「ip.addr#1 == 1.1.1.1」が外側のレイヤー アドレス「ip.addr#2 ==」に一致します。 1.1.1.2" は内部アドレスと一致します。
    • 一般的な量指定子「any」および「all」が任意の関係演算子に追加されました。たとえば、「all tcp.port > 1024」という式は、すべての tcp.port フィールドが条件に一致する場合にのみ true になります。以前は、フィールドのいずれかが一致した場合にのみ true を返すデフォルトの動作がサポートされていました。
    • ${some.field} 形式のフィールド参照は、以前はマクロとして実装されていましたが、表示フィルター構文の一部になりました。新しい実装はより効率的で、複数の値を照合するための量指定子の使用やレイヤー フィルタリングのサポートなど、プロトコル フィールドと同じプロパティを備えています。
    • 数値フィールドでは、通常の演算子「+」、「-」、「*」、「/」、「%」を使用した算術演算がサポートされています。算術式は (括弧ではなく) 中括弧を使用してグループ化する必要があります。
    • 新しい表示フィルター関数 max()、min()、および abs() が追加されました。
    • 関数は、他の関数も含めて、式を引数として受け入れることができます。以前は、プロトコル フィールドとスライスのみが構文的に有効な関数引数でした。
    • 識別子のリテラルを明確にするための新しい構文が追加されました。先頭にドットが付いた各値は、プロトコルまたはプロトコル フィールドです。山かっこ内の各値はリテラル値です。
    • 「ビットごとの AND」演算子は、ブール演算子ではなく、第一級のビットごとの演算子になりました。特に、これはビットをマスクできることを意味します (例:frame[0] & 0x0F == 3)。
    • 日付と時刻は、ISO 8601 (「Z」タイムゾーン付き) を使用するか、古い形式に接尾辞「UTC」を追加することによって UTC で指定できます。それ以外の場合は、現地時間が使用されます。
    • 整数リテラルは、接頭辞 "0b" または "0B" を使用して 2 進数 (10 進数/8 進数/16 進数を除く) で記述することができます。
    • ほとんどのプログラミング言語と同様に、論理 AND が論理 OR よりも優先されるようになりました。
    • 負のインデックスを使用して、プロトコル フィールドに最後からインデックスを付けることができるようになりました。たとえば、次の式は、TCP プロトコル フィールドの最後の 2 バイトをテストします: tcp[-2:] == AA:BB。これは長年のバグであり、このリリースで修正されました。
    • コレクション要素はカンマで区切る必要があります (例: {1, 2, "foo"})。区切り文字としてスペースのみを使用することは 3.6 で非推奨となり、現在は構文エラーとなります。
    • 8 進数 (<number>) および 16 進数 (\x<number>) エンコーディングに加えて、二重引用符で囲まれた文字列内のいくつかの追加文字エスケープ シーケンス、次の C エスケープ シーケンス: \a、\b、\f、\ のサポートが追加されました。 n、\r、\t、\v。以前は文字定数のみをサポートしていました。
    • Unicode ユニバーサル文字名が、エスケープ シーケンス \uNNNN または \UNNNNNNNNN でサポートされるようになりました。N は 16 進数です。
    • 認識されないエスケープ シーケンスは構文エラーとして扱われるようになりました。以前は、これらはリテラル文字として扱われていました。上記のシーケンスに加えて、バックスラッシュ、一重引用符、および二重引用符も有効なシーケンスです: \、'、"。
    • 新しい厳密等価演算子「===」または「all_eq」を追加しました。式「a === b」は、すべての a が b に等しい場合にのみ true になります。「===」の否定は「!== (any_ne)」と書けるようになりました。
    • 「==」には「any_eq」、「!=」には「all_ne」というエイリアスが追加されました。
    • 演算子「~=」は非推奨であり、将来のリリースでは削除される予定です。同じ意味の「!==」を使用します。
    • 浮動小数点数は、先頭と末尾の数字を付けて記述する必要があります。たとえば、値「.7」と「7」です。現在は float として無効です。それぞれ「0.7」と「7.0」と記述する必要があります。
    • 表示フィルター エンジンは、GRegex (古い廃止された PCRE ライブラリへの GLib バインディング) の代わりに PCRE2 を使用するようになりました。PCRE2 は PCRE と互換性があるため、ユーザーに見える変更は最小限にする必要があります。一部のエキゾチック モードは無効になる可能性があるため、書き直す必要があります。
    • リテラル文字列は、埋め込まれた null バイト (値 '\0') を正しく処理します。これには正規表現パターンが含まれます。たとえば、二重引用符で囲まれた文字列「\0 は null バイトです」は正当なリテラル値です。これはバイト パターンを照合する場合に便利ですが、通常は文字列型を持つプロトコル フィールドには埋め込み null バイトを含めることはできないことに注意してください。
    • ブール値は True/TRUE または False/FALSE として書き込むことができます。以前は、1 または 0 としてのみ書き込むことができました。
    • スライスの存在をテストできるようになりました。
    • すべての整数サイズに互換性があるようになりました。オーバーフローが発生しない限り、任意の整数フィールドを他のフィールドと比較できます。
  • コマンドと「 text2pcap 16 進ダンプからインポート」機能が更新され、強化されました。
    • text2pcap -F および と 同じオプションを使用して、盗聴ライブラリでサポートされているすべてのキャプチャ ファイル形式での出力ファイルの書き込みをサポートします 。 editcap``mergecap``tshark
    • Wireshark の他のコマンド ライン ツール (例 editcap mergecap tshark ) および「16 進ダンプからインポート」オプションと一致して、デフォルトのキャプチャ ファイル形式は pcapng に text2pcap なりました 以前のデフォルトの pcap の代わりにpcapng を選択する フラグは非推奨となり、将来のリリースでは削除される予定です。 -n
    • text2pcap -E のような 盗聴ライブラリの短縮名とオプションを使用して、出力ファイル形式のパッケージ タイプを選択するサポート 。 -T``editcap
    • text2pcap 新しいログ出力オプションを使用するように更新され、 -d フラグが削除されました。「デバッグ」ログ レベルは古い -d フラグに対応し、「ノイズ」ログ レベルは -d 複数の使用に対応します。
    • text2pcap 「16 進ダンプからのインポート」では、生の IP、生の IPv4、生の IPv6 カプセル化、および以前のバージョンで利用可能なイーサネット カプセル化を使用して、偽の IP、TCP、UDP、および SCTP ヘッダーをファイルに書き込むことができます。
    • text2pcap Wireshark 3.6.x の「16 進ダンプからのインポート」でサポートされている、カスタム正規表現を使用した入力ファイルのスキャンのサポート。
    • 基本的には text2pcap Wiresharkの「Import from Hex Dump」と同じ機能です。
  • デフォルトのメイン ウィンドウのレイアウトが変更され、パケットの詳細とパケット バイトがパケット リスト ペインの下に並んで表示されるようになりました。
  • HTTP2 パーサーは、有効期間の長いストリーム (多数の要求または応答メッセージを 1 つの HTTP2 ストリームで送信できる gRPC ストリーム呼び出しなど) の最初の HEADERS フレームなしでキャプチャされたストリームのデータを解析するための偽のヘッダーの使用をサポートするようになりました。ユーザーは、サーバー ポート、ストリーム ID、既存のストリームの方向を使用して偽のヘッダーを指定できます。
  • IEEE 802.11 パーサーは Mesh Connex (MCX) をサポートします。
  • [キャプチャ オプション] ダイアログには、ようこそ画面と同じ構成アイコンが含まれています。ここでインターフェイスを設定できるようになります。
  • 「Extcap」ダイアログは実行時にパスワード入力を記憶するため、毎回パスワードを再入力することなく、extcaps を連続して複数回実行できます。パスワードがディスクに保存されることはありません。
  • tshark extcap パスワードは、および他の CLI ツールで設定 できます 。
  • extcap 構成ダイアログは、空の文字列をサポートし、記憶するようになりました。値をデフォルトにリセットする新しいボタンがあります。
  • Protobuf メッセージの JSON マップを表示するためのサポートが追加されました。
  • macOS デバッグ シンボルは、Windows パッケージと同様に、別のパッケージで提供されるようになりました。
  • ZigBee ZCL メッセージ パーサーでは、zbee_zcl_se.msg.msg_ctrl.depreciated フィールドの名前が zbee_zcl_se.msg.msg_ctrl.deprecated に変更されました。
  • ようこそページのインターフェイスのリストでは、アクティブなインターフェイスが最初に並べ替えられ、アクティブなインターフェイスのスパークラインのみが表示されます。さらに、インターフェイス リストのコンテキスト メニューを使用してインターフェイスを非表示にしたり、表示したりできるようになりました。
  • Event Trace for Windows (ETW) ファイル リーダーは、イベント トレース ログ ファイルまたはイベント トレース ライブ セッションからの IP パケットの表示をサポートするようになりました。
  • ciscodump は、IOS、IOS-XE、および ASA リモート キャプチャをサポートするようになりました。

Wireshark 4.0.0 で削除された機能とサポート

  • DISABLE_something で始まる CMake オプションは、一貫性を保つために ENABLE_something という名前に変更されました。たとえば、DISABLE_WERROR=On は ENABLE_WERROR=Off になります。デフォルトは変更されません。

Wireshark 4.0.0 の新しいプロトコルのサポート

  • アライドテレシス ループ検出 (AT LDF)、
  • AUTOSAR I-PDU マルチプレクサ (AUTOSAR I-PduM)、
  • DTN バンドル プロトコル セキュリティ (BPSec)、
  • DTN バンドル プロトコル バージョン 7 (BPv7)、
  • DTN TCP コンバージェンス レイヤ プロトコル (TCPCL)、
  • DVB 選択情報テーブル (DVB SIT)、
  • 強化された現金取引インターフェイス 10.0 (XTI)、
  • 拡張オーダーブックインターフェイス 10.0 (EOBI)、
  • 拡張取引インターフェイス 10.0 (ETI)、
  • FiveCo のレガシー レジスタ アクセス プロトコル (5co-legacy)、
  • 汎用データ転送プロトコル (GDT)、
  • gRPC Web (gRPC-Web)、
  • ホスト IP 構成プロトコル (HICP)、
  • ファーウェイ GRE ボンディング (GREbond)、
  • 位置情報インターフェースモジュール (IDENT、
  • 校正、サンプル - IM1、
  • サンプル - IM2R0)、
  • メッシュコネックス(MCX)、
  • Microsoft クラスター リモート コントロール プロトコル (RCP)、
  • OCA/AES70 用オープン コントロール プロトコル (OCP.1)、
  • 保護された拡張認証プロトコル (PEAP)、
  • Realtek、REDis シリアル化プロトコル v2 (RESP)、
  • ルーンディスカバリー(ルーンディスコ)、
  • セキュア ファイル転送プロトコル (sftp)、
  • セキュア ホスト IP 構成プロトコル (SHICP)、
  • SSH ファイル転送プロトコル (SFTP)、
  • USB接続SCSI (UASP)、
  • ZBOSS ネットワーク コプロセッサ製品 (ZB NCP)

Wireshark 4.0.0 の主要な API 変更点

  • proto.h: フィールド表示タイプ「STR_ASCII」および「STR_UNICODE」が削除されました。代わりに「BASE_NONE」を使用してください。
  • proto.h: 浮動フィールド表示タイプが拡張され、リファクタリングされました。BASE_FLOAT タイプは削除されました。代わりに BASE_NONE を使用してください。浮動小数点数の新しい表示タイプは、BASE_DEC、BASE_HEX、BASE_EXP、および BASE_CUSTOM です。
  • Wireshark Lua API は、PCRE2 への lrexlib バインディングを使用するようになりました。Lua GRegex モジュールを使用するコードは、lrexlib-pcre2 を使用するように更新する必要があります。ほとんどの場合、API には互換性があり、変換にはモジュール名の変更のみが必要です。
  • タップ登録システムが更新され、tap_packet_cb のパラメーター リストが変更されました。register_tap_listener 経由で登録されたすべてのタップを更新する必要があります。

Wireshark 4.0.0 ダウンロード

公式サイトのダウンロードアドレス:

https://www.wireshark.org/download.html

興奮するよりも行動することをお勧めします。できるだけ早くダウンロードしてプレイしてください。

すでにバージョン 3 をインストールしているユーザーはオンライン更新を選択でき、更新速度は非常に高速です。

しばらく待ちます。4.0.0 に正常に更新されました。

いいね!

おすすめ

転載: blog.csdn.net/weixin_43025343/article/details/132032677
おすすめ
ランキング
Oracleのクエリ重複フィールド
An error occurred when ssm used count to query data
【Leyes de la Naturaleza】La sabiduría de las multitudes
JavaWebの研究では、(13)を締結 - セッションの使用は、重複送信フォームを防ぎます
Firebase増加サインアップクォータ
[MyBatisフレームワーク]mybatis入門
ハートレスの世界
Djangoのインストールと使用について
[转] UiPath展開アーキテクチャ
mybatis-plusは楽観的なロック変更を使用します
アーカイブ
もっと
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)

コードワールド

© 2018 codetd.com