Taggat med: Gerald Combs

Test av nya Wireshark 2.0

Wireshark 2.0

Wireshark är ett analysverktyg för nätverkstrafik som nu har 17 år på nacken. Från början gick Wireshark under namnet Ethreal och projektet startades av Gerald Combs.

Denna nya version, 2.0 använder Qt som fönsterramverk istället för Gtk som tidigare användes. Även så är allt mer genomarbetat i gränssnittet så att många dubbla dialogrutor och frågor är borttagna.

Detta är uppenbart när man först startar upp nya versionen:

Wireshark start

Även så stödjer denna nya version stöd för en mängd nya protokoll och filtyper.

Ett urval av de nya protokollen som nu stödjs är följande:

Aeron, AllJoyn Reliable Datagram Protocol, Android Debug Bridge, Android Debug Bridge Service, Android Logcat text, Apache Tribes Heartbeat, APT-X Codec, B.A.T.M.A.N. GW, B.A.T.M.A.N. Vis, BGP Monitoring Prototol (BMP), Bluetooth Broadcom HCI, Bluetooth GATT Attributes, Bluetooth OBEX Applications, Zigbee ZCL, Minecraft Pocket Edition, MQ Telemetry Transport Protocol for Sensor Networks.

Och så klart så stödjer även Wireshark plattformar såsom Windows, Linux och Mac OS X. När vi installerar under Windows så får vi frågan om vi vill installera Winpcap som är drivrutinen för att lyssna på nätverkstrafik i realtid samt så får vi frågan om vi vill installera USBcap som kan lyssna på USB-datatrafik.

Och de nya filformaten som kan användas för att läsa in datatrafik är: O3GPP TS 32.423 Trace, Android Logcat text files, Colasoft Capsa files, Netscaler 3.5, och Symbian OS BTSNOOP File Format. Totalt stödjer Wireshark 1926 protokoll och 142529 fält från dessa protokoll.

Och förutom själva grafiska Wireshark så installeras även dessa verktyg:

  • capinfos – visar information om pcap-filer.

  • dumpcap – Verktyg för att spara mängder med information utan någon vidare bearbetning.

  • editcap – Ändra och konvertera pcap-filer.

  • mergecap – Lägg ihop flertalet pcap-filer till en.

  • randpkt – Skapa slumpmässig nätverkstrafik.

  • rawshark – Dumpa och analysera rå nätverkstrafik.

  • reordercap – Ändra ordningen i en fil så den följer tidsstämplar och skriv till ny fil.

  • text2pcap – Skapa en pcap-fil av text.

  • tshark – Verktyget för dig som vill ha Wiresharks kraftfulla protokollanalys men inte gillar grafiska gränssnitt.

Skärmdumpar

S7comm Siemens PLC-skrivning (SCADA/ICS protokoll).

Wireshark Siemens S7comm

HTTP Host som en extra kolumn, ny feature som gör att valfritt fält kan bli en ny kolumn.

Wireshark host som kolumn

Sammanfattningsvis

Nya gränssnittet är snabbt och går att arbeta med utan längre fördröjningar, även med större mängder data. Filter-rutan för display-filter får en ny central roll i Wireshark och fungerar riktigt smidigt, nästan som Google.

Wireshark är helt klart mer genomtänkt och lättare att arbeta med i version 2.0. Och upplever du att nya gränssnittet är buggigt så finnes det gamla kvar under namnet Wireshark Legacy, åtminstone i Windows.