最近,Wireshark 发布了其免费和开源数据包分析器的新版本 Wireshark 3.6.0,具有所有新功能和协议。
Wireshark 是一个网络嗅探器 - 一个用于抓取和分析网络数据包的工具。Wireshark 可以解码的协议数量巨大,不胜枚举。
Wireshark 当时于 1998 年发布,最初被称为 Ethereal,已成为最可靠的网络协议分析器之一,享有盛誉。它实时捕获数据包并以简单易读的格式显示它们。2006 年,由于商标问题,开发商不得不将其名称改为 Wireshark 。
Wireshark 使用起来绝对安全。政府机构、公司、非营利组织和教育机构使用 Wireshark 进行故障排除和教学目的。或许,没有比在 Wireshark 下观察流量更好的学习网络的方法了。
另一方面,由于 Wireshark 是一个强大的数据包嗅探器,因此存在关于其合法性的问题。它捕获本地网络上的网络流量并存储该数据以供离线分析。因此,您应该只在您有权检查网络数据包的网络上使用 Wireshark。
现在Wireshark 3.6.0稳定版已经发布,让我们来看看有什么新东西。
Wireshark 3.6.0 亮点
在最新的 Wireshark 版本中,对显示过滤器语法进行了一些更改。现在可以使用语法a ~= b或a any_ne b恢复以前的(与 不一致的==)逻辑为不相等。此外,表达式a != b现在始终与 具有相同的含义!(a == b)。
特别是这意味着具有多值字段的过滤器表达式ip.addr != 1.1.1.1将按预期工作(ip.src != 1.1.1.1 and ip.dst != 1.1.1.1 结果与输入相同)。这避免了矛盾(a == b and a != b)为true。
此外,现在可以使用原始字符串语法指定文字字符串,与Python 编程语言中的原始字符串相同。这可用于避免在正则表达式中使用两级字符转义的复杂性。
Wireshark 3.6.0 中的 TCP 对话现在支持完整性标准,这有助于识别具有任意组合的打开或关闭握手、有效载荷的 TCP 流。可以使用新tcp.completeness过滤器访问它。
需要注意的是,Wireshark 现在支持读取 Windows 事件跟踪 (ETW)。创建了一个名为 ETW 读取器的新 extcap,它现在可以打开一个 etl 文件,将文件中的所有事件转换为 DLT_ETW 数据包并写入指定的 FIFO 目标。
在其他值得注意的变化中,Wireshark 3.6.0 增加了对许多新协议的支持。
Wireshark 3.6.0所有变化的详细信息可以参考 官方公告。
如何安装 Wireshark
Wireshark 适用于所有主要的 Linux 发行版。但是,Wiresshark 开发人员提供了一个官方 PPA,您可以使用它在Ubuntu和其他基于 Ubuntu 的发行版上安装 Wireshark 的最新稳定版本。
打开终端并使用以下命令:
- linuxmi@linuxmi:~/www.linuxmi.com$ sudo add-apt-repository ppa:wireshark-dev/stable
- linuxmi@linuxmi:~/www.linuxmi.com$ sudo apt update
- linuxmi@linuxmi:~/www.linuxmi.com$ sudo apt install wireshark
安装时会询问是否允许非超级用户抓包。选择Yes。
接下来,您必须将您自己的用户添加到wireshark组中,以便该用户可以使用 Wireshark。为此,请执行以下命令:
- linuxmi@linuxmi:~/www.linuxmi.com$ sudo usermod -aG wireshark $(whoami)
您现在可以通过在 Ubuntu 桌面上打开活动来打开 Wireshark,或在在搜索栏中输入“Wireshark”,然后单击应用程序。
