Вышло обновление Wireshark 4.6 – популярное, бесплатное и кроссплатформенное программное обеспечение для анализа сетевых протоколов с открытым исходным кодом для систем Linux, MacOS и Windows.
Основные моменты Wireshark 4.6 включают в себя новый диалог Plots, который предоставляет диаграммы разброса с поддержкой нескольких графиков, маркеров и автоматической прокрутки, поддержку сжатия данных во время записи, а также поддержку записи полей абсолютного времени в формате ISO 8601 в UTC с помощью -T json.
Кроме того, Wireshark теперь может расшифровывать NTP-пакеты с помощью NTS (Network Time Security), расширяет возможности расшифровки MACsec-пакетов, используя SAK, разворачиваемый диссектором MKA, или PSK, настроенный в диссекторе MACsec, и использует единицы с префиксами SI для осей TCP Stream Graph.
В Linux для захвата можно использовать фильтры захвата, использующие такие расширения BPF, как inbound, outbound и ifindex. Среди прочих изменений: форматы столбцов времени кадров UTC теперь имеют суффикс Z в соответствии с ISO 8601, а базовый тип полей EUI-64 переключен на байты при сопоставлении пакетов.
В пользовательские колонки добавлена новая опция для отображения значений в том же формате, что и в деталях пакета. Кроме того, DNP 3 (Distributed Network Protocol 3) теперь поддерживается в диалогах таблиц Conversations и Endpoints, а файл ethers теперь может содержать сопоставления EUI-64 с именами.
Кроме того, функции Wiresharks Import from Hex Dump и text2pcap теперь поддерживают группы байтов от 2 до 4 байт, диалог GUI Export Dissections Dialog может выводить необработанные шестнадцатеричные байты данных кадра для каждого поля с экспортом или без экспорта значений полей, а Lua API теперь поддерживает функции симметричного шифра Libgcrypt.
Кроме того, Wireshark 4.6 добавляет в диалоговые окна Conversations и Endpoints возможность отображения количества байтов и битрейтов в точных значениях вместо человекочитаемых чисел с единицами СИ, а также новое предпочтение -o statistics.output_format для управления форматом вывода некоторых статистических данных TShark.
Временные метки кадров могут быть добавлены в качестве преамбулы к шестнадцатеричным дампам из диалогов Print и Export Packet Dissection, список пакетов и список событий больше не поддерживают строки с несколькими строками, Follow Stream поддерживается для PID транспортных потоков MPEG 2, а HTTP2-отслеживание сессий 3GPP через 5G теперь доступно опционально.
Начиная с этого выпуска, Wireshark больше не поддерживает AirPcap и WinPcap, а также версии 1 и 2 библиотеки Netlink Protocol Library Suite (libnl). В Wireshark 4.6 появилась поддержка декодирования форматов Resource Interchange File Format (RIFF) и TTL File Format.
Среди новых протоколов, поддерживаемых Wireshark 4.6, – пакеты асимметричных ключей (AKP), двоичный HTTP, протокол BIST TotalView-ITCH (BIST-ITCH), протокол BIST TotalView-OUCH (BIST-OUCH), Bluetooth Android HCI (HCI ANDROID), Bluetooth Intel HCI (HCI INTEL), BPSec COSE Context, BPSec Default SC и Commsignia Capture Protocol (C2P).
Список новых поддерживаемых протоколов продолжают DECT NR (DECT-2020 New Radio), DLMS/COSEM, Ephemeral Diffie-Hellman Over COSE, Identifier-Locator Network Protocol (ILNP), LDA Neo Device trailer (LDA_NEO_TRAILER), Lenbrook Service Discovery Protocol (LSDP), LLC V1, и vSomeIP Internal Protocol (vSomeIP).
Кроме того, Wireshark теперь поддерживает протоколы Navitrol, Network Time Security Key Establishment Protocol (NTS-KE), Ouster VLP-16, Private Line Emulation (PLE), RC V3, RCG, Roughtime, SBAS L5 Navigation Message и SGP.22 GSMA Remote SIM Provisioning (SGP.22).
Наконец, протоколы SICK CoLA ASCII и CoLA Binary, Silabs Debug Channel, Universal Measurement and Calibration Protocol (XCP), USB Picture Transfer Protocol (USB-PTP), VLP-16 Data and Position messaging и SGP.32 GSMA Remote SIM Provisioning (SGP.32) вновь поддерживаются в Wireshark 4.6.
Более подробную информацию об изменениях в Wireshark 4.6 можно найти в примечаниях к выпуску, который можно загрузить в виде тарбола с исходным кодом с официального сайта, если вы любите компилировать из исходников. Вы также можете установить Wireshark как приложение Flatpak из Flathub.