经过几个月的发展, Wireshark 4.0 新版本发布,其中 主窗口中元素的布局已更改,因为它现在显示“附加数据包信息”和“数据包字节”面板在“包列表”面板下方彼此相邻放置。
我们可以在这个新版本中发现的另一个变化是 改变了对话框的布局,为上下文菜单添加了选项以调整所有列的大小和复制项目,并提供对 JSON 导出的支持以及分离和附加选项卡的能力。
Wireshark 4.0 添加了对使用正则表达式扫描输入文件的支持,以及在 text2pcap 实用程序的功能和“从十六进制转储导入”接口之间提供奇偶校验,此外 text2pcap 提供了以所有格式捕获转储的能力 由窃听库支持和 它也有 pcapng 设置为默认格式,类似于 editcap、mergecap 和 tshark 实用程序。
还有那个 对流量过滤规则的语法进行了更改,因为添加了选择协议栈特定层的能力,例如,当通过 IP 封装 IP 以从外部和嵌套数据包中提取地址时。
应用过滤器时,将显示列显示过滤和未过滤数据包之间的差异,以及更改各种数据类型的排序。
除此之外,还有 突出显示使用 MaxMind 数据库的位置性能改进, 新的登录选项和 HTTP2 解析器支持 使用虚拟标头来解析在没有先前带有标头的数据包的情况下被拦截的数据(例如,在通过已建立的 gRPC 连接解析消息时)。
它提供 临时存储 (不保存到磁盘) Extcap 对话框中的密码 在重复引导期间不输入它,并且还添加了通过命令行实用程序(如 tshark)设置 extcap 密码的功能。
已添加 一种将文字与标识符分开的新语法: 以句点开头的值被视为协议或协议字段,而用尖括号括起来的值被视为文字。
其他变化 从这个新版本中脱颖而出:
- 标识符附加到 TCP 和 UDP 流,并提供了按它们过滤的能力。
- 允许从上下文菜单中隐藏对话框。
- 提供在使用原始 IP、原始 IPv4 和原始 IPv6 封装时转储虚拟 IP、TCP、UDP 和 SCTP 标头的能力。
- 用于指定字段引用的内置语法:${some.field},无需使用宏即可实现。
- 添加了 max()、min() 和 abs() 函数。
- 允许指定表达式并调用其他函数作为函数参数。
- AND 逻辑运算符的优先级现在大于 OR 运算符的优先级。
- 添加了对使用“0b”前缀以二进制形式指定常量的支持。显示过滤引擎中的正则表达式引擎已移至 PCRE2 库而不是 GRegex。
- 空字节在字符串和正则表达式模式中得到正确处理(字符串中的“\0”被视为空字节)。
- 除了 1 和 0,布尔值现在也可以写成 True/TRUE 和 False/FALSE
- 向 IEEE 802.11 分析仪添加了对 Mesh Connex (MCX) 的支持。
- ciscodump 实用程序实现了从 IOS、IOS-XE 和基于 ASA 的设备远程捕获的能力。
- 增加了对大量新协议的支持。
最后 如果您有兴趣了解更多信息, 您可以在以下链接中查看详细信息。
至于那些有兴趣能够获得这个新版本的人,他们可以通过从官方网站的下载部分下载 Linux 包来获得。 链接是这个。