• 时间:
  • 分类:

Wireshark 4.6.5 for macOS, Linux, Windows - 网络协议分析器

Standard package available on most Unix Linux

请访问原文链接:https://sysin.org/blog/wireshark-4/ 查看最新版。原创作品,转载请保留出处。

作者主页:sysin.org

Wireshark

sysin

Wireshark 简介

Wireshark 是世界上最先进和广泛使用的网络协议分析器。它可以让你在微观层面上看到你的网络上正在发生的事情,并且是许多商业和非营利性企业、政府机构和教育机构的事实上 (通常也是法律上的) 标准。Wireshark 的发展得益于全球网络专家的志愿贡献 (sysin),是 Gerald Combs 于 1998 年启动的一个项目的延续。

sysin

Wireshark 拥有丰富的功能集,其中包括:

  • 深入检查数百种协议,并不断添加更多协议。
  • 实时捕获和离线分析。
  • 标准三窗格数据包浏览器。
  • 多平台:可在 Windows、Linux、MacOS、Solaris、FreeBSD、NetBSD 和许多其他平台上运行。
  • 可通过图形用户界面或 TTY 模式 TShark 实用程序浏览捕获的网络数据。
  • 业界最强大的显示滤镜。
  • 丰富的 VoIP 分析 (sysin)。
  • 读写多种不同的捕获文件格式:TCPump (Libpcapp)、PCAP NG、Catapult DCT2000、Cisco Secure IDS iplog、Microsoft Network Monitor、Network General Sniffer® (压缩和未压缩)、Sniffer®Pro 和 NetXray®、Network Instruments Watch、NetScreen Snoop、Novell LANalyzer、RADCOM 广域/局域网分析器、Shomiti/Finisar Surveyor、Tektronix K12xx、Visual Networks Visual UpTime、WildPackets EtherPeek/TokenPeek/AiroPeek 以及许多其他格式。
  • 用 GZIP 压缩的捕获文件可以动态解压缩。
  • 可以从以太网、IEEE 802.11、PPP/HDLC、ATM、Bluetooth、USB、Token Ring、Frame Relay、FDDI, 和其他 (取决于您的平台) 读取实时数据。
  • 支持多种协议的解密,包括 IPSec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP 和 WPA/WPA2。
  • 可以将着色规则应用于数据包列表,以便进行快速、直观的分析。
  • 可以将输出导出为 XML、PostScript®、CSV 或纯文本。

Wireshark 4.6 新增功能

2026-04-30,4.6.5 发布,这是一个维护版本,专注于 bug 修复和个别组件小版本更新,详情略过。

2025-10-08,4.6.0 发布,这是 4.6 分支的第一个正式版本。

本版本包含大量改进。详细内容请参见下方的“新增与更新功能”部分。

新增与更新功能

以下功能为自 4.6.0rc1 以来的新功能或重大更新:

  • Wireshark 现在可以解析 macOS 上 tcpdump 提供的进程信息、数据包元数据、流 ID、丢包信息等内容。

以下功能为自 4.4.0 以来的新功能或重大更新:

  • Windows 安装包现附带 Npcap 1.83(之前为 1.79)。
  • Windows 和 macOS 安装包现附带 Qt 6.9.3(之前为 6.5.3)。
  • macOS 版本现提供 通用安装包(Universal Installer),不再区分 Arm64 与 Intel 架构。Issue 17294
  • WinPcap 不再受支持。在 Windows 上请改用 Npcap,并卸载 WinPcap。WinPcap 最后一个版本为 4.1.3(2013 年发布),仅支持至 Windows 8,该系统现已被 Microsoft 与 Wireshark 停止支持。
  • 新增 “Plots(散点图)”对话框,与 “I/O Graphs(直方图)” 相比,可展示多种散点数据,支持多图、标记及自动滚动。
  • 实时捕获可压缩写入。此前仅在多文件捕获轮换时可压缩。现在 TShark--compress 参数可在实时捕获中使用。Issue 9311
  • 绝对时间字段(Absolute time fields)在使用 -T json 输出时,无论在“数据包详情”中如何显示,均使用 UTC 的 ISO 8601 格式。这在 -T ek 中自 4.2.0 版起已启用。
  • 时间显示格式更新-T fields-T pdml、自定义列或 CSV 输出中,不再使用 asctime 样式(如 Dec 18, 2017 05:28:39 EST),改用 ISO 8601。为向后兼容,可通过 protocols.display_abs_time_ascii 选项切换显示方式。未来版本可能彻底移除 asctime 格式。
  • UTC 时间列 现在按 ISO 8601 标准添加 “Z” 后缀。
  • TShark -G 参数增强:不再要求必须为第一个参数,并支持与 -o-d--disable-protocol 等其他选项配合使用。
  • EUI-64 字段类型 改为字节(bytes)类型,以便进行切片与匹配(如 wpan.src64[:3] == eth.src[:3])。
  • NTP 解密支持 NTS(Network Time Security) 协议 (sysin),前提是捕获中包含 NTS-KE 包和 TLS 密钥。
  • MACsec 解密增强:支持使用 MKA 解封的 SAK 或在 MACsec 解析器中配置的 PSK。
  • TCP 流图(Stream Graph)坐标轴 现采用 SI 单位。Issue 20197
  • 自定义列增强:可选择使用与“数据包详情”相同的格式显示值,并支持复杂表达式按数值排序。
  • 新增显示过滤函数 floatdouble,支持类型显式转换与算术操作。
  • I/O 图窗口 最小宽度减小,更适合低分辨率桌面。Issue 20147
  • X.509 证书导出:可通过菜单 File › Export Objects › X509AF 导出证书,也可在 TShark 中使用 --export-objects x509af
  • HTTP / HTTP2 解析器新增对 Zstandard 压缩编码 的支持。
  • 跟踪流(Follow Stream) 现支持 MPEG-2 TS PID 与内部 Packetized Elementary Streams
  • DNP3(分布式网络协议 3) 现支持在会话与端点表中显示。
  • Lua 改进:内置的 bitrex_pcre2 库现会自动加入 package.loaded,可通过 require 调用。Issue 20213
  • 数据包列表事件列表 不再支持多行显示。Issue 14424
  • ethers 文件 现支持 EUI-64 映射Issue 15487
  • Hex Dump 导入功能 支持 2–4 字节分组(含小端模式),并识别带 0x 前缀的偏移。Issue 16193
  • Hex Dump 导出 现可包含时间戳前缀(Wireshark 的“打印”与“导出”对话框,以及 TShark 的 --hexdump time 选项)。Issue 17132
  • Lua 新增 Conversation 对象,可在脚本中访问会话数据 (sysin)。Issue 15396
  • 新增 “编辑 › 复制 › 作为 HTML” 菜单项,可自定义复制格式与键盘快捷键。
  • GUI 导出对话框新增 “无重复键 JSON 输出” 选项。
  • 导出对话框可输出 原始十六进制字节数据
  • 会话与端点表新增显示 精确字节与比特率 的选项,由偏好项 conv.machine_readable 控制。
  • -z <tap>,tree 的 TShark 统计输出格式可通过 -o statistics.output_format 控制。
  • 配色方案可独立设置浅色/深色模式,与系统设置无关(需 Qt 6.8+)。Issue 19328
  • libxml2 现为构建必需依赖(不支持 2.15.0 版本)。
  • View 菜单新增“重新解析数据包(Redissect Packets)”选项,适用于地址解析或解密密钥更新后。
  • HTTP2 可选跟踪 3GPP 会话(5G SBI)
  • Windows 构建文档不再需要 Java。
  • Linux 上捕获过滤器支持 BPF 扩展(如 inboundoutboundifindex)。

移除的功能与支持

  • 不再支持 AirPcapWinPcap
  • 不再支持 libnl v1 / v2
  • CMake 选项 ENABLE_STATIC 已弃用,请改用 BUILD_SHARED_LIBS

新增文件格式解析支持

  • RIFF(资源交换文件格式)
  • TTL 文件格式

新增协议支持

支持以下协议:

Asymmetric Key Packages (AKP)、Binary HTTP、BIST TotalView-ITCH、BIST TotalView-OUCH、Bluetooth Android HCI、Bluetooth Intel HCI、BPSec COSE Context、BPSec Default SC、Commsignia Capture Protocol (C2P)、DECT NR+、DLMS/COSEM、Ephemeral Diffie-Hellman Over COSE、ILNP、LDA Neo Device Trailer、Lenbrook Service Discovery Protocol、LLC V1、Navitrol、NTS-KE、Ouster VLP-16、Private Line Emulation、RC V3、RCG、Roughtime、SBAS L5、SGP.22、SGP.32、SICK CoLA Ascii/Binary、Silabs Debug Channel、XCP、USB-PTP、VLP-16、vSomeIP Internal Protocol 等。

更新的协议支持

协议更新数量众多,此处不一一列出。

新增与更新的捕获文件支持

  • 改进了 BLF 文件格式(包括写入功能)。

新增与更新的捕获接口支持

  • Windows:改进了 etwdump 的用户体验,显示未知事件的原始字节内容。

主要 API 变更

  • Lua API 现支持 Libgcrypt 对称加密函数

下载地址

Wireshark 在 macOS 和 Windows 上的二进制安装包可以直接下载,同时在 Unix 和 Linux 的内置包管理系统中可用。

Wireshark 4.6.5 for macOS Universal(Apple 芯片/Intel 处理器)

Wireshark 4.6.5 for Windows x64 (with PortableApps®)

Wireshark 4.6.5 for Windows arm64

Wireshark for Unix, Linux

Standard package: Wireshark 通过该平台上默认软件包管理系统提供。

Vendor / PlatformSources
Alpine / Alpine LinuxStandard package
Apple / macOSHomebrew cask (includes UI) Homebrew formula (CLI only) MacPorts Fink
Arch Linux / Arch LinuxStandard package
Canonical / UbuntuStandard package Latest stable PPA
Debian / Debian GNU/LinuxStandard package
The FreeBSD Project / FreeBSDStandard package
Gentoo Foundation / Gentoo LinuxStandard package
HP / HP-UXPorting And Archive Centre for HP-UX
NetBSD Foundation / NetBSDStandard package
NixOS / NixOSStandard package
Novell / openSUSE, SUSE LinuxStandard package
Offensive Security / Kali LinuxStandard package
PCLinuxOS / PCLinuxOSStandard package
Red Hat / FedoraStandard package
Red Hat / Red Hat Enterprise LinuxStandard package
Slackware Linux / SlackwareSlackBuilds.org
Oracle / Solaris 11Standard package
* / *The Written Word

更多:HTTP 协议与安全

标签: none

添加新评论