Wireshark 4.6 发布，最强开源网络数据包分析器

Wireshark 4.6.0 现已正式发布，一些具体更新内容如下：

以下功能为自 4.6.0rc1 以来的新功能或重大更新：

• Wireshark 现在可以解析 macOS 上 tcpdump 提供的进程信息、数据包元数据、流 ID、丢包信息等内容。

以下功能为自 4.4.0 以来的新功能或重大更新：

• Windows 安装包现附带 Npcap 1.83（之前为 1.79）。
• Windows 和 macOS 安装包现附带 Qt 6.9.3（之前为 6.5.3）。
• macOS 版本现提供 通用安装包（Universal Installer），不再区分 Arm64 与 Intel 架构。Issue 17294

• WinPcap 不再受支持。在 Windows 上请改用 Npcap，并卸载 WinPcap。WinPcap 最后一个版本为 4.1.3（2013 年发布），仅支持至 Windows 8，该系统现已被 Microsoft 与 Wireshark 停止支持。

• 新增 “Plots（散点图）”对话框，与 “I/O Graphs（直方图）” 相比，可展示多种散点数据，支持多图、标记及自动滚动。

• 实时捕获可压缩写入。此前仅在多文件捕获轮换时可压缩。现在 TShark 的 --compress 参数可在实时捕获中使用。Issue 9311

• 绝对时间字段（Absolute time fields）在使用 -T json 输出时，无论在“数据包详情”中如何显示，均使用 UTC 的 ISO 8601 格式。这在 -T ek 中自 4.2.0 版起已启用。

• 时间显示格式更新：-T fields、-T pdml、自定义列或 CSV 输出中，不再使用 asctime 样式（如 Dec 18, 2017 05:28:39 EST），改用 ISO 8601。为向后兼容，可通过 protocols.display_abs_time_ascii 选项切换显示方式。未来版本可能彻底移除 asctime 格式。

• UTC 时间列 现在按 ISO 8601 标准添加 “Z” 后缀。

• TShark -G 参数增强：不再要求必须为第一个参数，并支持与 -o、-d、--disable-protocol 等其他选项配合使用。

• EUI-64 字段类型 改为字节（bytes）类型，以便进行切片与匹配（如 wpan.src64[:3] == eth.src[:3]）。

• NTP 解密支持 NTS（Network Time Security） 协议 (sysin)，前提是捕获中包含 NTS-KE 包和 TLS 密钥。

• MACsec 解密增强：支持使用 MKA 解封的 SAK 或在 MACsec 解析器中配置的 PSK。

• TCP 流图（Stream Graph）坐标轴 现采用 SI 单位。Issue 20197

• 自定义列增强：可选择使用与“数据包详情”相同的格式显示值，并支持复杂表达式按数值排序。

• 新增显示过滤函数 float 与 double，支持类型显式转换与算术操作。

• I/O 图窗口 最小宽度减小，更适合低分辨率桌面。Issue 20147

• X.509 证书导出：可通过菜单 File › Export Objects › X509AF 导出证书，也可在 TShark 中使用 --export-objects x509af。

• HTTP / HTTP2 解析器新增对 Zstandard 压缩编码 的支持。

• 跟踪流（Follow Stream） 现支持 MPEG-2 TS PID 与内部 Packetized Elementary Streams。

• DNP3（分布式网络协议 3） 现支持在会话与端点表中显示。

• Lua 改进：内置的 bit 与 rex_pcre2 库现会自动加入 package.loaded，可通过 require 调用。Issue 20213

• 数据包列表 与 事件列表 不再支持多行显示。Issue 14424

• ethers 文件 现支持 EUI-64 映射。Issue 15487

• Hex Dump 导入功能 支持 2–4 字节分组（含小端模式），并识别带 0x 前缀的偏移。Issue 16193

• Hex Dump 导出 现可包含时间戳前缀（Wireshark 的“打印”与“导出”对话框，以及 TShark 的 --hexdump time 选项）。Issue 17132

• Lua 新增 Conversation 对象，可在脚本中访问会话数据 (sysin)。Issue 15396

• 新增 “编辑 › 复制 › 作为 HTML” 菜单项，可自定义复制格式与键盘快捷键。

• GUI 导出对话框新增 “无重复键 JSON 输出” 选项。

• 导出对话框可输出 原始十六进制字节数据。

• 会话与端点表新增显示 精确字节与比特率 的选项，由偏好项 conv.machine_readable 控制。

• -z <tap>,tree 的 TShark 统计输出格式可通过 -o statistics.output_format 控制。

• 配色方案可独立设置浅色/深色模式，与系统设置无关（需 Qt 6.8+）。Issue 19328

• libxml2 现为构建必需依赖（不支持 2.15.0 版本）。

• View 菜单新增“重新解析数据包（Redissect Packets）”选项，适用于地址解析或解密密钥更新后。

• HTTP2 可选跟踪 3GPP 会话（5G SBI）。

• Windows 构建文档不再需要 Java。

• Linux上捕获过滤器支持 BPF 扩展（如inbound、outbound、ifindex）。

 移除的功能与支持

• 不再支持 AirPcap 与 WinPcap。

• 不再支持 libnl v1 / v2。

• CMake 选项 ENABLE_STATIC 已弃用，请改用 BUILD_SHARED_LIBS。

新增文件格式解析支持

• RIFF（资源交换文件格式）

• TTL 文件格式

新增协议支持

支持以下协议：

Asymmetric  Key Packages (AKP)、Binary HTTP、BIST TotalView-ITCH、BIST  TotalView-OUCH、Bluetooth Android HCI、Bluetooth Intel HCI、BPSec COSE  Context、BPSec Default SC、Commsignia Capture Protocol (C2P)、DECT  NR+、DLMS/COSEM、Ephemeral Diffie-Hellman Over COSE、ILNP、LDA Neo Device  Trailer、Lenbrook Service Discovery Protocol、LLC  V1、Navitrol、NTS-KE、Ouster VLP-16、Private Line Emulation、RC  V3、RCG、Roughtime、SBAS L5、SGP.22、SGP.32、SICK CoLA Ascii/Binary、Silabs  Debug Channel、XCP、USB-PTP、VLP-16、vSomeIP Internal Protocol 等。

更新的协议支持

协议更新数量众多，此处不一一列出。

新增与更新的捕获文件支持

• 改进了 BLF 文件格式（包括写入功能）。

新增与更新的捕获接口支持

• Windows： 改进了 etwdump 的用户体验，显示未知事件的原始字节内容。

主要 API 变更

• Lua API 现支持 Libgcrypt 对称加密函数。

更多详情可查看官方公告。