最近，Wireshark 發(fā)布了其免費和開源數(shù)據(jù)包分析器的新版本 Wireshark 3.6.0，具有所有新功能和協(xié)議。

Wireshark 是一個網(wǎng)絡嗅探器 - 一個用于抓取和分析網(wǎng)絡數(shù)據(jù)包的工具。Wireshark 可以解碼的協(xié)議數(shù)量巨大，不勝枚舉。

Wireshark 當時于 1998 年發(fā)布，最初被稱為 Ethereal，已成為最可靠的網(wǎng)絡協(xié)議分析器之一，享有盛譽。它實時捕獲數(shù)據(jù)包并以簡單易讀的格式顯示它們。2006 年，由于商標問題，開發(fā)商不得不將其名稱改為 Wireshark 。

Wireshark 使用起來絕對安全。政府機構、公司、非營利組織和教育機構使用 Wireshark 進行故障排除和教學目的。或許，沒有比在 Wireshark 下觀察流量更好的學習網(wǎng)絡的方法了。

另一方面，由于 Wireshark 是一個強大的數(shù)據(jù)包嗅探器，因此存在關于其合法性的問題。它捕獲本地網(wǎng)絡上的網(wǎng)絡流量并存儲該數(shù)據(jù)以供離線分析。因此，您應該只在您有權檢查網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡上使用 Wireshark。

現(xiàn)在Wireshark 3.6.0穩(wěn)定版已經(jīng)發(fā)布，讓我們來看看有什么新東西。

Wireshark 3.6.0 亮點

在最新的 Wireshark 版本中，對顯示過濾器語法進行了一些更改。現(xiàn)在可以使用語法a ~= b或a any_ne b恢復以前的（與 不一致的==）邏輯為不相等。此外，表達式a != b現(xiàn)在始終與 具有相同的含義!(a == b)。

特別是這意味著具有多值字段的過濾器表達式ip.addr != 1.1.1.1將按預期工作（ip.src != 1.1.1.1 and ip.dst != 1.1.1.1 結果與輸入相同）。這避免了矛盾(a == b and a != b)為true。

此外，現(xiàn)在可以使用原始字符串語法指定文字字符串，與Python 編程語言中的原始字符串相同。這可用于避免在正則表達式中使用兩級字符轉義的復雜性。

Wireshark 3.6.0 中的 TCP 對話現(xiàn)在支持完整性標準，這有助于識別具有任意組合的打開或關閉握手、有效載荷的 TCP 流。可以使用新tcp.completeness過濾器訪問它。

需要注意的是，Wireshark 現(xiàn)在支持讀取 Windows 事件跟蹤 (ETW)。創(chuàng)建了一個名為 ETW 讀取器的新 extcap，它現(xiàn)在可以打開一個 etl 文件，將文件中的所有事件轉換為 DLT_ETW 數(shù)據(jù)包并寫入指定的 FIFO 目標。

在其他值得注意的變化中，Wireshark 3.6.0 增加了對許多新協(xié)議的支持。

Wireshark 3.6.0所有變化的詳細信息可以參考 官方公告。

如何安裝 Wireshark

Wireshark 適用于所有主要的 Linux 發(fā)行版。但是，Wiresshark 開發(fā)人員提供了一個官方 PPA，您可以使用它在Ubuntu和其他基于 Ubuntu 的發(fā)行版上安裝 Wireshark 的最新穩(wěn)定版本。

打開終端并使用以下命令： 

linuxmi@linuxmi:~/www.linuxmi.com$ sudo add-apt-repository ppa:wireshark-dev/stable  
linuxmi@linuxmi:~/www.linuxmi.com$ sudo apt update 

linuxmi@linuxmi:~/www.linuxmi.com$ sudo apt install wireshark 

安裝時會詢問是否允許非超級用戶抓包。選擇Yes。

接下來，您必須將您自己的用戶添加到wireshark組中，以便該用戶可以使用 Wireshark。為此，請執(zhí)行以下命令： 

linuxmi@linuxmi:~/www.linuxmi.com$ sudo usermod -aG wireshark $(whoami) 

您現(xiàn)在可以通過在 Ubuntu 桌面上打開活動來打開 Wireshark，或在在搜索欄中輸入“Wireshark”，然后單擊應用程序。