wireshark抓包工具mac中文版 v4.4.2官方版

wireshark mac版是一款非常流行的網(wǎng)絡(luò)數(shù)據(jù)包分析器，一般又稱為wireshark抓包工具，支持幾百種協(xié)議和流媒體類型，擁有強顯示過濾器語言和查看TCP會話重構(gòu)流的能力，可以截取各種網(wǎng)絡(luò)數(shù)據(jù)包，并盡可能顯示出最為詳細的網(wǎng)絡(luò)封包資料，現(xiàn)在常用于開發(fā)測試過程各種問題定位中。而且該軟件使用WinPCAP作為接口，直接與網(wǎng)卡進行數(shù)據(jù)報文交換，可以實時檢測網(wǎng)絡(luò)通訊數(shù)據(jù)，檢測其抓取的網(wǎng)絡(luò)通訊數(shù)據(jù)快照文件，通過圖形界面瀏覽這些數(shù)據(jù)，可以查看網(wǎng)絡(luò)通訊數(shù)據(jù)包中每一層的詳細內(nèi)容。如果用戶想要更明顯的看出一個網(wǎng)絡(luò)中數(shù)據(jù)的變化情況，使用圖表的形式可以很方便的展現(xiàn)數(shù)據(jù)分布情況，網(wǎng)絡(luò)通訊數(shù)據(jù)包中每一層的詳細內(nèi)容都可以清楚的看到，非常實用。

軟件特色

1、適用于UNIX系統(tǒng)和窗口。

2、捕獲來自網(wǎng)絡(luò)接口的實時數(shù)據(jù)包數(shù)據(jù)。

3、正常開放包含用tcpdump/WinDump捕獲的數(shù)據(jù)包數(shù)據(jù)的文件，Wireshark和許多其他數(shù)據(jù)包捕獲程序。

4、導(dǎo)入包含數(shù)據(jù)包數(shù)據(jù)十六進制轉(zhuǎn)儲的文本文件中的數(shù)據(jù)包。

5、顯示數(shù)據(jù)包非常詳細的協(xié)議信息。

6、保存捕獲的分組數(shù)據(jù)。

7、導(dǎo)出許多捕獲文件格式中的部分或全部數(shù)據(jù)包。

8、篩選數(shù)據(jù)包根據(jù)許多標準。

9、搜索對于許多標準的數(shù)據(jù)包。

10、著色基于過濾器的數(shù)據(jù)包顯示。

11、創(chuàng)建各種統(tǒng)計學(xué).…和還有很多！

wireshark抓包工具過濾器表達式的規(guī)則

1、抓包過濾器語法和實例

抓包過濾器類型Type（host、net、port）、方向Dir（src、dst）、協(xié)議Proto（ether、ip、tcp、udp、http、icmp、ftp等）、邏輯運算符（&& 與、|| 或、！非）

（1）協(xié)議過濾

比較簡單，直接在抓包過濾框中直接輸入?yún)f(xié)議名即可。

TCP，只顯示TCP協(xié)議的數(shù)據(jù)包列表

HTTP，只查看HTTP協(xié)議的數(shù)據(jù)包列表

ICMP，只顯示ICMP協(xié)議的數(shù)據(jù)包列表

（2）IP過濾

host 192.168.1.104

src host 192.168.1.104

dst host 192.168.1.104

（3）端口過濾

port 80

src port 80

dst port 80

（4）邏輯運算符&& 與、|| 或、！非

src host 192.168.1.104 && dst port 80 抓取主機地址為192.168.1.80、目的端口為80的數(shù)據(jù)包

host 192.168.1.104 || host 192.168.1.102 抓取主機為192.168.1.104或者192.168.1.102的數(shù)據(jù)包

！broadcast 不抓取廣播數(shù)據(jù)包

2、顯示過濾器語法和實例

（1）比較操作符

比較操作符有== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

（2）協(xié)議過濾

比較簡單，直接在Filter框中直接輸入?yún)f(xié)議名即可。注意：協(xié)議名稱需要輸入小寫。

tcp，只顯示TCP協(xié)議的數(shù)據(jù)包列表

http，只查看HTTP協(xié)議的數(shù)據(jù)包列表

icmp，只顯示ICMP協(xié)議的數(shù)據(jù)包列表

（3） ip過濾

ip.src ==192.168.1.104 顯示源地址為192.168.1.104的數(shù)據(jù)包列表

ip.dst==192.168.1.104, 顯示目標地址為192.168.1.104的數(shù)據(jù)包列表

ip.addr == 192.168.1.104 顯示源IP地址或目標IP地址為192.168.1.104的數(shù)據(jù)包列表

（4）端口過濾

tcp.port ==80,  顯示源主機或者目的主機端口為80的數(shù)據(jù)包列表。

tcp.srcport == 80,  只顯示TCP協(xié)議的源主機端口為80的數(shù)據(jù)包列表。

tcp.dstport == 80，只顯示TCP協(xié)議的目的主機端口為80的數(shù)據(jù)包列表。

（5） Http模式過濾

http.request.method=="GET",   只顯示HTTP GET方法的。

（6）邏輯運算符為 and/or/not

過濾多個條件組合時，使用and/or。比如獲取IP地址為192.168.1.104的ICMP數(shù)據(jù)包表達式為ip.addr == 192.168.1.104 and icmp

（7）按照數(shù)據(jù)包內(nèi)容過濾。假設(shè)我要以IMCP層中的內(nèi)容進行過濾，可以單擊選中界面中的碼流，在下方進行選中數(shù)據(jù)。

選中Select后在過濾器中，后面條件表達式就需要自己填寫。如下我想過濾出data數(shù)據(jù)包中包含"abcd"內(nèi)容的數(shù)據(jù)流。包含的關(guān)鍵詞是contains 后面跟上內(nèi)容。

軟件特色

1、來自多種不同網(wǎng)絡(luò)媒體的實時捕獲

Wireshark可以捕獲來自許多不同網(wǎng)絡(luò)媒體類型的流量，包括以太網(wǎng)、無線局域網(wǎng)、藍牙、USB等。特定媒體支持的類型可能受到幾個因素的限制，包括您的硬件和操作系統(tǒng)。

2、從許多其他捕獲程序?qū)胛募?

Wireshark可以從大量捕獲中打開數(shù)據(jù)包捕獲程序。

3、為許多其他捕獲程序?qū)С鑫募?

Wireshark可以以多種格式保存捕獲的數(shù)據(jù)包，包括其他捕獲程序。

更新日志

v4.4.2版本

一、漏洞修補

1、已修復(fù)以下漏洞：

wnpa-sec-2024-14 FiveCo-RAP解剖器無限環(huán)。

wnpa-2024-15年12月ECMP解剖器墜毀。

2、已修復(fù)以下錯誤：

CIP I/O不再被“enip”過濾器檢測到。

模糊作業(yè)問題：模糊-2024-09-03-7550.pcap。

OSS Fuzz 71476:wireshark:fuzzshark_ip_proto-udp:DOFObjectID_Create_Unmarshal中的索引超出界限。

JA4_c將一個空字段哈希為e3b0c44298fc，而該字段應(yīng)為000000000000。

在macOS 15.0上打開Wireshark 4.4.0會斷開iPhone鏡像。

在序列號重置的情況下，PTP分析會丟失消息關(guān)聯(lián)的跟蹤。

USB CCID:在SetParameters命令不受支持的情況下，響應(yīng)數(shù)據(jù)包被標記為格式錯誤。

當使用捕獲過濾器從TShark運行時，dumpcap崩潰。

SRT解析器：握手擴展中的StreamID（SID）在不考慮控制字符的情況下顯示，NUL作為終止。

POP3數(shù)據(jù)包上的Ghost錯誤消息。

針對c-ares 1.34的構(gòu)建失敗了。

D-Bus不再是可選的。

macOS Intel DMG沒有完全公證。

在分析MLO wifi-7捕獲的MLD能力時，MLD能力和作戰(zhàn)存在標志的名稱不正確。

CQL格式錯誤的數(shù)據(jù)包v4 S→C類型結(jié)果：已準備[格式錯誤數(shù)據(jù)包]

Wi-Fi:256塊確認（BA）未正確解析。

BACnet Readropertymultiple請求已達到允許的最大遞歸深度。

統(tǒng)計→使用簡單移動平均線時I/O圖崩潰。

HTTP2主體解壓縮在具有單個填充幀的DATA上失敗。

ui/tap rtp-common.c編譯器警告（忽略返回值）問題。

由于VIA標頭中的“be route”參數(shù)導(dǎo)致SIP解析器錯誤。

Coredump在嘗試打開“關(guān)注TCP流”后發(fā)布20174。

Protobuf JSON映射錯誤。

顯示過濾器“{vlan.id}中的！stp.pvst.origvlan”導(dǎo)致崩潰（版本4.4.1）。

Wireshark Portable附帶的Extcap插件在4.4.1版本中找不到。

IEEE 802.11be：信標幀中HE操作IE中的監(jiān)管信息錯誤。

Wireshark 4.4.1不解碼RTCP數(shù)據(jù)包。

Qt：顯示過濾器子菜單只能在三角形上打開，不能打開全名。

Qt：更改顯示過濾器不會更新對話或端點對話框。

MODBUS解析器錯誤。

Modbus解析器錯誤-現(xiàn)場發(fā)生和層操作員Modbus.bitval字段。

當字段從數(shù)據(jù)包詳細信息拖動到查找輸入時，Wireshark崩潰。

Lua DissectorTable（“”）：在以逗號作為小數(shù)分隔符的區(qū)域設(shè)置（“10,11”）意外行為。

二、新協(xié)議支持

1、此版本中沒有新協(xié)議。

2、更新的協(xié)議支持

ARTNET、ASN.1 PER、BACapp、BT BR/EDR、CQL、DOF、ECMP、ENIP、FiveCo RAP、Frame、FTDI FT、HSRP、HTTP/2、ICMPv6、IEEE 802.11、MBTCP、MMS、MPEG PES、PN-DCP、POP、ProtoBuf、PTP、RPC、RTCP、SIP、SRT、Syslog、TCP、UMTS RLC、USB CCID、Wi-SUN和ZigBee ZCL

3、新的和更新的捕獲文件支持

4、更新的文件格式解碼支持

此版本中沒有更新的文件格式支持。