こんにちは。いけりりネットワークサービス竹下恵です。
年明けのWireshark3に向けてWireshark2.9が登場しました。
一般リリースのWireshark3へ向けての主な変更点は以下になります
1:ついになのですがGTKが完全に排除されて、QTフレームワークによる提供一本になります。
これは2でインストールがデフォルトオフになっていたGTKがついになくなります
QTはきれいな画面、PDFサポート、もちろん日本語もOKとメリットいっぱいです。
QT5.2になったので多言語バグもなおって日本語もきれいにでるようになりました!
2:Wiresharkのダイセクタを外部アプリで使う方に超すごい便利に!
tsharkに-Gオプションがついて、Elastic searchでのマッピングがつきます!
これまでも-eオプションで必要なダイセクタだけ出していましたが、ユーザが
カスタムした形のElasticSearchのマッピングファイルを付けられます!
これでビックデータのキャプチャシステムがさらにハッカドール!
3:Windowsでのキャプチャドライバがnpcapに入れ替わります
CACE社時代から使われてきたWinPcapに代わって、新しいNDISで作られたnpcapが
同梱されます。npcapはnmapプロジェクトで提供されているキャプチャドライバで
新しいNDISでの設計、ループバックアダプタ(127.0.0.1)がキャプチャできる、
一部限定的ですがWindowsで無線LANのフレームを表示できるなどメリット多数です
https://nmap.org/npcap/
4:TCPのダイセクタに「順番通りでないセグメントを再組立て」が追加されます!超便利!
これはTCPのパケットが並んでなくても再組立てをしてくれるもので、いままで
TCPの問題で特に上位層の暗号化やダイセクタがうまく動いてくれない問題が解決すると思われます。
5:UDPとUDP-Liteプロトコルの対話に時刻がつく!これも超便利!
UDPベースの上位プロトコルの追いかけをする際に対話内の時刻がつきます!これは便利で
今後増えていくUDP準拠のプロトコルのデコードに役立ちます!列にしてもよいかも。
6:各メニューの設定項目のプロファイル間のコピーができるようになった!超便利!
複数設定プロファイルでのWireshark運用をされている方には朗報です!
ごく普通に、色分けルール、フィルタボタン、プロトコル設定を別のプロファイルから
持ってきたいなあっていう状況に簡単に対応できます!
7:sshdumpとciscodumpとextcapインタフェースがWindowsでも普通に
ssh経由のプロキシを使うことができます。これはLinuxなどではパイプなどを使ったり
工夫してやってきたことなのですが、Windows環境では便利になると思います。
8:dumpcapの停止条件、次ファイル条件にパケット数が追加
-a packets:停止パケット数 -b:packets:次ファイルを作るパケット数 みたいにして使います。
パケット数ごとにキャプチャファイルを作るのでeditcapいらず!
9:ダイセクタ名の変更とか、Wireguardのデクリプトとか
ついに普通にssl→tls bootp→dhcpのように表示フィルタをかけていけます。
Wireguardのデクリプトもできるようになっています。
10:多数の新プロトコルとファイル形式のサポート追加、無数のダイセクタ、GLIB他の更新
新プロトコルで気になったところをあげるとApple Wireless Direct Link (AWDL)
CDMA 2000, Cisco Meraki Discovery Protocol (MDP), E1AP (5G),
EVS (3GPP TS 26.445 A.2 EVS RTP), Exablaze trailers, Secure Reliable
Transport Protocol (SRT), Ubiquiti Discovery Protocol (UBDP), WireGuard, XnAP
などの追加はもちろん、多数のダイセクタやライブラリ更新が含まれます
竹下恵@いけりりネットワークサービス http://www.ikeriri.ne.jp/wireshark/
コメント
コメントを書くWireshark 2 -> 3 で何が変わるのかが、よくわかりました。
簡潔にまとまっており、ありがたい情報です。