La semana pasada compartimos aquí en el blog la noticia de la versión correctiva de Wireshark 3.0.7, la cual era una versión de emergencia que fue desplegada con la finalidad de parchar unos errores críticos de seguridad en la aplicación. Ahora poco tiempo después los desarrolladores de Wireshark dieron a conocer el lanzamiento de una nueva versión la cual marca el inicio de una nueva rama estable de la herramienta, siendo esa la versión Wireshark 3.2.0.
Para quienes desconocen de Wireshark, deben saber que es un analizador de protocolos de red gratuito, que es utilizado para la solución y análisis de redes, este programa nos permite ver lo que sucede en la red y es el estándar de facto en muchas empresas comerciales y sin fines de lucro, agencias gubernamentales e instituciones educativas. Esta aplicación se ejecuta sobre la mayoría de los sistemas operativos Unix y compatibles, incluyendo Linux, Microsoft Windows, Solaris, FreeBSD, NetBSD, OpenBSD, Android, y Mac OS X.
Principales novedades de Wireshark 3.2.0
En esta nueva versión de Wireshark 3.2.0 se agregó la capacidad de diseñar en modo arrastrar y soltar arrastrando y soltando campos en el encabezado para crear una columna para este campo o en el área de entrada del filtro de visualización para crear un nuevo filtro.
Para crear un nuevo filtro para un elemento de columna, este elemento ahora puede simplemente arrastrarse al área de filtro de visualización.
Para HTTP/2, se admite el reensamblaje de paquetes de transmisión, se agregó el soporte para desempaquetar sesiones HTTP/HTTP2 que usan el algoritmo de compresión Brotli.
En el cuadro de diálogo “Enabled Protocols”, ahora puede habilitar, deshabilitar e invertir protocolos solo en función del filtro seleccionado. El tipo de protocolo también se puede determinar en función del valor del filtro.
El sistema de compilación implementa la verificación de la instalación de la biblioteca SpeexDSP en el sistema (si falta esta biblioteca, se utiliza la implementación integrada del procesador de códec Speex).
En el menú con la lista de paquetes e información detallada presentada en las acciones “Analyze › Apply as Filter” and “Analyze › Prepare a Filter”se proporciona una vista previa de los filtros correspondientes.
También podremos encontrar que se agregó soporte para importar perfiles desde archivos zip o desde directorios existentes en el FS, además de que es posible descifrar los túneles WireGuard utilizando las claves integradas en el volcado pcapng, además de la configuración de registro de claves existente.
Se agregó acción para extraer credenciales de un archivo con tráfico capturado, llamado a través de la opción “-z credenciales” en tshark o mediante el menú “Herramientas> Credenciales” en Wireshark.
De los demás cambios que podremos encontrar en esta nueva versión:
- Editcap agrega soporte para desgloses de archivos basados en valores de intervalo fraccional;
- Para macOS se agregó soporte para un tema oscuro. Se mejoró el soporte de temas oscuros para otras plataformas.
- Los archivos de Protobuf (* .proto) ahora se pueden configurar para analizar datos de Protobuf serializados, como gRPC.
- Se agregó la capacidad de analizar los mensajes del método de flujo gRPC utilizando la función de reensamblado de flujo HTTP2.
Para quienes estén interesados en instalar esta nueva versión, si son usuarios de Ubuntu o algun derivado de este, pueden añadir el repositorio oficial de la aplicación, este lo puedes añadir abriendo una terminal con Ctrl + Alt + T y ejecutando:
sudo add-apt-repository ppa:wireshark-dev/stable
sudo apt-get update
Posteriormente para realizar la instalación de la aplicación basta con teclear en una terminal lo siguiente:
sudo apt-get install wireshark
Es importante mencionar que durante el proceso de la instalación hay una serie de pasos a seguir que implementan la Separación de Privilegios, permitiendo que la GUI de Wireshark se ejecute como un usuario normal mientras que el volcado (que está recolectando los paquetes de sus interfaces) se ejecuta con los privilegios elevados requeridos para rastrear.
En caso de que respondieras negativamente y quisieras cambiar esto. Para lograr esto, en una terminal vamos a teclear el siguiente comando:
sudo dpkg-reconfigure wireshark-common
Aquí debemos de seleccionar que sí cuando se nos pregunte si los no superusuarios deberían poder capturar paquetes.
Ahora para el caso de los que son usuarios de Arch Linux o algun derivado de este, podremos instalar la aplicación ejecutando en una terminal el siguiente comando:
sudo pacman -S wireshark-qt
Mientras que para Fedora y derivados, basta con teclear el siguiente comando:
sudo dnf install wireshark-qt
Y establecemos permisos con el siguiente comando, donde sustituimos “usuario” el nombre de usuario que tienes en tu sistema
sudo usermod -a -G wireshark usuario
Continúar leyendo...