到来了 Wireshark 4.6 它代表了世界上使用最广泛的网络协议分析仪之一的一次重大更新,就像它发布时一样。 新版本Wireshark 3.0.0此版本引入了一些旨在改善可视化、捕获性能和与其他工具的互操作性的功能,包括微调列、时间格式和统计数据。
除了内部改进之外,该项目还通过以下方式加强了其多平台支持: 更新了适用于 Windows 和 macOS 的软件包,并维护其 Linux 发行版的源代码和 Flatpak 格式。该版本还包含系统依赖项和组件的更改,旨在为专业用户提供更高的稳定性和更清晰的生命周期。
Wireshark 4.6 在分析和可视化方面的亮点
其中一个很棒的补充是 新的“绘图”对话框,它允许生成具有多条轨迹、标记和自动滚动功能的散点图。这有助于在长时间会话或不断变化的流量模式中更快地进行视觉诊断。
这 实时捕捉压缩 写入磁盘时,这在高数据包速率环境中尤其有用。并行地,将绝对时间字段写入 JSON 输出(-T json)的形式如下 ISO 8601 UTC 时间、UTC时间列按照标准显示Z后缀。
在解密方面,Wireshark 现在可以 使用 NTS 解密 NTP (网络时间安全)。为了实现这一点,您需要拥有 TLS 客户端密钥、导出器密钥和数据包。 NTS-KE。此外,处理 MACsec 的能力也得到了扩展:可以使用 SAK 由 MKA 解剖器或 PSK 直接在 MACsec 解析器中配置。为了完整起见, TCP 流图使用 SI 前缀,微调震级读数。
平台改进和捕获调整
在 Linux 上,使用扩展的捕获过滤器 BPF 诸如 inbound、outbound 和 ifindex 等参数可以直接用于捕获,这为高级内核级过滤场景打开了大门。完成后 数据包匹配,字段的底层类型 EUI-64 转换为字节,提高一致性。
在 macOS 上,Wireshark 现在可以处理以下附加信息: tcpdump 提供:进程数据、数据包元数据、流标识符或丢失事件等。这丰富了 Apple 设备的分析功能,无需复杂的配置。
在 Windows 上,安装程序随附 NPCap 1.83 (之前为 1.79),Windows 和 macOS 上的官方软件包均迁移至 Qt 6.9.3 (以前为 6.5.3)。macOS 上提供了通用安装程序, 适用于 Arm64 和 Intel,简化了二进制的选择。
列、表和实用程序:Wireshark 4.6 中的更多控制和一致性
自定义列包含一个选项,用于显示 与详细信息的格式相同 包装,避免面板之间的视觉差异。此外,DNP3 现在出现在 对话 y 端点,并且 ethers 文件支持 EUI-64 名称分配.
GUI 中的解剖导出对话框可以 输出原始十六进制字节 框架为每个字段提供功能,无论是否导出字段值。同时,Lua API 增加了对 Libgcrypt对称加密函数,它扩展了脚本和自动化选项。
在表格本身中 对话 y 端点 添加了开关来显示 精确的字节数 和比特率,而不是使用国际单位制的人可读格式。TShark 首次推出了偏好设置 -o 统计信息.输出格式 控制 某些抽头的输出格式 统计数据。
导入、导出和工作流程
“从十六进制转储导入”功能和 文本2pcap 现在接受 2 至 4 个字节的组,这使得从异构文本转储中重建捕获变得更加容易。此外,您还可以从“打印”和“导出数据包解析”中添加 帧时间戳作为前导码 在十六进制转储中。
包裹清单和事件清单 它们不再允许多行,这提高了可读性并防止意外跳转。它还包含 关注流 对于 PID MPEG-2 传输流,并且可以选择启用 5G 上的 3GPP 会话的 HTTP/2 跟踪。
在编辑菜单中出现«复制 › 为 HTML» 复制带有对齐列的纯文本,并在使用键盘快捷键时选择格式,而在 View 中,该选项被添加到 手动重新剖析包. 当 Wireshark 使用 Qt 6.8 或更高版本(如官方安装程序中)进行编译时, 明暗主题 可以独立于 Windows 和 macOS 上的系统设置进行设置。
添加的格式和协议
在格式部分,Wireshark 4.6 添加了 RIFF 和 TTL 解码,将其范围扩展到纯粹的网络协议之外。
新支持的协议范围广泛,涵盖多个领域:工业包装、汽车、物联网、卫星和移动。其中包括 AKP、二进制 HTTP、BIST TotalView-ITCH y BIST TotalView-OUCH,以及一些蓝牙和捆绑协议安全附加功能:
- 非对称密钥包(AKP)
- 二进制 HTTP
- BIST TotalView-ITCH (BIST-ITCH)
- BIST TotalView-OUCH (BIST-OUCH)
- 蓝牙安卓人机交互(ANDROID HCI)
- 蓝牙英特尔 HCI(INTEL HCI)
- BPSec COSE 上下文和 BPSec 默认 SC
- Commsignia 捕获协议 (C2P)
移动网络技术、测量和专用封装也即将到来,例如 DECT NR+ (DECT-2020), DLMS/COSEM, COSE 上的短暂 Diffie-Hellman, 国际劳工计划,预告片 LDA_NEO_拖车, LSDP, 有限责任公司 V1 以及内部协议 vSomeIP:
- DECT NR+(DECT-2020 新收音机)
- DLMS/COSEM
- COSE 上的短暂 Diffie-Hellman
- 标识符定位网络协议(ILNP)
- LDA Neo 设备拖车(LDA_NEO_TRAILER)
- Lenbrook 服务发现协议 (LSDP)
- 有限责任公司 V1
- vSomeIP 内部协议(vSomeIP)
批次已完成,有支持 Navitrol 消息传递, NTS-KE、激光雷达传感器,例如 驱逐VLP-16, 专线仿真(PLE), RC V3, RCG, 艰难时期, SBAS L5 以及远程 eSIM 配置 SGP.22 y SGP.32:
- Navitrol 消息传递
- 网络时间安全密钥建立协议(NTS-KE)
- 驱逐VLP-16
- 专线仿真(PLE)
- RC V3 和 RCG
- 艰难时期
- SBAS L5导航信息
- SGP.22 GSMA 远程 SIM 配置 (SGP.22)
- SGP.32 GSMA 远程 SIM 配置 (SGP.32)
最后,添加了面向自动化和 USB 等的协议和通道: SICK CoLA(ASCII 和二进制), Silabs 调试通道, XCP, USB-PTP 以及来自的消息 VLP-16 数据和位置.
Wireshark 4.6 已停用的功能和依赖项更改
使用此版本的Wireshark 停止支持 AirPcap 和 WinPcap。在 Windows 系统上,默认使用 Npcap,因此如果系统中仍存在 WinPcap,则可以将其卸载。
对版本的支持也将停止。 libnl 的 1 和 2 (Netlink 协议库套件) libxml2 成为必需的依赖项。在构建级别,CMake 选项 ENABLE_STATIC 被删除,取而代之的是 构建共享库,统一编制标准。
Wireshark 4.6 可用性和下载
Wireshark 4.6 可以从您的 源代码形式的官方网站 编译,以及适用于 Windows 和 macOS 的预编译包。此外,还提供以下内容: 此版本的注释。在 Linux 上,该应用程序可用作 Flathub 上的 Flatpak,方便其在多个发行版上的部署。
如果您已经在使用 4.4 或 4.2 分支,您会注意到其中许多改进 不需要改变流量 并自然地融入日常工作:更有用的图形、更丰富的导出和新的解码功能为更精确的分析打开了大门,而不会牺牲性能。
此版本通过添加以下功能巩固了 Wireshark 作为参考工具的地位 高级可视化,支持新兴协议 并仔细维护包和依赖项,减少每天捕获流量的人和剖析特定格式的人的摩擦。
