聊到Wireshark，相信不少同學(xué)都使用過(guò)，某一程度上來(lái)說(shuō)也可謂是程序員裝機(jī)必備的軟件工具之一了。

不管是以前的計(jì)網(wǎng)學(xué)習(xí)，還是后來(lái)工作過(guò)程中進(jìn)行問(wèn)題排查需要進(jìn)行協(xié)議報(bào)文分析等場(chǎng)景，基本上都是使用Wireshark來(lái)進(jìn)行的網(wǎng)絡(luò)抓包、查看、以及報(bào)文的分析。

Wireshark是世界上最流行的網(wǎng)絡(luò)協(xié)議分析器，可被用于故障排除、分析、開(kāi)發(fā)、以及教育。

這不前段時(shí)間，Wireshark 4.0 大版本正式發(fā)布了！

整體來(lái)看，自3.6版本以來(lái)，新版也帶來(lái)了不少變化。

默認(rèn)的主窗口布局

在過(guò)去的版本中，Wireshark 遵循其前輩們制定的標(biāo)準(zhǔn)，將數(shù)據(jù)包列表、數(shù)據(jù)包細(xì)節(jié)和字節(jié)視圖放在彼此的上面，就像這樣：

這個(gè)標(biāo)準(zhǔn)是很久以前制定的，當(dāng)時(shí)大多數(shù)顯示器的長(zhǎng)寬比是 4:3，分辨率比現(xiàn)在的低。

從 Wireshark 4.0 開(kāi)始，默認(rèn)的是細(xì)節(jié)和字節(jié)視圖彼此相鄰，這使得它更容易利用現(xiàn)代顯示器上的可用空間。

會(huì)話和端點(diǎn)

會(huì)話和端點(diǎn)對(duì)話框已經(jīng)是一個(gè)很受歡迎的功能了，在排查一個(gè)問(wèn)題時(shí)，人們往往會(huì)首先看這個(gè)對(duì)話框。

Wireshark 4.0 使其功能更強(qiáng)大，更容易使用。

例如，現(xiàn)在可以在不同的窗口中并排看到 TCP 和 UDP 的會(huì)話。

而且排序得到了改進(jìn)，用戶現(xiàn)在可以隱藏列，對(duì) stream ID 進(jìn)行過(guò)濾，并將數(shù)據(jù)導(dǎo)出為 JSON。

十六進(jìn)制導(dǎo)入

有時(shí)用戶感興趣的數(shù)據(jù)包并不在一個(gè)用戶可以直接用 Wireshark 打開(kāi)的 pcap 或 pcapng 文件里，而是埋在一個(gè)十六進(jìn)制轉(zhuǎn)儲(chǔ)中。

Wireshark 提供了兩種將十六進(jìn)制轉(zhuǎn)儲(chǔ)轉(zhuǎn)換為 pcaps 的方法。主程序中的 "Import From Hex Dump" 和 text2pcap 工具。

在過(guò)去的版本中，它們有不同的功能集，行為也不同，但在 Wireshark 4.0 中它們更加一致。

將要消失的特性

不再為 Wireshark 4.0 及以后的版本提供官方的 32 位 Windows 軟件包了。

如果用戶還在使用 32 位的 Windows 系統(tǒng)，官方將繼續(xù)提供 Wireshark 3.6 的更新直到 2024 年。

到時(shí)候用戶將無(wú)法使用 4.0 及以后版本的新功能。

仍在開(kāi)發(fā)的特性

有兩個(gè)非常想加入的 Windows 功能，但目前還沒(méi)有在 4.0 版本中出現(xiàn)，即暗黑模式和Arm64 支持。

1、暗黑模式需要獲得用戶界面庫(kù) Qt 的支持，這仍然是一項(xiàng)正在進(jìn)行的工作，但有希望能在 Wireshark 4.2 中引入。

2、為 Arm64 構(gòu)建軟件包需要構(gòu)建硬件和軟件庫(kù)支持，同樣有望在 Wireshark 4.2 中做到這一點(diǎn)。

審核編輯 ：李倩