Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Systemadministration: Wireshark 4.2.0 ist da

Mit Version 4.2.0 erhält das freie Tool zur Protokollanalyse Wireshark einige wichtige neue Funktionen – für Linux, macOS und für Windows.

In Pocket speichern vorlesen Druckansicht 30 Kommentare lesen

(Bild: iX)

Lesezeit: 2 Min.
iX Magazin
Von
  • Benjamin Pfister

Wireshark – das beliebte Open-Source-Werkzeug zur Protokollanalyse – steht in Version 4.2.0 bereit. Sie ist die erste Major Release unter der neu gegründeten Non-Profit Wireshark Foundation und bringt neben Bugfixes auch einige spannende neue Funktionen.

Die wichtigsten Neuerungen

In der neuen Version steht nun ein Windows-Installer für ARM64 zur Verfügung. Als erstes besondere Feature heben die Entwickler den neuen Dark Mode unter Windows hervor. Zudem hat das Projekt die Paketsortierung und die UTF-8-Ausgabe verbessert. Außerdem ist die Installation unter Linux nun auf Basis von relativen RPATHs verschiebbar. Zudem soll die Autovervollständigung von Anzeigefiltern nun intelligenter sein und besser vor Vorschlägen falscher Syntax gewappnet sein. Des Weiteren gibt es einen neuen Anzeigefilter für rohe Nutzdaten in Bytes.

Lesen Sie auch

Einen echten Mehrwert stellt die vereinfachte TLS-Entschlüsselung anhand der Session-Key-Methode dar. Damit trägt die Wireshark Foundation der sogenannten "HTTPisierung des Netzes" Rechnung und erleichtert die Analyse. Früher musste zunächst in den Umgebungsvariablen des Betriebssystems eine Umgebungsvariable SSLKEYLOGFILE für die Aufzeichnung der Session Keys angelegt und in den TLS-Einstellungen von Wireshark referenziert werden. Erst im Anschluss durfte der Analyst den gewünschten Browser – Firefox oder Chrome – starten, um die Session Keys aus dem TLS-Handshake über die Umgebungsvariable in die Keylog-Datei zu schreiben. Im Nachgang konnte der zuvor per TLS verschlüsselte HTTP-Traffic im Klartext analysiert werden. Version 4.2.0 vereinfacht dies nun, indem unter dem Menüpunkt "Tools" ein neuer "TLS Keylog Launcher" eingefügt wurde, der die Einrichtung erleichtert und somit über wenige Tastendrücke die TLS-Entschlüsselung erlaubt.

Die neue Funktion zur vereinfachten TLS-Entschlüsselung mit der Session-Key-Methode. Man erkennt in der Auflistung der Protokolle „Transport Layer Security“ und darunter die http-Daten im Klartext – in diesem Fall ein GET-Request von einem Aufruf von heise.de.

Ebenfalls im Bereich "Tools" findet sich nun ein "MAC Address Blocks"-Menü, über das eine Herstellerabfrage anhand der MAC OUI möglich ist. Es braucht dazu also keine externen Tools mehr.

Zusätzlich bietet die neue Version auch Versionspflege der zugrunde liegenden Tools, wie Npcap 1.78 in 4.2.0rc2. Ferner können sich VoIP-Administratoren über Fixes im RTP-Player freuen, die seit dem Umstieg auf Qt 6 auftraten. Somit lassen sich nun VoIP Gespräche zur Analyse wieder in gewohnter Qualität abspielen. Alle Details zur neuen Version finden sich in den Release Notes.

(fo)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten