Wireshark 4.6.0 for macOS, Windows - 网络协议分析器

Standard package available on most Unix Linux

请访问原文链接：https://sysin.org/blog/wireshark-4/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

Wireshark

Wireshark 简介

Wireshark 是世界上最先进和广泛使用的网络协议分析器。它可以让你在微观层面上看到你的网络上正在发生的事情，并且是许多商业和非营利性企业、政府机构和教育机构的事实上 (通常也是法律上的) 标准。Wireshark 的发展得益于全球网络专家的志愿贡献 (sysin)，是 Gerald Combs 于 1998 年启动的一个项目的延续。

Wireshark 拥有丰富的功能集，其中包括：

• 深入检查数百种协议，并不断添加更多协议。
• 实时捕获和离线分析。
• 标准三窗格数据包浏览器。
• 多平台：可在 Windows、Linux、MacOS、Solaris、FreeBSD、NetBSD 和许多其他平台上运行。
• 可通过图形用户界面或 TTY 模式 TShark 实用程序浏览捕获的网络数据。
• 业界最强大的显示滤镜。
• 丰富的 VoIP 分析 (sysin)。
• 读写多种不同的捕获文件格式：TCPump (Libpcapp)、PCAP NG、Catapult DCT2000、Cisco Secure IDS iplog、Microsoft Network Monitor、Network General Sniffer® (压缩和未压缩)、Sniffer®Pro 和 NetXray®、Network Instruments Watch、NetScreen Snoop、Novell LANalyzer、RADCOM 广域/局域网分析器、Shomiti/Finisar Surveyor、Tektronix K12xx、Visual Networks Visual UpTime、WildPackets EtherPeek/TokenPeek/AiroPeek 以及许多其他格式。
• 用 GZIP 压缩的捕获文件可以动态解压缩。
• 可以从以太网、IEEE 802.11、PPP/HDLC、ATM、Bluetooth、USB、Token Ring、Frame Relay、FDDI, 和其他 (取决于您的平台) 读取实时数据。
• 支持多种协议的解密，包括 IPSec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP 和 WPA/WPA2。
• 可以将着色规则应用于数据包列表，以便进行快速、直观的分析。
• 可以将输出导出为 XML、PostScript®、CSV 或纯文本。

Wireshark 4.6.0 发布说明

这是 4.6 分支的第一个正式版本。

本版本包含大量改进。详细内容请参见下方的“新增与更新功能”部分。

✅ 新增与更新功能

以下功能为自 4.6.0rc1 以来的新功能或重大更新：

• Wireshark 现在可以解析 macOS 上 tcpdump 提供的进程信息、数据包元数据、流 ID、丢包信息等内容。

以下功能为自 4.4.0 以来的新功能或重大更新：

• Windows 安装包现附带 Npcap 1.83（之前为 1.79）。
• Windows 和 macOS 安装包现附带 Qt 6.9.3（之前为 6.5.3）。
• macOS 版本现提供 通用安装包（Universal Installer），不再区分 Arm64 与 Intel 架构。Issue 17294
• WinPcap 不再受支持。在 Windows 上请改用 Npcap，并卸载 WinPcap。WinPcap 最后一个版本为 4.1.3（2013 年发布），仅支持至 Windows 8，该系统现已被 Microsoft 与 Wireshark 停止支持。
• 新增 “Plots（散点图）”对话框，与 “I/O Graphs（直方图）” 相比，可展示多种散点数据，支持多图、标记及自动滚动。
• 实时捕获可压缩写入。此前仅在多文件捕获轮换时可压缩。现在 TShark 的 --compress 参数可在实时捕获中使用。Issue 9311
• 绝对时间字段（Absolute time fields）在使用 -T json 输出时，无论在“数据包详情”中如何显示，均使用 UTC 的 ISO 8601 格式。这在 -T ek 中自 4.2.0 版起已启用。
• 时间显示格式更新：-T fields、-T pdml、自定义列或 CSV 输出中，不再使用 asctime 样式（如 Dec 18, 2017 05:28:39 EST），改用 ISO 8601。为向后兼容，可通过 protocols.display_abs_time_ascii 选项切换显示方式。未来版本可能彻底移除 asctime 格式。
• UTC 时间列 现在按 ISO 8601 标准添加 “Z” 后缀。
• TShark -G 参数增强：不再要求必须为第一个参数，并支持与 -o、-d、--disable-protocol 等其他选项配合使用。
• EUI-64 字段类型 改为字节（bytes）类型，以便进行切片与匹配（如 wpan.src64[:3] == eth.src[:3]）。
• NTP 解密支持 NTS（Network Time Security） 协议 (sysin)，前提是捕获中包含 NTS-KE 包和 TLS 密钥。
• MACsec 解密增强：支持使用 MKA 解封的 SAK 或在 MACsec 解析器中配置的 PSK。
• TCP 流图（Stream Graph）坐标轴 现采用 SI 单位。Issue 20197
• 自定义列增强：可选择使用与“数据包详情”相同的格式显示值，并支持复杂表达式按数值排序。
• 新增显示过滤函数 float 与 double，支持类型显式转换与算术操作。
• I/O 图窗口 最小宽度减小，更适合低分辨率桌面。Issue 20147
• X.509 证书导出：可通过菜单 File › Export Objects › X509AF 导出证书，也可在 TShark 中使用 --export-objects x509af。
• HTTP / HTTP2 解析器新增对 Zstandard 压缩编码 的支持。
• 跟踪流（Follow Stream） 现支持 MPEG-2 TS PID 与内部 Packetized Elementary Streams。
• DNP3（分布式网络协议 3） 现支持在会话与端点表中显示。
• Lua 改进：内置的 bit 与 rex_pcre2 库现会自动加入 package.loaded，可通过 require 调用。Issue 20213
• 数据包列表 与 事件列表 不再支持多行显示。Issue 14424
• ethers 文件 现支持 EUI-64 映射。Issue 15487
• Hex Dump 导入功能 支持 2–4 字节分组（含小端模式），并识别带 0x 前缀的偏移。Issue 16193
• Hex Dump 导出 现可包含时间戳前缀（Wireshark 的“打印”与“导出”对话框，以及 TShark 的 --hexdump time 选项）。Issue 17132
• Lua 新增 Conversation 对象，可在脚本中访问会话数据 (sysin)。Issue 15396
• 新增 “编辑 › 复制 › 作为 HTML” 菜单项，可自定义复制格式与键盘快捷键。
• GUI 导出对话框新增 “无重复键 JSON 输出” 选项。
• 导出对话框可输出 原始十六进制字节数据。
• 会话与端点表新增显示 精确字节与比特率 的选项，由偏好项 conv.machine_readable 控制。
• -z <tap>,tree 的 TShark 统计输出格式可通过 -o statistics.output_format 控制。
• 配色方案可独立设置浅色/深色模式，与系统设置无关（需 Qt 6.8+）。Issue 19328
• libxml2 现为构建必需依赖（不支持 2.15.0 版本）。
• View 菜单新增“重新解析数据包（Redissect Packets）”选项，适用于地址解析或解密密钥更新后。
• HTTP2 可选跟踪 3GPP 会话（5G SBI）。
• Windows 构建文档不再需要 Java。
• Linux 上捕获过滤器支持 BPF 扩展（如 inbound、outbound、ifindex）。

✅ 移除的功能与支持

• 不再支持 AirPcap 与 WinPcap。
• 不再支持 libnl v1 / v2。
• CMake 选项 ENABLE_STATIC 已弃用，请改用 BUILD_SHARED_LIBS。

✅ 新增文件格式解析支持

• RIFF（资源交换文件格式）
• TTL 文件格式

✅ 新增协议支持

支持以下协议：

Asymmetric Key Packages (AKP)、Binary HTTP、BIST TotalView-ITCH、BIST TotalView-OUCH、Bluetooth Android HCI、Bluetooth Intel HCI、BPSec COSE Context、BPSec Default SC、Commsignia Capture Protocol (C2P)、DECT NR+、DLMS/COSEM、Ephemeral Diffie-Hellman Over COSE、ILNP、LDA Neo Device Trailer、Lenbrook Service Discovery Protocol、LLC V1、Navitrol、NTS-KE、Ouster VLP-16、Private Line Emulation、RC V3、RCG、Roughtime、SBAS L5、SGP.22、SGP.32、SICK CoLA Ascii/Binary、Silabs Debug Channel、XCP、USB-PTP、VLP-16、vSomeIP Internal Protocol 等。

✅ 更新的协议支持

协议更新数量众多，此处不一一列出。

✅ 新增与更新的捕获文件支持

• 改进了 BLF 文件格式（包括写入功能）。

✅ 新增与更新的捕获接口支持

• Windows： 改进了 etwdump 的用户体验，显示未知事件的原始字节内容。

✅ 主要 API 变更

• Lua API 现支持 Libgcrypt 对称加密函数。

下载地址

Wireshark 在 macOS 和 Windows 上的二进制安装包可以直接下载，同时在 Unix 和 Linux 的内置包管理系统中可用。

Wireshark 4.6.0 for Windows x64 (with PortableApps®)

Wireshark 4.6.0 for macOS arm64（Apple 芯片）

Wireshark 4.6.0 for macOS x64 (Intel 处理器)

• 请访问：https://sysin.org/blog/wireshark-4/

Wireshark for Unix, Linux

Standard package: Wireshark 通过该平台上默认软件包管理系统提供。

更多：HTTP 协议与安全