Wireshark 2.6 : Vaarwel GTK en GeoIP Legacy

De release van Wireshark 2.6 enkele weken geleden brengt enkele grote veranderingen met zich mee, 1 van deze veranderingen is het definitief stoppen met de ondersteuning van de GTK+ Toolkit. Wireshark heeft de GTK+ toolkit al sinds versie 2.0 verlaten, maar heeft GTK3 nog ondersteund tot versie 2.6 de volgende versie (Wireshark 3.0) zal dus geen ondersteuning meer bieden voor GTK3 (of QT 4). Deze versie zal dus enkel werken met de QT 5 toolkit. De reden voor de omschakening van GTK naar QT was het feit dat de meerderheid van de Wireshark gebruikers werkt met Microsoft Windows, en  de QT toolkit integreert beter in windows dan de GTK toolkit. Een andere verandering is het stoppen met de ondersteuning van de Legacy Maxmind GeoIP databases. Maxmind is al een hele tijd overgestapt naar een nieuwe database met GeoIP locaties. De versies van Wireshark voor versie 2.6 ondersteunen nog de oude “Legacy” database bestanden maar sinds 2.6 ondersteund Wireshark de nieuwe database bestanden. Als je gebruikt maakt van deze legacy database bestanden in Wireshark zal je deze instellingen dus moeten aanpassen. Een andere verandering is het verdwijnen van de “Map” knop. Bij de oudere versies van Wireshark had je een MAP…

CLI Tool van de week : tshark

Editie 11, 19 november 2017. De tool die we deze week gaan bespreken is Tshark, het commando-regel programma uit het Wireshark pakket. Wireshark is een tool die veel gebruikt wordt door IT professionals voor het zoeken naar netwerkproblemen (troubleshooting), indringers, debuggen, etc. Het laat onder bepaalde omstandigheden zelfs toe om SSL verkeer te decoderen (voor probleemopsporing). Tshark en Wireshark maken beide gebruik van libpcap en ze hebben bijna dezelfde functionaliteit en de PCAP bestanden die je met deze tools kunt maken zijn uitwisselbaar. Dit heeft als voordeel, dat je het verkeer op een systeem kunt “onderscheppen” met Tshark en het later analyseren in Wireshark. Maar aangezien dit een CLI artikel is gaan we ons vooral bezig houden met Tshark. Tshark is niet standaard geïnstalleerd dus dat moet eerst gebeuren. Dit doe je met de Pakketbeheerder van jouw distributie (bij Debian en Debian-based distro’s zoals Ubuntu en Mint doe je dit met $ sudo apt install tshark). Debian zal vragen of je een niet-root gebruiker wil toelaten om pakketten te filteren. Omdat het gebruikt van Tshark/Wireshark als root een groot beveiligingsrisico kan vormen is het aan te raden om dit te doen met een gebruiker met zo weinig mogelijk rechten om…