LINUX.ORG.RU

Wireshark 1.2.0

 , , ,


0

0

Вышла новая стабильная версия Wireshark - многофункционального снифера и анализатора сетевых протоколов (ранее известного как Ethereal).

Изменения в новой версии:

  • Автодополнение при вводе фильтров
  • Инсталлятор под 64х-разрядную версию Windows
  • Добавлена поддержка разрешения DNS-имён с помощью библиотеки c-ares
  • Добавлена поддержка разбора многих новых протоколов, а так же форматов файлов с перехваченными пакетами
  • Улучшена поддержка Mac OS X
  • Поиск в базе данных GeoIP и интеграция OpenStreetMap с GeoIP
  • Улучшен вывод на печать в формате Postscript
  • Код для работы с настройками теперь лучше реагирует на изменения
  • Поддержка Pcap-ng - нового формата файлов для хранения перехваченных пакетов
  • Поддержка получения информации о процессах через IPFIX
  • Размеры столбцов теперь сохраняются
  • Последний используемый профиль конфигурации теперь сохраняется
  • Настройки протоколов теперь можно изменить из контекстного меню пакета
  • Поддержка сравнения IP-пакетов
  • Capinfo теперь показывает среднюю скорость прохождения пакетов

Полный список изменений: 1.2.0 release notes

Скачать: исходники.tar.bz2

>>> Подробности

Re: Wireshark 1.2.0

>Инсталлятор под 64х-разрядную версию Windows

Очень важное улучшение.

splinter ★★★★★ ()

Re: Wireshark 1.2.0

GTK1 is no longer supported. (Yes, this is a feature.)
:-)

hizel ★★★★★ ()

Re: Wireshark 1.2.0

Отличная тулза! Кто-нибудт имел опыт написания к нему правил для разбора какогонибудь неизвестного (самодельного) протокола?

ierton ★★ ()
Ответ на: Re: Wireshark 1.2.0 от ierton

Re: Wireshark 1.2.0

Подвтерждайте уже новость. А то RSS не отображает её 8^)

MrJinxed ()
Ответ на: Re: Wireshark 1.2.0 от ierton

Re: Wireshark 1.2.0

> Кто-нибудт имел опыт написания к нему правил для разбора какогонибудь неизвестного (самодельного) протокола?

man tcpdump, вроде бы.

nfubh ()

Re: Wireshark 1.2.0

Что-то я отстал от жизни, уже 1.2 версия. :-)

smh ★★★ ()
Ответ на: Re: Wireshark 1.2.0 от ierton

Re: Wireshark 1.2.0

> Кто-нибудт имел опыт написания к нему правил для разбора какогонибудь неизвестного (самодельного) протокола?

Да, я как-то раз писал свой плагин (на базе наковырянного в сырцах). Та еще забава.

Релиз радует, хочу портфайл, ибо у меня GTK+ в портах собран без участия X11 :)

Farcaller ★★ ()

Re: Wireshark 1.2.0

тихо и незаметно.... класс обожаю эту программу.

programmist ()

Re: Wireshark 1.2.0

Где пожно почитать статьи про Wireshark на русском? (меня забанили на гугле и яндексе, и на других поисковиках :( )

lu ()
Ответ на: Re: Wireshark 1.2.0 от smh

Re: Wireshark 1.2.0

Круто! Радует New Protocol Support в каждом релизе.

>Anything in Anything Protocol, ATM PW, N-to-one Cell Mode, B.A.T.M.A.N. Layer 3 Protocol

Есть, оказывается, и такие протоколы :)

seeman ()

Re: Wireshark 1.2.0

Боян, ебилд еще вчера обновился.

madcore ★★★★★ ()
Ответ на: Re: Wireshark 1.2.0 от madcore

Re: Wireshark 1.2.0

> Боян, ебилд еще вчера обновился.

Не джентой единой!

mironov_ivan ★★★★★ ()
Ответ на: Re: Wireshark 1.2.0 от Farcaller

Re: Wireshark 1.2.0

> > Кто-нибудт имел опыт написания к нему правил для разбора какогонибудь неизвестного (самодельного) протокола?

> Да, я как-то раз писал свой плагин (на базе наковырянного в сырцах). Та еще забава.

Значит, никакого "внешнего" разборщика нет?

ierton ★★ ()
Ответ на: Re: Wireshark 1.2.0 от ierton

Re: Wireshark 1.2.0

в каком смысле?
можно писать разборщики пакетов на Си и на Пистоне(не для виндовса)
мануалы есть на официальном сайте

hizel ★★★★★ ()
Ответ на: Re: Wireshark 1.2.0 от ierton

Re: Wireshark 1.2.0

Было бы еще здорово, если бы они к нему editor прикрутили. Ну и генератор. Вообще бы цены не было.

seeman ()
Ответ на: Re: Wireshark 1.2.0 от ierton

Re: Wireshark 1.2.0

> Отличная тулза! Кто-нибудт имел опыт написания к нему правил для разбора какогонибудь неизвестного (самодельного) протокола?
фиксил баи в rsvp dissector

val-amart ★★★★★ ()
Ответ на: Re: Wireshark 1.2.0 от seeman

Re: Wireshark 1.2.0

> Было бы еще здорово, если бы они к нему editor прикрутили. Ну и генератор. Вообще бы цены не было.
о да, это единственное чего ему не хватает. scapy конечно рулит, но хотелось бы прямо из вайршарка, отредактировал - и послал.

хотя, еще privilage separation не помешал бы.

val-amart ★★★★★ ()

Re: Wireshark 1.2.0

http://www.linux.org.ru/jump-message.jsp?msgid=2626626&cid=2628143

Кто-нибудь может прокомментировать мой старый пост? 1МБит - это ведь очень-очень мало... Кто-нить может поделиться своим опытом использования этой программы, за исключением баловства и хоумнетов?

asciiz ()
Ответ на: Re: Wireshark 1.2.0 от asciiz

Re: Wireshark 1.2.0

> http://www.linux.org.ru/jump-message.jsp?msgid=2626626&cid=2628143

> Кто-нибудь может прокомментировать мой старый пост? 1МБит - это ведь очень-очень мало...


Фокус в том, что вайршарк может анализировать пакеты с учётом предыдущих, так что для нормальной работы ему приходится хранить всю историю пакетов, причём в распарсенном виде. Это конечно можно оптимизировать, но сильно лучше вряд-ли будет.

> Кто-нить может поделиться своим опытом использования этой программы, за исключением баловства и хоумнетов?


"за исключением баловства и хоумнетов" - что именно подразумевается? Очевидно, что wireshark не предназначен для переваривания гигабайтных дампов.

mironov_ivan ★★★★★ ()

Re: Wireshark 1.2.0

как отфильтровать трафик по портам ?

kto_tama ★★★★★ ()
Ответ на: Re: Wireshark 1.2.0 от kto_tama

Re: Wireshark 1.2.0

> как отфильтровать трафик по портам ?

tcp.port==XX udp.port==XX

DELIRIUM ★★★★★ ()

Re: Wireshark 1.2.0

Отличная программа, но она уже научилась ловить пакеты не из-под рута?

d_a ★★★★★ ()
Ответ на: Re: Wireshark 1.2.0 от d_a

Re: Wireshark 1.2.0

> Отличная программа, но она уже научилась ловить пакеты не из-под рута?

Давно. Там ловлей пакетов занимается отдельный маленький suid'ный демон. А анализатор с мордой работают с правами пользователя.

mironov_ivan ★★★★★ ()

Re: Wireshark 1.2.0

Вот за http://c-ares.haxx.se/ спасибо - бум знать. :) А то асинхронный днс запрос только в биндовых либах приходилось видеть...

Bohtvaroh ★★★★ ()
Ответ на: Re: Wireshark 1.2.0 от mironov_ivan

Re: Wireshark 1.2.0

оп. вот это и называется privilege separation ;)

val-amart ★★★★★ ()

Re: Wireshark 1.2.0

>Поиск в базе данных GeoIP и интеграция OpenStreetMap с GeoIP

Что-то я не осилил, нафига это?

dmitry_kuzmenko ()
Ответ на: Re: Wireshark 1.2.0 от asciiz

Re: Wireshark 1.2.0

>Кто-нибудь может прокомментировать мой старый пост?

обычный лепет дебила, который вывалил в анализатор протокола кучу мусора, чтобы посмотреть объем трафика. Маладец.

Ты, наверное, когда хочешь узнать объем своп-партиции, грузишь ее в опенофис и там смотришь в сводку документа...

AVL2 ★★★★★ ()
Ответ на: Re: Wireshark 1.2.0 от mironov_ivan

Re: Wireshark 1.2.0

> "за исключением баловства и хоумнетов" - что именно подразумевается?

Ну, просто 1МБит канал, грабленный в течение такого маленького промежутка времени, по моему скромному мнению - это неимоверно маленькое количество совокупной информации. И если вайршарк так распирает даже от такого количества данных, получается, что его можно использовать либо при очень маленьких потребностях (очень конкретная выборка), либо при очень маленьких возможностях (канал а-ля хоумнет 64КБит/с).

> Очевидно, что wireshark не предназначен для переваривания гигабайтных дампов. Вот это и обидно :) Хотя сами дампы, кстати, там были даже не гигабайтные.

asciiz ()
Ответ на: Re: Wireshark 1.2.0 от asciiz

Re: Wireshark 1.2.0

> Ну, просто 1МБит канал, грабленный в течение такого маленького промежутка времени, по моему скромному мнению - это неимоверно маленькое количество совокупной информации.

Как я уже писал, вайршарк распарсивает эти данные, раскладывает по внутренним структурам, ищет последовательности и т.п. Да даже банально определяет DNS-имена по IP-адресам, уже от этого растёт потребление памяти.

> И если вайршарк так распирает даже от такого количества данных, получается, что его можно использовать либо при очень маленьких потребностях (очень конкретная выборка), либо при очень маленьких возможностях (канал а-ля хоумнет 64КБит/с).


Это _анализатор_ сетевых протоколов. Его можно применять при реверс-инженеринге чужих сетевых протоколов, при отладке своих сетевых приложений, для взлома, для анализа безопасности протоколов и т.п. Для чего в него запихивать _полный_ суточный дамп я даже не представляю.

> Вот это и обидно :) Хотя сами дампы, кстати, там были даже не гигабайтные.


Я уже описал почему его так распирает.

Ты расскажи зачем тебе это нужно и возможно тут тебе скажут как это сделать правильно =).

mironov_ivan ★★★★★ ()
Ответ на: Re: Wireshark 1.2.0 от mironov_ivan

Re: Wireshark 1.2.0

> Это _анализатор_ сетевых протоколов. Его можно применять при реверс-инженеринге чужих сетевых протоколов, при отладке своих сетевых приложений, для взлома, для анализа безопасности протоколов и т.п. Для чего в него запихивать _полный_ суточный дамп я даже не представляю.

Нужна сводная статистика по использованию протоколов 4 и 5 уровня, а также по адресам. Грубо говоря, надо знать, какие протоколы и как часто используются. И с какими адресами какого объема был обмен трафика. Вайршарк позволяет получить эту статистику в очень красивом виде, после чего конкретизировать, группировать, сортировать полученную инфу. Без написания скриптов и прочего) Иными словами, хочется видеть, что интересного произошло на канале за прошедший день. А еще лучше - смотреть в реалтайме :)

> Ты расскажи зачем тебе это нужно и возможно тут тебе скажут как это сделать правильно =). Что-то мне подсказывает, что не подскажут))

asciiz ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.