تحلیل عمیق‌ تر بسته‌ های شبکه با قابلیت‌ های جدیدWireshark

Wireshark یک تحلیلگر بسته‌ های شبکه است. این ابزار بسته‌ های شبکه را ضبط کرده و اطلاعات آن‌ ها را به صورت مفصل نمایش می‌دهد. می‌توانید Wireshark را مانند یک دستگاه اندازه‌ گیری تصور کنید که برای بررسی آنچه در داخل یک کابل شبکه اتفاق می‌افتد استفاده می‌شود، درست مانند یک ولت‌ متر که توسط یک برق‌ کار برای بررسی آنچه در داخل یک کابل برق اتفاق می‌افتد استفاده می‌شود (البته در سطحی بالاتر). در گذشته، چنین ابزارهایی بسیار گران، اختصاصی یا هر دو بودند. با این حال، با ظهور Wireshark، همه اینها تغییر کرده است. Wireshark شاید یکی از بهترین تحلیلگرهای بسته‌ های منبع باز موجود در حال حاضر باشد.

ویژگی‌ های Wireshark:

1. بررسی عمیق صد ها پروتکل، با اضافه شدن پروتکل‌ های بیشتر در آینده
2. ضبط زنده و تحلیل آفلاین
3. مرورگر بسته سه پنل استاندارد
4. چند پلتفرمی: روی ویندوز، لینوکس، OS X، سولاریس، FreeBSD، NetBSD و بسیاری دیگر اجرا می‌شود
5. داده‌ های شبکه ضبط شده را می‌توان از طریق یک رابط گرافیکی یا از طریق ابزار TShark در حالت TTY مرور کرد
6. قدرتمند ترین فیلترهای نمایش در صنعت
7. تحلیل غنی VoIP
8. خواندن/نوشتن بسیاری از فرمت‌ های مختلف فایل ضبط
9. فایل‌ های ضبط شده با gzip می‌توانند بطور زنده فشرده شوند
10. داده‌ های زنده را می‌توان از Ethernet، IEEE 802.11، PPP/HDLC، ATM، Bluetooth، USB، Token Ring، Frame Relay، FDDI و سایر موارد (بسته به پلتفرم شما) خواند
11. پشتیبانی رمزگشایی برای بسیاری از پروتکل‌ ها، از جمله IPsec، ISAKMP، Kerberos، SNMPv3، SSL/TLS، WEP و WPA/WPA2
12. قوانین رنگ‌ آمیزی می‌توانند برای تجزیه و تحلیل سریع و بصری به لیست بسته‌ ها اعمال شوند
13. خروجی را می‌توان به XML، PostScript®، CSV یا متن ساده صادر کرد

تغییرات جدید در Wireshark 4.4.0:

1. بسیاری از بهبود ها و رفع اشکال در گفتگوهای نمودار، از جمله نمودارهای ورودی/خروجی، نمودار جریان/تماس‌ های VoIP و نمودارهای جریان TCP.
2. Wireshark اکنون از تعویض خودکار پروفایل پشتیبانی می‌کند. می‌توانید یک فیلتر نمایش را با یک پروفایل پیکربندی مرتبط کنید و هنگام باز کردن یک فایل ضبط که با فیلتر مطابقت دارد، Wireshark به طور خودکار به آن پروفایل تغییر می‌کند.
3. پشتیبانی برای Lua 5.3 و 5.4 اضافه شده است و پشتیبانی برای Lua 5.1 و 5.2 حذف شده است. نصب‌ کننده‌ های ویندوز و macOS اکنون با Lua 5.4.6 عرضه می‌شوند.
4. بهبود پشتیبانی فیلتر نمایش برای رشته‌ های مقدار (نمایش رشته‌ های اختیاری برای فیلد های عددی).
5. توابع فیلتر نمایش می‌توانند مانند جداکننده‌ های پروتکل و تجزیه‌ کننده‌ های فایل، به عنوان افزونه پیاده‌ سازی شوند.
6. فیلترهای نمایش می‌توانند با استفاده از ویرایش › کپی › فیلتر نمایش به عنوان فیلتر pcap ترجمه شوند اگر هر فیلد فیلتر نمایش معادل فیلتر pcap داشته باشد.
7. ستون‌ های سفارشی می‌توانند با استفاده از هر عبارت فیلد معتبر، مانند توابع فیلتر نمایش، برش‌ های بسته، محاسبات ریاضی، آزمایش‌ های منطقی، آدرس‌ دهی بایت خام و اصلاح‌ کننده‌های لایه پروتکل تعریف شوند.
8. فیلد های خروجی سفارشی برای tshark -e همچنین می‌توانند با استفاده از هر عبارت فیلد معتبر تعریف شوند.
9. Wireshark را می‌توان با zlib-ng به جای zlib برای پشتیبانی از فایل‌ های فشرده ساخته شد. Zlib-ng بسیار سریع‌ تر از zlib است. بسته‌ های رسمی ویندوز و macOS این ویژگی را شامل می‌شوند.