Hace poco se dio a conocer el lanzamiento de la nueva versión de desarrollo del analizador de red Wireshark 3.7.2, la cual registra una gran cantidad de cambios importantes, de los cuales se destacan las mejoras en los cuadros de diálogo, mejoras en la presentación de datos, aumento de requerimientos y más.
Wireshark (anteriormente conocido como Ethereal) es un analizador de protocolos de red gratuito. Wireshark es utilizado para la solución y análisis de redes, ya que este programa nos permite ver lo que sucede en la red y es el estándar de facto en muchas empresas comerciales y sin fines de lucro, agencias gubernamentales e instituciones educativas.
Principales novedades de Wireshark 3.7.2 Development
En esta versión de desarrollo que se presenta los cuadros de diálogo «Conversación y Punto» final se han rediseñado con lo cual el menú contextual ahora incluye la opción de cambiar el tamaño de todas las columnas, así como copiar elementos, los datos se pueden exportar como JSON, las pestañas se pueden separar y volver a unir desde el cuadro de diálogo, tambien se pueden agregar o quitar pestañas, las columnas ahora se ordenan mediante propiedades secundarias si se encuentra una entrada idéntica, entre otras cosas mas.
Otro de los cambios que se destaca, es que el campo ip.flags ahora son solo los tres bits altos, no el byte completo. Será necesario ajustar los filtros de visualización y las reglas de coloración que utilizan el campo.
Tambien se destaca que la velocidad al usar la geolocalización de MaxMind se ha mejorado mucho. Los interruptores ‘v’ (minúsculas) y ‘V’ (mayúsculas) se han cambiado por editcap y mergecap para que coincidan con las otras utilidades de línea de comandos.
Por otra parte, se ha agregado una sintaxis para que coincida con una capa específica en la pila de protocolos. Por ejemplo, en un paquete IP sobre IP, «ip.addr#1 == 1.1.1.1» coincide con las direcciones de la capa externa e «ip.addr#2 == 1.1.1.2» coincide con las direcciones de la capa interna.
Los cuantificadores universales «any» y «all» se han agregado a cualquier operador relacional. Por ejemplo, la expresión all tcp.port › 1024 es verdadera si y solo si todos los campos tcp.port coinciden con la condición. Anteriormente, solo se admitía el comportamiento predeterminado para devolver verdadero si algún campo coincide.
Las referencias de campo, con el formato ${some.field}, ahora forman parte de la sintaxis de los filtros de visualización. Anteriormente, se implementaban como macros. La nueva implementación es más eficiente y tiene las mismas propiedades que los campos de protocolo, como hacer coincidir varios valores mediante cuantificadores y compatibilidad con el filtrado de capas.
El disector HTTP2 ahora admite el uso de encabezados falsos para analizar los DATOS de los flujos capturados sin los primeros marcos de HEADERS de un flujo de larga duración (como una llamada de transmisión gRPC que permite enviar muchos mensajes de solicitud o respuesta en un flujo HTTP2). Los usuarios pueden especificar encabezados falsos utilizando el puerto del servidor, la identificación y la dirección de la transmisión existente.
Se ha agregado soporte para algunas secuencias de escape de caracteres adicionales en cadenas entre comillas dobles. Junto con la codificación octal (\<número>) y hexadecimal (\x<número>), ahora se admiten las siguientes secuencias de escape C con el mismo significado: \a, \b, \f, \n, \r, \t , \v. Anteriormente, solo se admitían con constantes de caracteres.
De los demás cambios que se destacan de esta nueva versión de desarrollo
- El nuevo tipo de dirección AT_NUMERIC permite direcciones numéricas simples para protocolos que no tienen un enfoque de dirección de estilo más común, análogo a AT_STRINGZ.
- La API de Wireshark Lua ahora usa los enlaces lrexlib para PCRE2.
- El sistema de registro de tap se ha actualizado y la lista de argumentos para tap_packet_cb ha cambiado.
- La biblioteca PCRE2 ahora es una dependencia necesaria para compilar Wireshark.
- Ahora debe tener un compilador compatible con C11 para compilar Wireshark.
- Perl ya no es necesario para compilar Wireshark, pero es posible que se requiera para compilar algunos archivos de código fuente y ejecutar comprobaciones de análisis de código.
- Los instaladores de Windows ahora vienen con Qt 6.2.3.
- Los cuadros de diálogo Conversación y Punto final se han rediseñado ampliamente.
- Los instaladores de Windows ahora vienen con Npcap 1.60.
- Los instaladores de Windows ahora vienen con Qt 6.2.4.
- text2pcap admite la selección del tipo de encapsulación del formato de archivo de salida utilizando los nombres cortos de la biblioteca de escuchas telefónicas.
- text2pcap se actualizó para usar las nuevas opciones de salida de registro y -dse eliminó la bandera.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.