Wireshark 4.6.0 现已正式发布,一些具体更新内容如下:
以下功能为自 4.6.0rc1 以来的新功能或重大更新:
- Wireshark 现在可以解析 macOS 上
tcpdump提供的进程信息、数据包元数据、流 ID、丢包信息等内容。
以下功能为自 4.4.0 以来的新功能或重大更新:
- Windows 安装包现附带 Npcap 1.83(之前为 1.79)。
- Windows 和 macOS 安装包现附带 Qt 6.9.3(之前为 6.5.3)。
- macOS 版本现提供 通用安装包(Universal Installer),不再区分 Arm64 与 Intel 架构。Issue 17294
-
WinPcap 不再受支持。在 Windows 上请改用 Npcap,并卸载 WinPcap。WinPcap 最后一个版本为 4.1.3(2013 年发布),仅支持至 Windows 8,该系统现已被 Microsoft 与 Wireshark 停止支持。
-
新增 “Plots(散点图)”对话框,与 “I/O Graphs(直方图)” 相比,可展示多种散点数据,支持多图、标记及自动滚动。
-
实时捕获可压缩写入。此前仅在多文件捕获轮换时可压缩。现在
TShark的--compress参数可在实时捕获中使用。Issue 9311 -
绝对时间字段(Absolute time fields)在使用
-T json输出时,无论在“数据包详情”中如何显示,均使用 UTC 的 ISO 8601 格式。这在-T ek中自 4.2.0 版起已启用。 -
时间显示格式更新:
-T fields、-T pdml、自定义列或 CSV 输出中,不再使用asctime样式(如Dec 18, 2017 05:28:39 EST),改用 ISO 8601。为向后兼容,可通过protocols.display_abs_time_ascii选项切换显示方式。未来版本可能彻底移除asctime格式。 -
UTC 时间列 现在按 ISO 8601 标准添加 “Z” 后缀。
-
TShark
-G参数增强:不再要求必须为第一个参数,并支持与-o、-d、--disable-protocol等其他选项配合使用。 -
EUI-64 字段类型 改为字节(bytes)类型,以便进行切片与匹配(如
wpan.src64[:3] == eth.src[:3])。 -
NTP 解密支持 NTS(Network Time Security) 协议 (sysin),前提是捕获中包含 NTS-KE 包和 TLS 密钥。
-
MACsec 解密增强:支持使用 MKA 解封的 SAK 或在 MACsec 解析器中配置的 PSK。
-
TCP 流图(Stream Graph)坐标轴 现采用 SI 单位。Issue 20197
-
自定义列增强:可选择使用与“数据包详情”相同的格式显示值,并支持复杂表达式按数值排序。
-
新增显示过滤函数
float与double,支持类型显式转换与算术操作。 -
I/O 图窗口 最小宽度减小,更适合低分辨率桌面。Issue 20147
-
X.509 证书导出:可通过菜单 File › Export Objects › X509AF 导出证书,也可在 TShark 中使用
--export-objects x509af。 -
HTTP / HTTP2 解析器新增对 Zstandard 压缩编码 的支持。
-
跟踪流(Follow Stream) 现支持 MPEG-2 TS PID 与内部 Packetized Elementary Streams。
-
DNP3(分布式网络协议 3) 现支持在会话与端点表中显示。
-
Lua 改进:内置的
bit与rex_pcre2库现会自动加入package.loaded,可通过require调用。Issue 20213 -
数据包列表 与 事件列表 不再支持多行显示。Issue 14424
-
ethers 文件 现支持 EUI-64 映射。Issue 15487
-
Hex Dump 导入功能 支持 2–4 字节分组(含小端模式),并识别带
0x前缀的偏移。Issue 16193 -
Hex Dump 导出 现可包含时间戳前缀(Wireshark 的“打印”与“导出”对话框,以及 TShark 的
--hexdump time选项)。Issue 17132 -
Lua 新增
Conversation对象,可在脚本中访问会话数据 (sysin)。Issue 15396 -
新增 “编辑 › 复制 › 作为 HTML” 菜单项,可自定义复制格式与键盘快捷键。
-
GUI 导出对话框新增 “无重复键 JSON 输出” 选项。
-
导出对话框可输出 原始十六进制字节数据。
-
会话与端点表新增显示 精确字节与比特率 的选项,由偏好项
conv.machine_readable控制。 -
-z的 TShark 统计输出格式可通过,tree -o statistics.output_format控制。 -
配色方案可独立设置浅色/深色模式,与系统设置无关(需 Qt 6.8+)。Issue 19328
-
libxml2 现为构建必需依赖(不支持 2.15.0 版本)。
-
View 菜单新增“重新解析数据包(Redissect Packets)”选项,适用于地址解析或解密密钥更新后。
-
HTTP2 可选跟踪 3GPP 会话(5G SBI)。
-
Windows 构建文档不再需要 Java。
-
Linux上捕获过滤器支持 BPF 扩展(如
inbound、outbound、ifindex)。
移除的功能与支持
-
不再支持 AirPcap 与 WinPcap。
-
不再支持 libnl v1 / v2。
-
CMake 选项
ENABLE_STATIC已弃用,请改用BUILD_SHARED_LIBS。
新增文件格式解析支持
-
RIFF(资源交换文件格式)
-
TTL 文件格式
新增协议支持
支持以下协议:
Asymmetric Key Packages (AKP)、Binary HTTP、BIST TotalView-ITCH、BIST TotalView-OUCH、Bluetooth Android HCI、Bluetooth Intel HCI、BPSec COSE Context、BPSec Default SC、Commsignia Capture Protocol (C2P)、DECT NR+、DLMS/COSEM、Ephemeral Diffie-Hellman Over COSE、ILNP、LDA Neo Device Trailer、Lenbrook Service Discovery Protocol、LLC V1、Navitrol、NTS-KE、Ouster VLP-16、Private Line Emulation、RC V3、RCG、Roughtime、SBAS L5、SGP.22、SGP.32、SICK CoLA Ascii/Binary、Silabs Debug Channel、XCP、USB-PTP、VLP-16、vSomeIP Internal Protocol 等。
更新的协议支持
协议更新数量众多,此处不一一列出。
新增与更新的捕获文件支持
- 改进了 BLF 文件格式(包括写入功能)。
新增与更新的捕获接口支持
-
Windows: 改进了
etwdump的用户体验,显示未知事件的原始字节内容。
主要 API 变更
- Lua API 现支持 Libgcrypt 对称加密函数。
更多详情可查看官方公告。
