跨平臺網絡抓包工具Wireshark 4.0來了

聊到Wireshark，相信不少同學都使用過，某一程度上來說也可謂是程序員裝機必備的軟件工具之一了。

不管是以前的計網學習，還是后來工作過程中進行問題排查需要進行協(xié)議報文分析等場景，基本上都是使用Wireshark來進行的網絡抓包、查看、以及報文的分析。

Wireshark是世界上最流行的網絡協(xié)議分析器，可被用于故障排除、分析、開發(fā)、以及教育。

這不前段時間，Wireshark 4.0 大版本正式發(fā)布了！

整體來看，自3.6版本以來，新版也帶來了不少變化。

默認的主窗口布局

在過去的版本中，Wireshark 遵循其前輩們制定的標準，將數(shù)據(jù)包列表、數(shù)據(jù)包細節(jié)和字節(jié)視圖放在彼此的上面，就像這樣：

這個標準是很久以前制定的，當時大多數(shù)顯示器的長寬比是 4:3，分辨率比現(xiàn)在的低。

從 Wireshark 4.0 開始，默認的是細節(jié)和字節(jié)視圖彼此相鄰，這使得它更容易利用現(xiàn)代顯示器上的可用空間。

會話和端點

會話和端點對話框已經是一個很受歡迎的功能了，在排查一個問題時，人們往往會首先看這個對話框。

Wireshark 4.0 使其功能更強大，更容易使用。

例如，現(xiàn)在可以在不同的窗口中并排看到 TCP 和 UDP 的會話。

而且排序得到了改進，用戶現(xiàn)在可以隱藏列，對 stream ID 進行過濾，并將數(shù)據(jù)導出為 JSON。

十六進制導入

有時用戶感興趣的數(shù)據(jù)包并不在一個用戶可以直接用 Wireshark 打開的 pcap 或 pcapng 文件里，而是埋在一個十六進制轉儲中。

Wireshark 提供了兩種將十六進制轉儲轉換為 pcaps 的方法。主程序中的 "Import From Hex Dump" 和 text2pcap 工具。

在過去的版本中，它們有不同的功能集，行為也不同，但在 Wireshark 4.0 中它們更加一致。

將要消失的特性

不再為 Wireshark 4.0 及以后的版本提供官方的 32 位 Windows 軟件包了。

如果用戶還在使用 32 位的 Windows 系統(tǒng)，官方將繼續(xù)提供 Wireshark 3.6 的更新直到 2024 年。

到時候用戶將無法使用 4.0 及以后版本的新功能。

仍在開發(fā)的特性

有兩個非常想加入的 Windows 功能，但目前還沒有在 4.0 版本中出現(xiàn)，即暗黑模式和Arm64 支持。

1、暗黑模式需要獲得用戶界面庫 Qt 的支持，這仍然是一項正在進行的工作，但有希望能在 Wireshark 4.2 中引入。

2、為 Arm64 構建軟件包需要構建硬件和軟件庫支持，同樣有望在 Wireshark 4.2 中做到這一點。

審核編輯 ：李倩