Le 28 février 2019 est parue la version 3.0.0 de Wireshark, un logiciel libre d’analyse de paquets réseau (depuis plus de 20 ans). C’est un outil précieux pour apprendre, comprendre, analyser et déboguer des problèmes réseau ou protocolaires.
Les changements en version 3.0.0
Parmi les changements de la version 3.0.0 (plus quelques captures prises avec cette version fraîchement compilée) :
- des corrections de bogues
Capture d’écran montrant une lecture de LinuxFr.org à la Matrix, insérée ici à des fins décoratives.
- de nouvelles fonctionnalités :
- modernisation de la carte des adresses IP,
- mise à jour des versions de Qt,
- prise en charge du suédois, du russe et de l’ukrainien,
- première prise en charge des tokens PKCS #11 pour le RSA dans TLS,
- une compilation et un empaquetage reproductibles,
- le remplacement de WinPcap par Npcap (maintenance active et plus de fonctionnalités) dans la livraison pour Windows,
- horodatage pour les protocoles UDP/UDP-lite,
- une sortie vers le moteur de recherche ElasticSearch pour TShark (la version ligne de commande de Wireshark),
- le retour de la boîte de dialogue Capture Information,
- la désactivation de la validation de séquence par défaut pour les dissecteurs Ethernet et IEEE 802.11,
- la fonction de réassemblage dans l’ordre des paquets TCP en désordre,
- le déchiffrement dans le dissecteur WireGuard,
- les dissecteurs BOOTP et SSL sont renommés DHCP et TLS,
- la coloration des règles, les graphes d’entrées‐sorties, les boutons de filtre et les préférences pour les protocoles peuvent être copiés depuis d’autres profils via la boîte de dialogue de configuration,
- le codec APT-X est renommé aptX,
- les importation et exportation hexadécimales permettent de spécifier la nature du contenu,
- la possibilité d’utiliser un proxy pour le SSH pour les sshdump et ciscodump,
- les options
-a packets:NUMet-b packets:NUMpour Dumpcap, - l’option No Reassembly dans la configuration,
- le système de compilation qui prend en charge les paquets AppImage,
- le déchiffrement DTLS/TLS des fichiers pcapng embarquant un Decryption Secrets Block (DSB) contenant les infos sur la clé TLS,
- l’option
--inject-secretspour editcap pour rajouter les infos sur la clé TLS, - la fonction
string()pour les filtres, - la suite de tests Bash est remplacée par une suite basée sur Python unittest/pytest,
- une fenêtre personnalisée améliorée
Capture d’écran montrant une lecture de LinuxFr.org, version pour architecte amateur de flux, insérée ici à des fins décoratives.
- les retraits et disparitions :
- l’interface GTK+ n’est plus prise en charge (cf. Wireshark passe à Qt en 2013) et portaudio n’est du coup plus nécessaire,
- Qt 4 n’est plus pris en charge sous Windows (Qt 5 requis), et Cygwin non plus,
- il faut désormais GLib 2.32+, GnuTLS 3.2+, Python 3.4+ (fin de la prise en charge Python 2.7) et CMake (fin de la prise en charge des Autotools),
- l’option
-z comparede TShark est retirée
Capture d’écran montrant une lecture de LinuxFr.org, pour passionnés de la ligne de commande, insérée ici à des fins décoratives.
- nouveautés côté formats et protocoles :
- sérialisation et désérialisation du format Ruby Marshal,
- une foultitude de nouveaux protocoles pris en charge : Apple Wireless Direct Link (AWDL), Basic Transport Protocol (BTP), BLIP Couchbase Mobile (BLIP), CDMA 2000, Circuit Emulation Service over Ethernet (CESoETH), Cisco Meraki Discovery Protocol (MDP), Distributed Ruby (DRb), DXL, E1AP (5G), EVS (3GPP TS 26.445 A.2 EVS RTP), Exablaze trailers, General Circuit Services Notification Application Protocol (GCSNA), GeoNetworking (GeoNw), GLOW Lawo Emberplus Data format, Great Britain Companion Specification (GBCS) utilisé dans Smart Metering Equipment Technical Specifications (SMETS), GSM-R (User-to-User Information Element usage), HI3CCLinkData, Intelligent Transport Systems (ITS), ISO 13400-2 Diagnostic communication over Internet Protocol (DoIP), ITU-t X.696 Octet Encoding Rules (OER), Local Number Portability Database Query Protocol (ANSI), MsgPack, NGAP (5G), NR (5G) PDCP, Osmocom Generic Subscriber Update Protocol (GSUP), PCOM protocol, PKCS#10 (RFC2986 Certification Request Syntax), PROXY (v2), S101 Lawo Emberplus transport frame, Secure Reliable Transport Protocol (SRT), décodage Spirent Test Center Signature pour Ethernet et FibreChannel (STCSIG, désactivé par défaut), portions de TDS propres à Sybase, systemd Journal Export, TeamSpeak 3 DNS, TPM 2.0, Ubiquiti Discovery Protocol (UBDP), WireGuard, XnAP (5G) et Z39.50 Information Retrieval Protocol
Capture d’écran montrant une lecture de LinuxFr.org à la Matrix, insérée ici à des fins décoratives.
Capture d’écran montrant une lecture de LinuxFr.org, version pour architecte amateur de flux, insérée ici à des fins décoratives.
Capture d’écran montrant une lecture de LinuxFr.org, pour passionnés de la ligne de commande, insérée ici à des fins décoratives.
Sécurité
Il est à noter que les versions correctives 2.6.7 et 2.4.13 ont aussi été publiées le 27 février. Par nature (analyse de plus de 1 500 protocoles et écoute du réseau), Wireshark est souvent concerné par des alertes sécurité.
Capture de la version Wireshark présente dans Debian Sid au moment de l’écriture de cette dépêche.
Aller plus loin
- Annonce de Wireshark 3.0.0 (156 clics)
- Wireshark.org (217 clics)
# oss-fuzz / fuzzshark
Posté par Benoît Sibaud (site web personnel) . Évalué à 10.
Sur ce point, le projet fait des tests de fuzzing. D'ailleurs le binaire fuzzshark est arrivé avec la branche 3.0.0 (compilation activée ou désactivée par cmake avec BUILD_fuzzshark). Il s'agit apparemment du remplacement ou de l'intégration dans le code du projet de oss-fuzz (discussion ancienne).
[^] # Re: oss-fuzz / fuzzshark
Posté par reno . Évalué à 3.
Hum, par "nature" ça se discute: il ne serait pas possible de séparer le process qui écoute sur l'interface du process qui analyse le traffic et de sandboxer ce dernier?
Après, il faut que le process qui analyse le traffic communique avec l'IHM..
[^] # Re: oss-fuzz / fuzzshark
Posté par pasBill pasGates . Évalué à 2.
Si tu jettes un œil au code de Wireshark, notamment la partie analyse de trafic tu verras que c'est du code plutôt vieux, pas bien isolé, et les dissecteurs sont libre de faire à peu près ce qu'ils veulent. Bref isoler la partie analyse est une gageure.
[^] # Re: oss-fuzz / fuzzshark
Posté par reno . Évalué à 4.
Je n'ai pas dit que changer le code était simple, j'étais juste en désaccord avec le fait qu'avoir un analyseur réseau était forcément "par nature" unsafe.
C'est juste qu'au début la conception a été faite sans prendre en compte la sécurité (forcément c'est + simple) et plus le projet grandis plus c'est difficile de la rajouter et comme personne ne veut payé pour avoir des outils sécurisé..
# Version Qt?
Posté par gnumdk (site web personnel) . Évalué à -6.
A une époque, j'avais cru comprendre que GTK serait abandonné.
On en est où? Parce que j'utilise toujours la version GTK, c'est mal docteur?
[^] # Re: Version Qt?
Posté par cosmocat . Évalué à 8.
Hmmm!?!
[^] # Re: Version Qt?
Posté par Benoît Sibaud (site web personnel) . Évalué à 5.
Le changement Gtk -> Qt par défaut correspond à Wireshark 2.0 (cf le lien dans la dépêche).
[^] # Re: Version Qt?
Posté par gnumdk (site web personnel) . Évalué à 7. Dernière modification le 10 mars 2019 à 22:24.
Ok, boulet, moinssez!
[^] # Re: Version Qt?
Posté par MTux . Évalué à 2.
C'est pas forcément con dans le sens où wireshark-gtk est toujours proposé dans les dépôts Debian Stretch (septembre 2018): https://packages.debian.org/stretch/wireshark-gtk
Et ça a l'air dispo dans Buster aussi.
Il semble que ce soit Wireshark 2.x
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.