LINUX.ORG.RU

Wireshark 1.2.0

 , , ,


0

0

Вышла новая стабильная версия Wireshark - многофункционального снифера и анализатора сетевых протоколов (ранее известного как Ethereal).

Изменения в новой версии:

  • Автодополнение при вводе фильтров
  • Инсталлятор под 64х-разрядную версию Windows
  • Добавлена поддержка разрешения DNS-имён с помощью библиотеки c-ares
  • Добавлена поддержка разбора многих новых протоколов, а так же форматов файлов с перехваченными пакетами
  • Улучшена поддержка Mac OS X
  • Поиск в базе данных GeoIP и интеграция OpenStreetMap с GeoIP
  • Улучшен вывод на печать в формате Postscript
  • Код для работы с настройками теперь лучше реагирует на изменения
  • Поддержка Pcap-ng - нового формата файлов для хранения перехваченных пакетов
  • Поддержка получения информации о процессах через IPFIX
  • Размеры столбцов теперь сохраняются
  • Последний используемый профиль конфигурации теперь сохраняется
  • Настройки протоколов теперь можно изменить из контекстного меню пакета
  • Поддержка сравнения IP-пакетов
  • Capinfo теперь показывает среднюю скорость прохождения пакетов

Полный список изменений: 1.2.0 release notes

Скачать: исходники.tar.bz2

>>> Подробности

Deleted

Проверено: boombick ()

>Инсталлятор под 64х-разрядную версию Windows

Очень важное улучшение.

splinter ★★★★★
()

GTK1 is no longer supported. (Yes, this is a feature.)
:-)

hizel ★★★★★
()

Отличная тулза! Кто-нибудт имел опыт написания к нему правил для разбора какогонибудь неизвестного (самодельного) протокола?

ierton ★★
()
Ответ на: комментарий от ierton

Подвтерждайте уже новость. А то RSS не отображает её 8^)

MrJinxed
()
Ответ на: комментарий от ierton

> Кто-нибудт имел опыт написания к нему правил для разбора какогонибудь неизвестного (самодельного) протокола?

man tcpdump, вроде бы.

nfubh
()
Ответ на: комментарий от ierton

> Кто-нибудт имел опыт написания к нему правил для разбора какогонибудь неизвестного (самодельного) протокола?

Да, я как-то раз писал свой плагин (на базе наковырянного в сырцах). Та еще забава.

Релиз радует, хочу портфайл, ибо у меня GTK+ в портах собран без участия X11 :)

Farcaller ★★
()

тихо и незаметно.... класс обожаю эту программу.

programmist
()

Где пожно почитать статьи про Wireshark на русском? (меня забанили на гугле и яндексе, и на других поисковиках :( )

lu
()
Ответ на: комментарий от smh

Круто! Радует New Protocol Support в каждом релизе.

>Anything in Anything Protocol, ATM PW, N-to-one Cell Mode, B.A.T.M.A.N. Layer 3 Protocol

Есть, оказывается, и такие протоколы :)

seeman
()
Ответ на: комментарий от madcore

> Боян, ебилд еще вчера обновился.

Не джентой единой!

Deleted
()
Ответ на: комментарий от Farcaller

> > Кто-нибудт имел опыт написания к нему правил для разбора какогонибудь неизвестного (самодельного) протокола?

> Да, я как-то раз писал свой плагин (на базе наковырянного в сырцах). Та еще забава.

Значит, никакого "внешнего" разборщика нет?

ierton ★★
()
Ответ на: комментарий от ierton

в каком смысле?
можно писать разборщики пакетов на Си и на Пистоне(не для виндовса)
мануалы есть на официальном сайте

hizel ★★★★★
()
Ответ на: комментарий от ierton

> Отличная тулза! Кто-нибудт имел опыт написания к нему правил для разбора какогонибудь неизвестного (самодельного) протокола?
фиксил баи в rsvp dissector

val-amart ★★★★★
()
Ответ на: комментарий от seeman

> Было бы еще здорово, если бы они к нему editor прикрутили. Ну и генератор. Вообще бы цены не было.
о да, это единственное чего ему не хватает. scapy конечно рулит, но хотелось бы прямо из вайршарка, отредактировал - и послал.

хотя, еще privilage separation не помешал бы.

val-amart ★★★★★
()
Ответ на: комментарий от asciiz

> http://www.linux.org.ru/jump-message.jsp?msgid=2626626&cid=2628143

> Кто-нибудь может прокомментировать мой старый пост? 1МБит - это ведь очень-очень мало...


Фокус в том, что вайршарк может анализировать пакеты с учётом предыдущих, так что для нормальной работы ему приходится хранить всю историю пакетов, причём в распарсенном виде. Это конечно можно оптимизировать, но сильно лучше вряд-ли будет.

> Кто-нить может поделиться своим опытом использования этой программы, за исключением баловства и хоумнетов?


"за исключением баловства и хоумнетов" - что именно подразумевается? Очевидно, что wireshark не предназначен для переваривания гигабайтных дампов.

Deleted
()
Ответ на: комментарий от kto_tama

> как отфильтровать трафик по портам ?

tcp.port==XX udp.port==XX

DELIRIUM ☆☆☆☆☆
()

Отличная программа, но она уже научилась ловить пакеты не из-под рута?

d_a ★★★★★
()
Ответ на: комментарий от d_a

> Отличная программа, но она уже научилась ловить пакеты не из-под рута?

Давно. Там ловлей пакетов занимается отдельный маленький suid'ный демон. А анализатор с мордой работают с правами пользователя.

Deleted
()

Вот за http://c-ares.haxx.se/ спасибо - бум знать. :) А то асинхронный днс запрос только в биндовых либах приходилось видеть...

Bohtvaroh ★★★★
()

>Поиск в базе данных GeoIP и интеграция OpenStreetMap с GeoIP

Что-то я не осилил, нафига это?

dmitry_kuzmenko
()
Ответ на: комментарий от asciiz

>Кто-нибудь может прокомментировать мой старый пост?

обычный лепет дебила, который вывалил в анализатор протокола кучу мусора, чтобы посмотреть объем трафика. Маладец.

Ты, наверное, когда хочешь узнать объем своп-партиции, грузишь ее в опенофис и там смотришь в сводку документа...

AVL2 ★★★★★
()
Ответ на: комментарий от Deleted

> "за исключением баловства и хоумнетов" - что именно подразумевается?

Ну, просто 1МБит канал, грабленный в течение такого маленького промежутка времени, по моему скромному мнению - это неимоверно маленькое количество совокупной информации. И если вайршарк так распирает даже от такого количества данных, получается, что его можно использовать либо при очень маленьких потребностях (очень конкретная выборка), либо при очень маленьких возможностях (канал а-ля хоумнет 64КБит/с).

> Очевидно, что wireshark не предназначен для переваривания гигабайтных дампов. Вот это и обидно :) Хотя сами дампы, кстати, там были даже не гигабайтные.

asciiz
()
Ответ на: комментарий от asciiz

> Ну, просто 1МБит канал, грабленный в течение такого маленького промежутка времени, по моему скромному мнению - это неимоверно маленькое количество совокупной информации.

Как я уже писал, вайршарк распарсивает эти данные, раскладывает по внутренним структурам, ищет последовательности и т.п. Да даже банально определяет DNS-имена по IP-адресам, уже от этого растёт потребление памяти.

> И если вайршарк так распирает даже от такого количества данных, получается, что его можно использовать либо при очень маленьких потребностях (очень конкретная выборка), либо при очень маленьких возможностях (канал а-ля хоумнет 64КБит/с).


Это _анализатор_ сетевых протоколов. Его можно применять при реверс-инженеринге чужих сетевых протоколов, при отладке своих сетевых приложений, для взлома, для анализа безопасности протоколов и т.п. Для чего в него запихивать _полный_ суточный дамп я даже не представляю.

> Вот это и обидно :) Хотя сами дампы, кстати, там были даже не гигабайтные.


Я уже описал почему его так распирает.

Ты расскажи зачем тебе это нужно и возможно тут тебе скажут как это сделать правильно =).

Deleted
()
Ответ на: комментарий от Deleted

> Это _анализатор_ сетевых протоколов. Его можно применять при реверс-инженеринге чужих сетевых протоколов, при отладке своих сетевых приложений, для взлома, для анализа безопасности протоколов и т.п. Для чего в него запихивать _полный_ суточный дамп я даже не представляю.

Нужна сводная статистика по использованию протоколов 4 и 5 уровня, а также по адресам. Грубо говоря, надо знать, какие протоколы и как часто используются. И с какими адресами какого объема был обмен трафика. Вайршарк позволяет получить эту статистику в очень красивом виде, после чего конкретизировать, группировать, сортировать полученную инфу. Без написания скриптов и прочего) Иными словами, хочется видеть, что интересного произошло на канале за прошедший день. А еще лучше - смотреть в реалтайме :)

> Ты расскажи зачем тебе это нужно и возможно тут тебе скажут как это сделать правильно =). Что-то мне подсказывает, что не подскажут))

asciiz
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.