如果您曾经使用Wireshark挖掘过网络流量,您就知道即使是小的升级是多么重要。在4.6.0版本中,开源网络协议分析器背后的团队增加了许多功能,这些功能可以改变您分析流量、解码协议和跨平台处理捕获的方式。
Mac和Windows用户获得显著的升级
4.6.0版本引入了一些特定于平台的改进,使日常数据包工作更轻松。在macOS上,Wireshark现在可以剖析tcpdump提供的进程信息、数据包元資料、流ID和drop数据。Windows用户获得更新的依赖项:Npcap 1.83取代了1.79,Qt框架跳转到6.9.3,以获得更好的性能和兼容性。
macOS安装程序现在是英特尔和苹果硅的单一通用软件包,减少了对获取哪个版本的困惑。与此同时,对WinPcap和AirPcap等旧版Windows捕获驱动程序的支持已被删除,将用户转向积极维护的较新的驱动程序堆栈。
捕获数据变得更顺畅
对于那些依赖实时捕获的人来说,更新可以在写入磁盘时压缩流量。以前,只有当Wireshark在长时间捕获期间旋转到新文件时,压缩才有效。对于收集大型数据集的分析师来说,这种微小的变化可以带来改变。
JSON和其他机器可读输出中的时间戳现在总是以ISO 8601 UTC格式编写。这听起来可能微不足道,但它有助于消除日志中不匹配或模棱两可的时间,这可能会在调查期间造成真正的混乱。
自定义列也得到了改进。用户可以以与“数据包详细信息”面板相同的格式显示数据,并且数字列现在按数字而不是按字母顺序排序。
加密和新兴协议的更深入的解码
Wireshark的优势一直是其广泛支持的协议,4.6.0扩展了更广泛的范围。它现在可以使用网络时间安全解密NTP数据包,这是任何对时间同步进行故障排除的人都欢迎的功能。MACsec解密也得到了扩展,支持MKA剖析器或通过预共享密钥列表展开的安全关联密钥。
该版本还增加了对新的和不断发展的格式的支持,包括RIFF、TTL文件、二进制HTTP、DECT-2020(新无线电)和GSMA远程SIM卡配置。这些新增功能使Wireshark更适合将传统IP网络与电信或物联网流量混合的环境。
节省时间的界面调整
Wireshark 4.6.0为那些在包裹痕迹中花费数小时的人带来了新的生活质量。一个新的“图”对话框取代了旧的I/O图形工具,为用户提供了散点图、多个图视图和自动滚动以进行实时更新。数据包列表现在可以复制为格式整齐的HTML,这简化了在报告或文档中共享结果。
主题控制也得到了改进。在Windows和macOS上,用户可以独立于系统默认设置配色方案,前提是Wireshark是使用Qt 6.8或更高版本构建的。Linux用户获得了对伯克利数据包过滤器扩展的更广泛支持,如“入站”、“出站”和“ifindex”,这些扩展以前被拒绝。
放弃遗留组件
作为更广泛清理的一部分,Wireshark已经淘汰了其代码和构建系统的一些旧部分。除了删除WinPcap和AirPcap外,对libnl库早期版本的支持已经结束。CMake选项ENABLE_STATIC也被弃用,支持BUILD_SHARED_LIBS。这些变化旨在简化构建,并将注意力集中在活动组件上。
版本4.6.0现在可用于Windows、macOS和Linux。在升级之前,用户应确认他们的捕获驱动程序和脚本是否与新的格式和依赖项保持一致。
消息来源:helpnetsecurity, 翻译整理:安全114;
转摘注明出处 :www.anquan114.com
暂无评论内容