Wireshark Stable Release (3.6.0) Nobember 22, 2021
ARMのmacOS対応したらしい。めでたい。
https://www.wireshark.org/
Windows Installer (64-bit)
Windows Installer (32-bit)
Windows PortableApps® (64-bit)
Windows PortableApps® (32-bit)
macOS Arm 64-bit .dmg
macOS Intel 64-bit .dmg
Source Code
Old Stable Release (3.4.10) November 14, 2021
Intro to Wireshark Tutorial // Lesson 1 // Wireshark Setup Free Tutorial
https://www.youtube.com/watch?v=OU-A2EmVrKQ&t=2s
仮訳です。順次手を入れる予定です。
https://www.wireshark.org/news/
Wireshark3.6.0を出荷しました
2021年11月22日
Wireshark3.6.0を出荷ました。 Windows、macOS 10.13以降の導入器、ソースコードを利用可能です。
新着情報
多くの改善を行いました。詳細については、以下の「新機能と更新した機能」を参照してください。表示フィルタの構文の更新に特に注意を払うことをお勧めします。
新機能と更新した機能
次の機能は、3.6.0rc3版以降の新機能(または大幅に更新した機能)です。
macOSIntel用はQt5.15.3に同梱しており、macOS10.13以降が必要です。
次の機能は、3.6.0rc2版以降の新機能(または大幅に更新した機能)です。
表示フィルタ集合要素は、コンマで区切る必要があります。詳細については、以下を参照してください。
次の機能は、3.6.0rc1版以降の新機能(または大幅に更新した機能)です。
表示フィルタ式「a!= b」は、「!(a == b)」と同じ意味になります。
次の機能は、3.5.0版以降の新機能(または大幅に更新した機能)です。
特筆すべきことはありません。
次の機能は、3.4.0版以降の新機能(または大幅に更新した機能)です。
表示フィルタの構文にいくつかの変更を加えました。
式「a!= b」は、常に「!(a == b)」と同じ意味になります。特に、これは、「ip.addr!= 1.1.1.1」のような複数値領域を持つフィルタ式が期待どおりに機能することを意味します(結果は、「ip.src!= 1.1.1.1およびip.dst!= 1.1」と入力した場合と同じです。 .1.1インチ)。これにより、矛盾(a == bおよびa!= b)が真になるのを回避できます。
構文「a〜 = b」または「aany_neb」を使用して、以前の(「==」と矛盾する)論理を等しくない場合に回復することができます。
リテラル文字列は、Pythonプログラミング言語の生の文字列と同じ生の文字列構文を使用して指定できるようになりました。これは、正規表現で2レベルの文字エスケープを使用する複雑さを回避するために使用できます。
集合要素は、コンマを使用して区切る必要があります。 {"GET" "HEAD"}のhttp.request.methodなどのフィルタは、{"GET"、 "HEAD"}の…として記述する必要があります。空白は重要ではありません。区切り文字としての以前の空白の使用は非推奨であり、将来の版で削除予定です。
「notainb」と同じ意味の構文「anotinb」対応を追加しました。
パッケージの更新:
macOS Arm 64(Apple Silicon)用が利用可能になりました。
macOSIntel用はQt5.15.3に同梱しており、macOS10.13以降が必要です。
Windows導入器には、Npcap1.55が付属しています。
64ビットのWindowsPortableApps用が利用可能になりました。
TCP会話は完全性基準に対応するようになりました。これにより、ハンドシェイクの開始または終了、負荷のいずれかを任意の組み合わせで持つTCPストリームの識別が容易になります。新しいtcp.completenessフィルタを使用して利用できます。
新しい「add_default_value」プリファレンスを設定することにより、ネットワーク上でシリアル化していない、またはキャプチャファイルにないProtobuf領域を既定値で表示できるようになりました。既定値は、「proto2」ファイルで明示的に宣言しているか、boolの場合はfalse、列挙型の場合は最初の値、数値型の場合はゼロである可能性があります。
Wiresharkは、Windows用のEvent Trace(ETW)の読み取りに対応するようになりました。 ETWリーダという名前の新しいextcapを作成し、etlファイルを開いて、ファイル内のすべてのイベントをDLT_ETWパケットに変換し、指定したFIFO宛先に書き込むことができるようになりました。また、DLT_ETWパケットを分析するために新しいpacket_etwディセクタを作成するため、WiresharkはDLT_ETWパケットヘッダを表示でき、その伝言とpacket_etwディセクタは、プロバイダがMBIMプロバイダGUIDと一致する場合にpacket_mbimsub_dissectorを呼び出します。
「FollowDCCPstream」機能を使用して、DCCPストリームのコンテンツをフィルタリングおよび抽出します。
Wiresharkは、OPUS負荷を使用したRTPパケットの分析に対応するようになりました。
正規表現に基づいてテキストファイルからキャプチャをインポートできるようになりました。関連する領域のキャプチャグループを含む単一のパケットをキャプチャする正規表現を指定することにより、テキストファイルをlibpcapキャプチャファイルに変換できます。対応しているデータエンコーディングは、plain-hexadecimal、-octal、-binary、およびbase64です。また、タイムスタンプ形式では、秒の小数部をタイムスタンプの任意の場所に配置できるようになり、マイクロ秒の精度ではなくナノ秒で保存します。
RTPプレーヤは大幅に再設計し、改善しました。詳細については、利用者手引きの「VoIP通話とRTPプレーヤウィンドウの再生」を参照してください。
RTPプレーヤは、多数のストリームを連続して再生できます。
UIの応答性が向上します。
RTPプレーヤはプレイリストを維持し、他のツールはプレイリストにストリームを追加したり、プレイリストからストリームを削除したりできます。
すべてのストリームは、再生のためにミュートしたり、左または右のチャンネルにルーティングしたりできます。
オーディオを保存する選択肢は、RTP分析ダイアログからRTPプレーヤに移動しました。 RTPプレーヤは再生したものも保存し、マルチチャンネルの.auまたは.wavで保存できます。
RTPプレーヤは、テレフォニー› RTP› RTPプレーヤメニューから利用できるようになりました。
VoIPダイアログ(VoIPコール、RTPストリーム、RTP分析、RTPプレーヤ、SIPフロー)は非モーダルであり、後ろで開いたままにすることができます。
すべてのダイアログで同じツールを提供しています(フィルタの準備、分析、RTPプレーヤー…)
「FollowStream」ダイアログは、Call-ID値に基づいてSIPコールをフォローできるようになりました。
[Follow Stream]ダイアログのYAML出力形式を更新し、タイムスタンプとピア情報を追加しました。詳細については、利用者手引きの「FollowingProtocolStreams」を参照してください。
パブリックIPv4アドレス間のIPフラグメントは、VLANIDが異なっていても再構築するようになりました。 1つのエンドポイントがプライベート(RFC 1918セクション3)またはリンクローカル(RFC 3927)のIPフラグメントの再構築IPv4アドレスは、これらのアドレスを再利用できるため、引き続きVLANIDを考慮に入れます。以前の動作に戻し、異なるVLAN IDのフラグメントを再構築しないようにするには、「より厳密な会話追跡ヒューリスティックを有効にする」トップレベルの規約設定をオンにします。
USBリンク層の再構築を追加しました。これにより、ハードウェアキャプチャをソフトウェアキャプチャと同じ水準で分析できます。
TSharkは、-export-tls-session-keysオプションを使用してTLSセッションキーをエクスポートできるようになりました。
WiresharkはGoogleSeason of Docs 2020に参加し、利用者手引きを大幅に更新しました。
「RTPストリーム分析」ダイアログのCSVエクスポート形式を少し変更しました。エクスポートの最初の行には、他のCSVエクスポートと同様に列のタイトルを含みます。
Wiresharkはトルコ語を対応するようになりました。
「16進ダンプからインポート」ダイアログの設定をプロファイルimport_hexdump.jsonファイルに保存するようになりました。
分析› Luaプラグインのリロードを改善し、FileHandlerを適切に対応するようになりました。
「RTPストリーム分析」および「IAX2ストリーム分析」ダイアログに、正しい計算平均ジッター計算を表示するようになりました。
RTPストリームは、他の型の伝言に加えて、Skinny規約伝言に基づいて作成するようになりました。
「VoIP通話フローシーケンス」窓には、さまざまなスキニーメッセージに関する詳細情報を表示します。
GCCとMinGW-w64を使用してWindows上でWiresharkを構築するための初期対応を追加しました。詳細については、ソースのREADME.msys2を参照してください。
新ファイル形式のデコード対応
ベクターインフォマティックバイナリログファイル(BLF)
新規約対応
5G合法インターセプション(5GLI)、Bluetoothリンクマネージャープロトコル(BT LMP)、バンドルプロトコルバージョン7(BPv7)、バンドルプロトコルバージョン7セキュリティ(BPSec)、CBORオブジェクト署名および暗号化(COSE)、E2アプリケーションプロトコル(E2AP)、イベントWindows用トレース(ETW)、EXtreme extra Ethヘッダー(EXEH)、高性能接続トレーサー(HiPerConTracer)、ISO 10681、Kerberos SPAKE、Linux psampleプロトコル、ローカル相互接続ネットワーク(LIN)、Microsoft Task Scheduler Service、O-RAN E2AP 、O-RANフロントホールUC-plane(O-RAN)、Opus Interactive Audio Codec(OPUS)、PDU Transport Protocol、R09.x(R09)、RDP Dynamic Channel Protocol(DRDYNVC)、RDP Graphic Pipeline Channel Protocol(EGFX)、 RDPマルチトランスポート(RDPMT)、リアルタイム発行-サブスクライブ仮想トランスポート(RTPS-VT)、リアルタイム発行-サブスクライブワイヤプロトコル(処理済み)(RTPS-PROC)、共有メモリ通信(SMC)、シグナルPDU、SparkplugB 、状態同期プロトコル(SSyncP)、タグ付き画像ファイル形式(TIFF)、TP-Linkスマートホームプロトコル、UAVCAN DSDL、 UAVCAN / CAN、UDPリモートデスクトッププロトコル(RDPUDP)、Van Jacobson PPP圧縮(VJC)、World of Warcraft World(WOWW)、およびX2 xIRIペイロード(xIRI)
更新した規約対応
ここに一覧するためには更新規約が多すぎます。
新規および更新したキャプチャファイルの対応
ベクターインフォマティックバイナリログファイル(BLF)
Original Text
Wireshark 3.6.0 Released
November 22, 2021
Wireshark 3.6.0 has been released. Installers for Windows, macOS 10.13 and later, and source code are now available.
What’s New
Many improvements have been made. See the “New and Updated Features” section below for more details. You might want to pay particular attention to the display filter syntax updates.
New and Updated Features
The following features are new (or have been significantly updated) since version 3.6.0rc3:
The macOS Intel packages now ship with Qt 5.15.3 and require macOS 10.13 or later.
The following features are new (or have been significantly updated) since version 3.6.0rc2:
Display filter set elements must now be comma-separated. See below for more details.
The following features are new (or have been significantly updated) since version 3.6.0rc1:
The display filter expression “a != b” now has the same meaning as “!(a == b)”.
The following features are new (or have been significantly updated) since version 3.5.0:
Nothing of note.
The following features are new (or have been significantly updated) since version 3.4.0:
Several changes have been made to the display filter syntax:
The expression “a != b” now always has the same meaning as “!(a == b)”. In particular this means filter expressions with multi-value fields like “ip.addr != 1.1.1.1” will work as expected (the result is the same as typing “ip.src != 1.1.1.1 and ip.dst != 1.1.1.1”). This avoids the contradiction (a == b and a != b) being true.
It is possible to use the syntax “a ~= b” or “a any_ne b” to recover the previous (inconsistent with "==") logic for not equal.
Literal strings can now be specified using raw string syntax, identical to raw strings in the Python programming language. This can be used to avoid the complexity of using two levels of character escapes with regular expressions.
Set elements must now be separated using a comma. A filter such as http.request.method in {"GET" "HEAD"} must be written as … in {"GET", "HEAD"}. Whitespace is not significant. The previous use of whitespace as separator is deprecated and will be removed in a future version.
Support for the syntax "a not in b" with the same meaning as "not a in b" has been added.
Packaging updates:
A macOS Arm 64 (Apple Silicon) package is now available.
The macOS Intel packages now ship with Qt 5.15.3 and require macOS 10.13 or later.
The Windows installers now ship with Npcap 1.55.
A 64-bit Windows PortableApps package is now available.
TCP conversations now support a completeness criteria, which facilitates the identification of TCP streams having any of opening or closing handshakes, a payload, in any combination. It can be accessed with the new tcp.completeness filter.
Protobuf fields that are not serialized on the wire or otherwise missing in capture files can now be displayed with default values by setting the new “add_default_value” preference. The default values might be explicitly declared in “proto2” files, or false for bools, first value for enums, zero for numeric types.
Wireshark now supports reading Event Tracing for Windows (ETW). A new extcap named ETW reader is created that now can open an etl file, convert all events in the file to DLT_ETW packets and write to a specified FIFO destination. Also, a new packet_etw dissector is created to dissect DLT_ETW packets so Wireshark can display the DLT_ETW packet header, its message and packet_etw dissector calls packet_mbim sub_dissector if its provider matches the MBIM provider GUID.
“Follow DCCP stream” feature to filter for and extract the contents of DCCP streams.
Wireshark now supports dissecting RTP packets with OPUS payloads.
Importing captures from text files based on regular expressions is now possible. By specifying a regex capturing a single packet including capturing groups for relevant fields a textfile can be converted to a libpcap capture file. Supported data encodings are plain-hexadecimal, -octal, -binary and base64. Also the timestamp format now allows the second-fractions to be placed anywhere in the timestamp and it will be stored with nanosecond instead of microsecond precision.
The RTP Player has been significantly redesigned and improved. See Playing VoIP Calls and RTP Player Window in the User’s Guide for more details.
The RTP Player can play many streams in row.
The UI is more responsive.
The RTP Player maintains playlist and other tools can add and remove streams to and from it.
Every stream can be muted or routed to the left or right channel for replay.
The option to save audio has been moved from the RTP Analysis dialog to the RTP Player. The RTP Player also saves what was played, and it can save in multichannel .au or .wav.
The RTP Player is now accessible from the Telephony › RTP › RTP Player menu.
The VoIP dialogs (VoIP Calls, RTP Streams, RTP Analysis, RTP Player, SIP Flows) are non-modal and can stay opened on background.
The same tools are provided across all dialogs (Prepare Filter, Analyse, RTP Player …)
The “Follow Stream” dialog is now able to follow SIP calls based on their Call-ID value.
The “Follow Stream” dialog’s YAML output format has been updated to add timestamps and peers information For more details see Following Protocol Streams in the User’s Guide.
IP fragments between public IPv4 addresses are now reassembled even if they have different VLAN IDs. Reassembly of IP fragments where one endpoint is a private (RFC 1918 section 3) or link-local (RFC 3927) IPv4 address continues to take the VLAN ID into account, as those addresses can be reused. To revert to the previous behavior and not reassemble fragments with different VLAN IDs, turn on the “Enable stricter conversation tracking heuristics” top level protocol preference.
USB Link Layer reassembly has been added, which allows hardware captures to be analyzed at the same level as software captures.
TShark can now export TLS session keys with the --export-tls-session-keys option.
Wireshark participated in the Google Season of Docs 2020 and the User’s Guide has been extensively updated.
The “RTP Stream Analysis” dialog CSV export format was slightly changed. The first line of the export contains column titles as in other CSV exports.
Wireshark now supports the Turkish language.
The settings in the “Import from Hex Dump” dialog is now stored in a profile import_hexdump.json file.
Analyze › Reload Lua Plugins has been improved to properly support FileHandler.
The “RTP Stream Analysis” and “IAX2 Stream Analysis” dialogs now show correct calculation mean jitter calculations.
RTP streams are now created based on Skinny protocol messages in addition to other types of messages.
The “VoIP Calls Flow Sequence” window shows more information about various Skinny messages.
Initial support for building Wireshark on Windows using GCC and MinGW-w64 has been added. See README.msys2 in the sources for more information.
New File Format Decoding Support
Vector Informatik Binary Log File (BLF)
New Protocol Support
5G Lawful Interception (5GLI), Bluetooth Link Manager Protocol (BT LMP), Bundle Protocol version 7 (BPv7), Bundle Protocol version 7 Security (BPSec), CBOR Object Signing and Encryption (COSE), E2 Application Protocol (E2AP), Event Tracing for Windows (ETW), EXtreme extra Eth Header (EXEH), High-Performance Connectivity Tracer (HiPerConTracer), ISO 10681, Kerberos SPAKE, Linux psample protocol, Local Interconnect Network (LIN), Microsoft Task Scheduler Service, O-RAN E2AP, O-RAN fronthaul UC-plane (O-RAN), Opus Interactive Audio Codec (OPUS), PDU Transport Protocol, R09.x (R09), RDP Dynamic Channel Protocol (DRDYNVC), RDP Graphic pipeline channel Protocol (EGFX), RDP Multi-transport (RDPMT), Real-Time Publish-Subscribe Virtual Transport (RTPS-VT), Real-Time Publish-Subscribe Wire Protocol (processed) (RTPS-PROC), Shared Memory Communications (SMC), Signal PDU, SparkplugB, State Synchronization Protocol (SSyncP), Tagged Image File Format (TIFF), TP-Link Smart Home Protocol, UAVCAN DSDL, UAVCAN/CAN, UDP Remote Desktop Protocol (RDPUDP), Van Jacobson PPP compression (VJC), World of Warcraft World (WOWW), and X2 xIRI payload (xIRI)
Updated Protocol Support
Too many protocols have been updated to list here.
New and Updated Capture File Support
Vector Informatik Binary Log File (BLF)
<この項は書きかけです。順次追記します。>
参考資料(reference) Wireshark
Wiresharkのインストール手順(Windows編)
https://qiita.com/yasushi-jp/items/7cacbe6089c760ad4202
WireSharkで学ぶネットワークの基礎
https://qiita.com/na-777/items/d656f720709de2ca4ec4
WireSharkの仕組み
https://qiita.com/Kate941-su/items/df7276b746602a49f0da
wiresharkで保存したデータをpysharkで扱う
https://qiita.com/etherpoc/items/aa5d567ed19d7bd22076
m1macにWiresharkをインストール
https://qiita.com/Qubieeee/items/b72f09eb28f768ff52f2
Nutanix から通信フロー情報を取得してみる
https://qiita.com/2-3/items/117b1530666e400b11ad
自己参照
Error一覧 error(0)
https://qiita.com/kaizen_nagoya/items/48b6cbc8d68eae2c42b8
プログラマが知っていると良い「公序良俗」
https://qiita.com/kaizen_nagoya/items/9fe7c0dfac2fbd77a945
Ethernet 記事一覧 Ethernet(0)
https://qiita.com/kaizen_nagoya/items/88d35e99f74aefc98794
Wireshark 一覧 wireshark(0)、Ethernet(48)
https://qiita.com/kaizen_nagoya/items/fbed841f61875c4731d0
線網(Wi-Fi)空中線(antenna)(0) 記事一覧(118/300目標)
https://qiita.com/kaizen_nagoya/items/5e5464ac2b24bd4cd001
通信記事100
https://qiita.com/kaizen_nagoya/items/1d67de5e1cd207b05ef7
一覧の一覧( The directory of directories of mine.) Qiita(100)
https://qiita.com/kaizen_nagoya/items/7eb0e006543886138f39
<この記事は個人の過去の経験に基づく個人の感想です。現在所属する組織、業務とは関係がありません。>
This article is an individual impression based on the individual's experience. It has nothing to do with the organization or business to which I currently belong.
文書履歴(document history)
文書履歴(document history)
ver. 0.01 初稿 20211221
ver. 0.02 ありがとう追記 20230530
最後までおよみいただきありがとうございました。
いいね 💚、フォローをお願いします。
Thank you very much for reading to the last sentence.
Please press the like icon 💚 and follow me for your happy life.