Wireshark(網(wǎng)絡(luò)過(guò)濾抓包工具)是一款免費(fèi)開源的網(wǎng)絡(luò)嗅探抓包工具，是世界上最流行的網(wǎng)絡(luò)協(xié)議分析器，本次帶來(lái)的是由作者h(yuǎn)aochj漢化的wireshark中文版下載，支持Windows XP，需要的朋友千萬(wàn)不要錯(cuò)過(guò)哦！

網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換，可以實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)通訊數(shù)據(jù)，檢測(cè)其抓取的網(wǎng)絡(luò)通訊數(shù)據(jù)快照文件，通過(guò)圖形界面瀏覽這些數(shù)據(jù)，可以查看網(wǎng)絡(luò)通訊數(shù)據(jù)包中每一層的詳細(xì)內(nèi)容。此外它還擁有許多強(qiáng)大的特性：例如包含有強(qiáng)顯示過(guò)濾器語(yǔ)言和查看TCP會(huì)話重構(gòu)流的能力，支持上百種協(xié)議和媒體類型。

注意:如果你選擇中文的話，請(qǐng)選擇合適的字體，具體在編輯->首選項(xiàng)設(shè)置->用戶接口->字體中設(shè)置!

ps：雙擊運(yùn)行“WiresharkPortable.exe”時(shí)，會(huì)自動(dòng)出現(xiàn)“WinPcap“的安裝界面，請(qǐng)先安裝WinPcap，關(guān)閉就是Wireshark軟件頁(yè)面了！

使用目的

Wireshark中文版中文版使用目的

以下是一些使用Wireshark中文版目的的例子：

網(wǎng)絡(luò)管理員使用Wireshark中文版來(lái)檢測(cè)網(wǎng)絡(luò)問(wèn)題，網(wǎng)絡(luò)安全工程師使用Wireshark中文版來(lái)檢查資訊安全相關(guān)問(wèn)題，開發(fā)者使用Wireshark中文版來(lái)為新的通訊協(xié)定除錯(cuò)，普通使用者使用Wireshark中文版來(lái)學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識(shí)。當(dāng)然，有的人也會(huì)“居心叵測(cè)”的用它來(lái)尋找一些敏感信息……

Wireshark中文版不是入侵偵測(cè)系統(tǒng)（Intrusion Detection System,IDS）。對(duì)于網(wǎng)絡(luò)上的異常流量行為，Wireshark中文版不會(huì)產(chǎn)生警示或是任何提示。然而，仔細(xì)分析Wireshark中文版擷取的封包能夠幫助使用者對(duì)于網(wǎng)絡(luò)行為有更清楚的了解。Wireshark中文版不會(huì)對(duì)網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改，它只會(huì)反映出目前流通的封包資訊。 Wireshark中文版本身也不會(huì)送出封包至網(wǎng)絡(luò)上。

軟件說(shuō)明

Wireshark抓包示例

1、下載并且安裝好Wireshark后打開軟件（本文以Wireshark Version 3.4.9 介紹）打開后我們可以看到，Wireshark可以自動(dòng)識(shí)別出電腦上面的網(wǎng)卡（包括虛擬網(wǎng)卡），這里我們雙擊我們需要抓包的網(wǎng)卡。

2、雙擊進(jìn)入此界面后，Wireshark已經(jīng)自動(dòng)開始了抓包過(guò)程，如果網(wǎng)卡在與其他網(wǎng)絡(luò)設(shè)備通訊，我們就能看到如下圖所示的各種網(wǎng)絡(luò)協(xié)議報(bào)文。

3、ping www.ebyte.com

4、由于Wireshark抓取的是網(wǎng)卡物理層的數(shù)據(jù)，所以所有通過(guò)該網(wǎng)卡收發(fā)的數(shù)據(jù)都會(huì)被Wireshark抓取，這就讓我們從海量數(shù)據(jù)中找到我們需要關(guān)注的網(wǎng)絡(luò)包就如同大海撈針，但是Wireshark提供了強(qiáng)大的數(shù)據(jù)包過(guò)濾功能，我們就能比較輕松地找到對(duì)應(yīng)的包。比如上面我已經(jīng)ping了我司官網(wǎng)，現(xiàn)在Wireshark已經(jīng)抓取了兩萬(wàn)多條報(bào)文，只要通過(guò)在過(guò)濾器輸入”ip.addr == 101.37.40.78 && icmp“就能找到對(duì)應(yīng)的報(bào)文。

TCP報(bào)文抓包分析示例

1、開啟Wireshark的抓包功能后，通過(guò)電腦連接到本地搭建的回顯服務(wù)器，電腦上面的客服端發(fā)送了一段數(shù)據(jù)到服務(wù)器，服務(wù)器回傳到電腦上的客戶端。

2、此時(shí)我們?cè)赪ireshark的過(guò)濾欄中輸入“ip.addr == 192.168.3.6”就能過(guò)濾出網(wǎng)絡(luò)報(bào)文中基于IP協(xié)議簇，且IP地址（源地址或目標(biāo)地址）為192.168.3.6的網(wǎng)絡(luò)報(bào)文。如下圖所示：

Wireshark在封包展示界面中根據(jù)網(wǎng)絡(luò)協(xié)議模型，展示出了各層協(xié)議的重要信息如下圖所示：

Frame:表示物理層

Ethernet II :數(shù)據(jù)鏈路層信息，包括源主機(jī)MAC，目標(biāo)主機(jī)MAC與協(xié)議類型如IPV4(0x0800)

Internet Protocol Version 4:IP協(xié)議幀信息，包括源主機(jī)IP地址，目標(biāo)主機(jī)IP地址等

Transmission Control Protocol:TCP協(xié)議相關(guān)信息，包括源端口與目標(biāo)端口號(hào)，接收窗口大小等

3、TCP握手過(guò)程

Wireshark常用過(guò)濾器設(shè)置

1、Wireshark中的邏輯運(yùn)算符

1.1比較運(yùn)算符如：== （等于）、！=（不等于） 、>（大于） 、<（小于） 、>=（大于等于） 、<=（小于等于）

ip.src == 192.168.3.6 過(guò)濾源主機(jī)IP地址或者目標(biāo)主機(jī)IP地址為192.168.3.6的報(bào)文

1.2邏輯運(yùn)算符如：&&（與）、||（或）、?。ǚ牵?/p>

ip.src == 192.168.3.6 && && tcp.srcport == 8001,則只顯示報(bào)文源主機(jī)地址為192.168.3.6且源端口為為8001的報(bào)文

2、協(xié)議過(guò)濾

根據(jù)網(wǎng)絡(luò)協(xié)議過(guò)濾報(bào)文，即在抓包過(guò)濾框中輸入?yún)f(xié)議相關(guān)字段即可，包括”TCP”,”UDP””HTTP””ICMP”等。

3、MAC地址過(guò)濾

eth.addr == 38:3b:26:88:02:dd 過(guò)濾源主機(jī)MAC地址或者目標(biāo)主機(jī)MAC地址為38:3b:26:88:02:dd的報(bào)文

eth.src== 38:3b:26:88:02:dd 過(guò)濾源主機(jī)MAC地址為38:3b:26:88:02:dd的報(bào)文

4、ip地址過(guò)濾

Ip.addr == 192.168.3.6 過(guò)濾源主機(jī)IP地址或者目標(biāo)主機(jī)IP地址為192.168.3.6的報(bào)文

Ip.src== 192.168.3.6 過(guò)濾源主機(jī)IP地址為192.168.3.6的報(bào)文

ip.dst == 192.168.3.240 過(guò)濾目標(biāo)主機(jī)IP地址為192.168.3.240的報(bào)文

5、端口過(guò)濾

tcp.port==80 過(guò)濾基于TCP協(xié)議且目標(biāo)端口號(hào)或源端口號(hào)為80的報(bào)文

udp.srcport == 8001 過(guò)濾基于UDP協(xié)議且端口號(hào)為8001的報(bào)文

tcp.dstport == 8001 過(guò)濾基于TCP協(xié)議且目標(biāo)端口號(hào)為8001的報(bào)文

6、Http模式過(guò)濾

http.request.method=="GET", 過(guò)濾基于http協(xié)議且http請(qǐng)求方式為”GET”的報(bào)文

工作流程

1.確定Wireshark中文版的位置

如果沒(méi)有一個(gè)正確的位置，啟動(dòng)Wireshark中文版后會(huì)花費(fèi)很長(zhǎng)的時(shí)間捕獲一些與自己無(wú)關(guān)的數(shù)據(jù)。

2.選擇捕獲接口

一般都是選擇連接到Internet網(wǎng)絡(luò)的接口，這樣才可以捕獲到與網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)。否則，捕獲到的其它數(shù)據(jù)對(duì)自己也沒(méi)有任何幫助。

3.使用捕獲過(guò)濾器

通過(guò)在Wireshark中文版設(shè)置捕獲過(guò)濾器，可以避免產(chǎn)生過(guò)大的捕獲文件。這樣用戶在分析數(shù)據(jù)時(shí)，也不會(huì)受其它數(shù)據(jù)干擾。而且，還可以為用戶節(jié)約大量的時(shí)間。

4.使用顯示過(guò)濾器

通常使用捕獲過(guò)濾器過(guò)濾后的數(shù)據(jù)，往往還是很復(fù)雜。為了使過(guò)濾的數(shù)據(jù)包再更細(xì)致，此時(shí)使用顯示過(guò)濾器進(jìn)行過(guò)濾。

5.使用著色規(guī)則

通常使用顯示過(guò)濾器過(guò)濾后的數(shù)據(jù)，都是有用的數(shù)據(jù)包。如果想更加突出的顯示某個(gè)會(huì)話，可以使用著色規(guī)則高亮顯示。

6.構(gòu)建圖表

如果用戶想要更明顯的看出一個(gè)網(wǎng)絡(luò)中數(shù)據(jù)的變化情況，使用圖表的形式可以很方便的展現(xiàn)數(shù)據(jù)分布情況。

7.重組數(shù)據(jù)

Wireshark中文版的重組功能，可以重組一個(gè)會(huì)話中不同數(shù)據(jù)包的信息，或者是一個(gè)重組一個(gè)完整的圖片或文件。由于傳輸?shù)奈募^大，所以信息分布在多個(gè)數(shù)據(jù)包中。為了能夠查看到整個(gè)圖片或文件，這時(shí)候就需要使用重組數(shù)據(jù)的方法來(lái)實(shí)現(xiàn)。

軟件特色

Wireshark捕獲工具具有許多強(qiáng)大的功能。

包括豐富的顯示過(guò)濾器語(yǔ)言和查看TCP會(huì)話重建流的功能。

它還支持?jǐn)?shù)百種協(xié)議和媒體類型。

有一個(gè)稱為tethereal的命令行版本，類似于tcpdump（Linux上的網(wǎng)絡(luò)協(xié)議分析工具）。

過(guò)去，網(wǎng)絡(luò)數(shù)據(jù)包分析軟件要么非常昂貴，要么專門為使用而設(shè)計(jì)。

隨著Ethereal的出現(xiàn)，一切都發(fā)生了變化。

在GNU GPL通用許可的保護(hù)下，您可以免費(fèi)獲得該軟件及其代碼，并有權(quán)修改和自定義源代碼。 Ethereal是世界上使用最廣泛的網(wǎng)絡(luò)數(shù)據(jù)包分析軟件之一。

功能介紹

1、軟件提供了強(qiáng)顯示過(guò)濾器語(yǔ)言。

2、軟件提供了查看tcp會(huì)話重構(gòu)流的功能。

3、軟件支持上百種協(xié)議和媒體類型。

4、擁有一個(gè)類似tcpdump的名為tethereal的的命令行版本。

5、擁有針對(duì)其原始碼修改及客制化的權(quán)利。

使用說(shuō)明

1、確定Wireshark的位置，如果沒(méi)有一個(gè)正確的位置，啟動(dòng)Wireshark后會(huì)花費(fèi)很長(zhǎng)的時(shí)間捕獲一些與自己無(wú)關(guān)的數(shù)據(jù)。

2、選擇捕獲接口，一般都是選擇連接到Internet網(wǎng)絡(luò)的接口，這樣才可以捕獲到與網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)。否則，捕獲到的其它數(shù)據(jù)對(duì)自己也沒(méi)有任何幫助。

3、使用捕獲過(guò)濾器，通過(guò)設(shè)置捕獲過(guò)濾器，可以避免產(chǎn)生過(guò)大的捕獲文件。這樣用戶在分析數(shù)據(jù)時(shí)，也不會(huì)受其它數(shù)據(jù)干擾。而且，還可以為用戶節(jié)約大量的時(shí)間。

4、使用顯示過(guò)濾器，通常使用捕獲過(guò)濾器過(guò)濾后的數(shù)據(jù)，往往還是很復(fù)雜。為了使過(guò)濾的數(shù)據(jù)包再更細(xì)致，此時(shí)使用顯示過(guò)濾器進(jìn)行過(guò)濾。

5、使用著色規(guī)則，通常使用顯示過(guò)濾器過(guò)濾后的數(shù)據(jù)，都是有用的數(shù)據(jù)包。如果想更加突出的顯示某個(gè)會(huì)話，可以使用著色規(guī)則高亮顯示。

6、構(gòu)建圖表，如果用戶想要更明顯的看出一個(gè)網(wǎng)絡(luò)中數(shù)據(jù)的變化情況，使用圖表的形式可以很方便的展現(xiàn)數(shù)據(jù)分布情況。

7、重組數(shù)據(jù).Wireshark的重組功能，可以重組一個(gè)會(huì)話中不同數(shù)據(jù)包的信息，或者是一個(gè)重組一個(gè)完整的圖片或文件。由于傳輸?shù)奈募^大，所以信息分布在多個(gè)數(shù)據(jù)包中。為了能夠查看到整個(gè)圖片或文件，這時(shí)候就需要使用重組數(shù)據(jù)的方法來(lái)實(shí)現(xiàn)。

更新日志

Wireshark可解析進(jìn)程信息、數(shù)據(jù)包元數(shù)據(jù)、流標(biāo)識(shí)符、丟包信息及其他由內(nèi)核提供的監(jiān)控?cái)?shù)據(jù)。tcpdump在macOS上。

以下功能為新增功能，或自版本4.4.0以來(lái)進(jìn)行了重大更新：

Windows安裝程序現(xiàn)在附帶Npcap 1.83版本，此前使用的是Npcap 1.79版本。

Windows和macOS安裝程序現(xiàn)已內(nèi)置Qt 6.9.3版本（此前為Qt 6.5.3版本）。

我們現(xiàn)在提供通用的macOS安裝包，不再分別提供Arm64和Intel架構(gòu)的獨(dú)立安裝包。問(wèn)題17294

WinPcap已不再受支持。在Windows系統(tǒng)上，請(qǐng)改用Npcap，必要時(shí)卸載WinPcap。 WinPcap的最終版本是2013年發(fā)布的4.1.3版。 它僅支持到Windows 8系統(tǒng)，而該操作系統(tǒng)已不再獲得微軟或Wireshark的官方支持。

新增了一個(gè)“繪圖”對(duì)話框，與提供直方圖的“I/O圖表”對(duì)話框不同，該對(duì)話框提供散點(diǎn)圖。繪圖對(duì)話框窗口支持多圖繪制、標(biāo)記功能及自動(dòng)滾動(dòng)。

實(shí)時(shí)捕獲的數(shù)據(jù)在寫入時(shí)即可壓縮（此前僅支持多文件捕獲時(shí)的文件輪換期間壓縮）。--compressTShark中的選項(xiàng)同樣適用于實(shí)時(shí)捕獲。問(wèn)題9311

絕對(duì)時(shí)間字段，無(wú)論數(shù)據(jù)包詳情中如何顯示，使用-T json選項(xiàng)時(shí)始終以UTC時(shí)區(qū)的ISO 8601格式寫入。自4.2.0版本起，-T ek選項(xiàng)就已采用此格式。JSON主要是由軟件讀取的數(shù)據(jù)交換格式，因此采用標(biāo)準(zhǔn)格式更為理想。

當(dāng)絕對(duì)時(shí)間字段通過(guò)-T字段輸出、-T pdml的"show"字段或在自定義列（包括列的CSV輸出）中時(shí)，類似asctime的格式（例如Dec 18, 2017 05:28:39.071704055 EST）已被棄用，改用ISO 8601格式。為了向后兼容，添加了一個(gè)首選項(xiàng)protocols.display_abs_time_ascii，可以設(shè)置為繼續(xù)使用之前的格式。該首選項(xiàng)也可以設(shè)置為從不使用ASCII時(shí)間，并在協(xié)議樹（數(shù)據(jù)包詳情）中使用ISO 8601時(shí)間格式。同樣地，未來(lái)的版本可能會(huì)完全移除ascitime風(fēng)格的格式設(shè)置。

UTC時(shí)間列的格式（當(dāng)選擇UTC時(shí)間顯示格式時(shí)，包括“時(shí)間（按指定格式顯示）”）根據(jù)ISO 8601標(biāo)準(zhǔn)帶有“Z”后綴。 本地時(shí)間格式則無(wú)后綴（即使本地時(shí)區(qū)是UTC）。 顯示FT_ABSOLUTE_TIME的自定義列已包含時(shí)區(qū)標(biāo)識(shí)。

TShark-G生成詞匯表報(bào)告的選項(xiàng)不再需要作為命令行中的首個(gè)選項(xiàng)。此外，報(bào)告現(xiàn)在會(huì)受到其他命令行選項(xiàng)的影響，例如-o, -d，并且--disable-protocol除此之外，-C已經(jīng)支持的選項(xiàng)。defaultprefs報(bào)告不受任何其他選項(xiàng)的影響。） 作為這一變更的一部分，-G不帶參數(shù)的用法已被棄用，不再支持。請(qǐng)改用tshark -G fields生成相同的報(bào)告。 此外，僅列出具有特定前綴字段的語(yǔ)法已更改為tshark -G fields,prefix.

在數(shù)據(jù)包匹配時(shí)，EUI-64字段的基礎(chǔ)類型已改為字節(jié)類型，這與大多數(shù)其他地址格式類似。這意味著EUI-64地址可進(jìn)行切片操作，并能與其他字節(jié)類型（例如過(guò)濾器）進(jìn)行比較。wpan.src64[:3] == eth.src[:3]雖然字段仍可使用64位無(wú)符號(hào)整數(shù)字面量來(lái)指定，但不再支持與其他整數(shù)進(jìn)行算術(shù)運(yùn)算。

Wireshark現(xiàn)已支持通過(guò)NTS（網(wǎng)絡(luò)時(shí)間安全協(xié)議）解密NTP數(shù)據(jù)包。解密需滿足以下條件：捕獲數(shù)據(jù)中需包含NTS-KE（網(wǎng)絡(luò)時(shí)間安全密鑰建立協(xié)議）數(shù)據(jù)包，同時(shí)需提供TLS客戶端及導(dǎo)出密鑰。此外，系統(tǒng)會(huì)對(duì)NTP數(shù)據(jù)包中可進(jìn)行密碼學(xué)驗(yàn)證的部分（從NTP包頭開始，直至NTS認(rèn)證域與加密擴(kuò)展域之前的最后一個(gè)擴(kuò)展域結(jié)束）進(jìn)行有效性校驗(yàn)。

Wireshark解密MACsec數(shù)據(jù)包的功能已擴(kuò)展為可選用MKA解析器解封的SAK，或MACsec解析器中配置的PSK。若需MKA解析器解封SAK，可在其首選項(xiàng)的擴(kuò)展CKN/CAK信息用戶屬性表中輸入對(duì)應(yīng)CKN的CAK。同時(shí)，MACsec解析器通過(guò)PSK解密數(shù)據(jù)包的能力現(xiàn)已支持多PSK列表，用戶可通過(guò)新增屬性表錄入這些密鑰。

TCP流圖坐標(biāo)軸現(xiàn)在采用帶國(guó)際單位制前綴的單位。問(wèn)題20197

自定義列可以選擇以與數(shù)據(jù)包詳情相同的格式顯示數(shù)值。

自定義列的復(fù)雜表達(dá)式（如包含算術(shù)、篩選函數(shù)等并返回?cái)?shù)值結(jié)果的）將按數(shù)值而非字典順序進(jìn)行排序。

顯示篩選功能float而double添加這些功能是為了允許將整數(shù)和時(shí)間等字段類型顯式轉(zhuǎn)換為單精度和雙精度浮點(diǎn)數(shù)。它們可用于對(duì)不同類型的字段執(zhí)行進(jìn)一步的算術(shù)運(yùn)算，包括在自定義列定義中進(jìn)行操作。

I/O圖表對(duì)話框的最小寬度已減小，因此它應(yīng)能在低分辨率桌面上更好地顯示，尤其是在某些語(yǔ)言環(huán)境下。為實(shí)現(xiàn)此調(diào)整，部分復(fù)選框控件已移至圖表的右鍵上下文菜單中。問(wèn)題20147

TLS等場(chǎng)景中使用的X.509證書可通過(guò)文件 › 導(dǎo)出對(duì)象Wireshark 菜單中（名為“X509AF”）--export-objects在TShark中（使用協(xié)議名稱x509af.)

Zstandard內(nèi)容編碼在HTTP和HTTP/2解析器中受支持。

跟隨流功能支持MPEG-2傳輸流PID，以及封裝在MPEG-2傳輸流中的分組化基本流。后者可用于提取音頻或視頻，以便使用其他工具進(jìn)行播放。

DNP 3（分布式網(wǎng)絡(luò)協(xié)議3）現(xiàn)已支持在會(huì)話和端點(diǎn)表對(duì)話框中使用。

Lua提供的預(yù)加載庫(kù)bit和rex_pcre2以某種方式加載它們，從而將其添加至package.loaded桌子，仿佛穿過(guò)require以便require("bit")和require("rex_pcre2")Lua解析器中的return語(yǔ)句通常多余，但仍按預(yù)期執(zhí)行。問(wèn)題20213

數(shù)據(jù)包列表（Wireshark）和事件列表（Stratoshark）不再支持多行顯示的行項(xiàng)。問(wèn)題14424

這個(gè)以太幣文件也可包含EUI-64到名稱的映射關(guān)系。問(wèn)題15487

Wireshark的"從十六進(jìn)制轉(zhuǎn)儲(chǔ)導(dǎo)入"功能及text2pcap工具現(xiàn)支持2至4字節(jié)的字節(jié)組（可選小端字節(jié)序），并支持帶十六進(jìn)制偏移量的輸入。0x或0X前綴（由...產(chǎn)生）tcpdump -x等等）。問(wèn)題16193

幀時(shí)間戳可以在Wireshark中通過(guò)"打印"和"導(dǎo)出數(shù)據(jù)包解析"對(duì)話框添加到十六進(jìn)制轉(zhuǎn)儲(chǔ)的前導(dǎo)部分，在TShark中也可通過(guò)相應(yīng)選項(xiàng)實(shí)現(xiàn)。--hexdump time選項(xiàng)問(wèn)題17132

Lua現(xiàn)在有了Conversation對(duì)象，用于向Lua公開對(duì)話及對(duì)話數(shù)據(jù)。問(wèn)題15396

安編輯 › 復(fù)制 › 作為HTML菜單項(xiàng)已添加，同時(shí)包含相關(guān)上下文菜單項(xiàng)和鍵盤快捷鍵功能。該選項(xiàng)提供（通過(guò)偏好設(shè)置中的旋鈕調(diào)節(jié)）復(fù)制純文本并保持列對(duì)齊的功能，并支持在通過(guò)鍵盤快捷鍵復(fù)制時(shí)選擇使用的復(fù)制格式。

tshark自2.6.0版本起支持的"無(wú)重復(fù)鍵"JSON輸出格式可通過(guò)圖形界面中的"導(dǎo)出解析結(jié)果"對(duì)話框獲取。需要注意的是，若具有相同鍵名的兄弟節(jié)點(diǎn)非連續(xù)排列，此格式不一定能完全保留樹結(jié)構(gòu)中所有子元素的原始順序。

GUI導(dǎo)出解析對(duì)話框可輸出幀數(shù)據(jù)的原始十六進(jìn)制字節(jié)，無(wú)論是否導(dǎo)出字段值均可實(shí)現(xiàn)，其格式分別對(duì)應(yīng)于TShark的“-T json -x”和“-T jsonraw”輸出模式。

The Conversations and Endpoints dialogs have an option to display byte counts and bit rates in exact counts instead of human-readable numbers with SI units. The default setting when opening a dialog is controlled by a Statistics preference, "conv.machine_readable". The same preference controls whether precise byte counts are used in the TShark "-z conv" and "-z endpoints" taps.
對(duì)話和端點(diǎn)對(duì)話框提供選項(xiàng)，可顯示精確的字節(jié)計(jì)數(shù)與比特率，而非采用國(guó)際單位制的人類可讀數(shù)值。對(duì)話框打開時(shí)的默認(rèn)設(shè)置由統(tǒng)計(jì)首選項(xiàng)"conv.machine_readable"控制。該首選項(xiàng)同樣控制TShark中"-z conv"與"-z endpoints"輸出是否使用精確字節(jié)計(jì)數(shù)。

部分TShark統(tǒng)計(jì)工具（通過(guò)"-z <tap>,tree"選中的、使用stats_tree系統(tǒng)的工具）的輸出格式可通過(guò)偏好設(shè)置"-o statistics.output_format"進(jìn)行控制。
若Wireshark采用Qt 6.8或更高版本構(gòu)建（如官方安裝程序所示），其配色方案可獨(dú)立于Windows與macOS當(dāng)前系統(tǒng)默認(rèn)設(shè)置，單獨(dú)設(shè)為淺色或深色模式。問(wèn)題19328

libxml2 現(xiàn)已成為必備依賴項(xiàng)。 請(qǐng)注意，Wireshark 無(wú)法與 libxml2 2.15.0 版本兼容構(gòu)建，但其他版本應(yīng)可正常使用。

這個(gè)查看菜單提供手動(dòng)重新解析數(shù)據(jù)包的選項(xiàng)，當(dāng)?shù)刂方馕龌蚪饷苊荑€發(fā)生變化時(shí)，此功能非常實(shí)用。

5G基于服務(wù)的接口上3GPP會(huì)話的HTTP2追蹤現(xiàn)為可選功能。啟用后，系統(tǒng)將在確認(rèn)為會(huì)話所屬的HTTP2流中添加"關(guān)聯(lián)IMSI"字段。

在Windows上構(gòu)建文檔不再需要Java。

在Linux系統(tǒng)中，使用BPF擴(kuò)展（如"inbound"、"outbound"和"ifindex"）的捕獲過(guò)濾器可用于抓包（并通過(guò)編譯過(guò)濾器對(duì)話框進(jìn)行編譯）。這些語(yǔ)法不會(huì)被語(yǔ)法檢查器始終拒絕，而是會(huì)被標(biāo)記為未知狀態(tài)。

移除的功能和支持

Wireshark 不再支持 AirPcap 和 WinPcap。

Wireshark 不再支持 libnl 1.x 或 2.x 版本。

這個(gè)ENABLE_STATICCMake選項(xiàng)已被棄用，轉(zhuǎn)而采用BUILD_SHARED_LIBS