Netzwerkanalyse mit Wireshark 4.0: Neue Filter fürs Haifischbecken

Inhaltsverzeichnis

Wireshark ist in Version 4.0 erschienen. Die Neuerungen in dem freien Protokollanalyse-Tool betreffen dabei vor allem die überarbeiteten Filter-Optionen. Auch die Einstellung des Supports für 32-Bit Versionen für Windows ist bemerkenswert. Die Entwickler geben an, dass das Tool trotz des Ziels einer kleinen Codebasis inzwischen über drei Millionen Zeilen Code enthält.

Nach dem Update begrüßt den Analysten beim Start direkt das erste neue Feature: Die aktiven Schnittstellen mit der höchsten Auslastung zeigt das Werkzeug in der Auswahl der aufzuzeichnenden Schnittstellen direkt weiter oben an. Dies dient der schnelleren Auswahl bei einer großen Anzahl an Schnittstellen auf dem Quellsystem. Zudem wurden die Ansichten und Möglichkeiten der Endpoints- und Conversations-Ansichten überarbeitet. Diese bieten nun unter anderem eine Export-Möglichkeit in JSON, eine Anzeige und Filtermöglichkeit der Stream ID für UDP- und TCP Streams, sowie eine Sortierung von IPv6- hinter IPv4-Adressen und vieles mehr.

Umgebaute Display Filter

Die Display Filter Engine haben die Entwickler von GRegex auf PCRE2 gewechselt. Zudem gibt es neue Aliase in Form von any_eq für „==“ und all_ne für „!=“. Die Engine bietet jetzt auch any und all für relationale Operatoren, wie beispielsweise größer und kleiner. Die Entwickler geben als Beispiel einen Filter all tcp.port > 1024 an, der nur dann TRUE ist, wenn alle TCP-Ports größer als 1024 sind. Für Netze mit Overlay-Lösungen bieten sich zudem auch die neuen Multilayer-Nummerierungen an. Über die Eingabe einer Raute und einem dahinter befindlichem Ganzzahlwert kann eine Angabe des x-ten Vorkommens des gewünschten Header-Werts vorgegeben werden. Ein Beispiel wäre ip.addr#2 == 192.0.2.1 für den inneren IP-Header in einem IPv4 über IPv4-Paket.

Ein neuer strikter Vergleichsoperator "===", beziehungsweise all_eq, bietet die Möglichkeit den Filter so zu setzen, dass die Bedingung nur zutrifft, falls die Bedingung in allen Fällen zutrifft. Bei „x === y“ ist das dann der Fall, wenn der Wert x immer dem Wert y entspricht.

Als Boolean-Werte sind neben den klassischen 0- und 1-Werten nun auch True/TRUE oder False/FALSE möglich. Der TCP-Payloadfilter kann künftig auch auf Basis einer Angabe der Byte-Werte zur Anwendung kommen, wie beispielsweise tcp.payload[0:2] für die ersten beiden Bytes im Payload.

Weitere, kleine Änderungen

Die Funktionen zum Importieren von Hex Dumps und text2pcap haben die Wireshark-Entwickler ebenfalls erweitert und auf Feature-Parität gebracht. Das Standardformat ist jetzt PCAPng anstatt PCAP. Auch das extcap-Interface für Remote-Captures wurde erweitert, etwa um hinterlegbare Kennwörter. In diesem Zusammenhang ergänzte die Community auch das ciscodump-Modul. Dieses unterstützt Remote Captures von Cisco IOS, IOS-XE und ASAs über SSH.

Aber auch für Windows Anwender bietet Version 4.0 Neuerungen. So bringt der Event Tracing for Windows (ETW) Reader die Möglichkeit, IP-Pakete aus einer ETW-Datei oder einer ETW Live Session anzuzeigen. Zudem geben die Entwickler an, die Geschwindigkeit des MaxMind-Geolokationsdienstes erheblich verbessert zu haben.

Neben einer Vielzahl überarbeiteter Protokoll-Dissektoren, wie einem vollständig unterstützten QUIC-Protokoll, kommen auch einige neue Dissektoren dazu. Darunter unter anderem die verschlüsselten Dateitransferprotokolle wie Secure File Transfer Protocol (sftp) und SSH File Transfer Protocol (SFTP), aber auch das in IEEE 802.1X Umgebungen zum Einsatz kommende Authentifizierungsprotokoll Protected Extensible Authentication Protocol (PEAP).

Unter der Haube

Eine der größten Neuerungen stellt der Wechsel der zugrunde liegenden Grafikbibliothek von Qt 5 auf Qt 6 dar. Des Weiteren fällt der Support für 32-Bit Windows Systeme weg. Nutzer solcher Systeme müssen auf Version 3.6 bleiben. Für Windows-Umgebungen gibt es zudem einen Wechsel auf den Npcap Treiber in Version 1.70. Die Python-Bibliothek haben die Entwickler von 3.4.0 auf 3.6.0 geupdatet, GnuTLS von 3.3.0 auf 3.5.8. Im Build-Prozess verlangt Wireshark 4.0 grundsätzlich kein Perl mehr.

Die gesamte Liste der Änderungen listet das Team in den Release Notes zu Wireshark 4.0. Mehr Informationen zum neuen Update liefern die Entwickler bei YouTube und Gitlab.

• Wireshark 4.0 kostenlos und sicher von heise Download herunterladen.

(jvo)