wireshark抓包工具mac中文版 v4.4.2官方版

wireshark mac版是一款非常流行的網(wǎng)絡(luò)數(shù)據(jù)包分析器，一般又稱為wireshark抓包工具，支持幾百種協(xié)議和流媒體類型，擁有強(qiáng)顯示過濾器語言和查看TCP會(huì)話重構(gòu)流的能力，可以截取各種網(wǎng)絡(luò)數(shù)據(jù)包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料，現(xiàn)在常用于開發(fā)測(cè)試過程各種問題定位中。而且該軟件使用WinPCAP作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換，可以實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)通訊數(shù)據(jù)，檢測(cè)其抓取的網(wǎng)絡(luò)通訊數(shù)據(jù)快照文件，通過圖形界面瀏覽這些數(shù)據(jù)，可以查看網(wǎng)絡(luò)通訊數(shù)據(jù)包中每一層的詳細(xì)內(nèi)容。如果用戶想要更明顯的看出一個(gè)網(wǎng)絡(luò)中數(shù)據(jù)的變化情況，使用圖表的形式可以很方便的展現(xiàn)數(shù)據(jù)分布情況，網(wǎng)絡(luò)通訊數(shù)據(jù)包中每一層的詳細(xì)內(nèi)容都可以清楚的看到，非常實(shí)用。

軟件特色

1、適用于UNIX系統(tǒng)和窗口。

2、捕獲來自網(wǎng)絡(luò)接口的實(shí)時(shí)數(shù)據(jù)包數(shù)據(jù)。

3、正常開放包含用tcpdump/WinDump捕獲的數(shù)據(jù)包數(shù)據(jù)的文件，Wireshark和許多其他數(shù)據(jù)包捕獲程序。

4、導(dǎo)入包含數(shù)據(jù)包數(shù)據(jù)十六進(jìn)制轉(zhuǎn)儲(chǔ)的文本文件中的數(shù)據(jù)包。

5、顯示數(shù)據(jù)包非常詳細(xì)的協(xié)議信息。

6、保存捕獲的分組數(shù)據(jù)。

7、導(dǎo)出許多捕獲文件格式中的部分或全部數(shù)據(jù)包。

8、篩選數(shù)據(jù)包根據(jù)許多標(biāo)準(zhǔn)。

9、搜索對(duì)于許多標(biāo)準(zhǔn)的數(shù)據(jù)包。

10、著色基于過濾器的數(shù)據(jù)包顯示。

11、創(chuàng)建各種統(tǒng)計(jì)學(xué).…和還有很多！

wireshark抓包工具過濾器表達(dá)式的規(guī)則

1、抓包過濾器語法和實(shí)例

抓包過濾器類型Type（host、net、port）、方向Dir（src、dst）、協(xié)議Proto（ether、ip、tcp、udp、http、icmp、ftp等）、邏輯運(yùn)算符（&& 與、|| 或、！非）

（1）協(xié)議過濾

比較簡(jiǎn)單，直接在抓包過濾框中直接輸入?yún)f(xié)議名即可。

TCP，只顯示TCP協(xié)議的數(shù)據(jù)包列表

HTTP，只查看HTTP協(xié)議的數(shù)據(jù)包列表

ICMP，只顯示ICMP協(xié)議的數(shù)據(jù)包列表

（2）IP過濾

host 192.168.1.104

src host 192.168.1.104

dst host 192.168.1.104

（3）端口過濾

port 80

src port 80

dst port 80

（4）邏輯運(yùn)算符&& 與、|| 或、！非

src host 192.168.1.104 && dst port 80 抓取主機(jī)地址為192.168.1.80、目的端口為80的數(shù)據(jù)包

host 192.168.1.104 || host 192.168.1.102 抓取主機(jī)為192.168.1.104或者192.168.1.102的數(shù)據(jù)包

！broadcast 不抓取廣播數(shù)據(jù)包

2、顯示過濾器語法和實(shí)例

（1）比較操作符

比較操作符有== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

（2）協(xié)議過濾

比較簡(jiǎn)單，直接在Filter框中直接輸入?yún)f(xié)議名即可。注意：協(xié)議名稱需要輸入小寫。

tcp，只顯示TCP協(xié)議的數(shù)據(jù)包列表

http，只查看HTTP協(xié)議的數(shù)據(jù)包列表

icmp，只顯示ICMP協(xié)議的數(shù)據(jù)包列表

（3） ip過濾

ip.src ==192.168.1.104 顯示源地址為192.168.1.104的數(shù)據(jù)包列表

ip.dst==192.168.1.104, 顯示目標(biāo)地址為192.168.1.104的數(shù)據(jù)包列表

ip.addr == 192.168.1.104 顯示源IP地址或目標(biāo)IP地址為192.168.1.104的數(shù)據(jù)包列表

（4）端口過濾

tcp.port ==80,  顯示源主機(jī)或者目的主機(jī)端口為80的數(shù)據(jù)包列表。

tcp.srcport == 80,  只顯示TCP協(xié)議的源主機(jī)端口為80的數(shù)據(jù)包列表。

tcp.dstport == 80，只顯示TCP協(xié)議的目的主機(jī)端口為80的數(shù)據(jù)包列表。

（5） Http模式過濾

http.request.method=="GET",   只顯示HTTP GET方法的。

（6）邏輯運(yùn)算符為 and/or/not

過濾多個(gè)條件組合時(shí)，使用and/or。比如獲取IP地址為192.168.1.104的ICMP數(shù)據(jù)包表達(dá)式為ip.addr == 192.168.1.104 and icmp

（7）按照數(shù)據(jù)包內(nèi)容過濾。假設(shè)我要以IMCP層中的內(nèi)容進(jìn)行過濾，可以單擊選中界面中的碼流，在下方進(jìn)行選中數(shù)據(jù)。

選中Select后在過濾器中，后面條件表達(dá)式就需要自己填寫。如下我想過濾出data數(shù)據(jù)包中包含"abcd"內(nèi)容的數(shù)據(jù)流。包含的關(guān)鍵詞是contains 后面跟上內(nèi)容。

軟件特色

1、來自多種不同網(wǎng)絡(luò)媒體的實(shí)時(shí)捕獲

Wireshark可以捕獲來自許多不同網(wǎng)絡(luò)媒體類型的流量，包括以太網(wǎng)、無線局域網(wǎng)、藍(lán)牙、USB等。特定媒體支持的類型可能受到幾個(gè)因素的限制，包括您的硬件和操作系統(tǒng)。

2、從許多其他捕獲程序?qū)胛募?

Wireshark可以從大量捕獲中打開數(shù)據(jù)包捕獲程序。

3、為許多其他捕獲程序?qū)С鑫募?

Wireshark可以以多種格式保存捕獲的數(shù)據(jù)包，包括其他捕獲程序。

更新日志

v4.4.2版本

一、漏洞修補(bǔ)

1、已修復(fù)以下漏洞：

wnpa-sec-2024-14 FiveCo-RAP解剖器無限環(huán)。

wnpa-2024-15年12月ECMP解剖器墜毀。

2、已修復(fù)以下錯(cuò)誤：

CIP I/O不再被“enip”過濾器檢測(cè)到。

模糊作業(yè)問題：模糊-2024-09-03-7550.pcap。

OSS Fuzz 71476:wireshark:fuzzshark_ip_proto-udp:DOFObjectID_Create_Unmarshal中的索引超出界限。

JA4_c將一個(gè)空字段哈希為e3b0c44298fc，而該字段應(yīng)為000000000000。

在macOS 15.0上打開Wireshark 4.4.0會(huì)斷開iPhone鏡像。

在序列號(hào)重置的情況下，PTP分析會(huì)丟失消息關(guān)聯(lián)的跟蹤。

USB CCID:在SetParameters命令不受支持的情況下，響應(yīng)數(shù)據(jù)包被標(biāo)記為格式錯(cuò)誤。

當(dāng)使用捕獲過濾器從TShark運(yùn)行時(shí)，dumpcap崩潰。

SRT解析器：握手?jǐn)U展中的StreamID（SID）在不考慮控制字符的情況下顯示，NUL作為終止。

POP3數(shù)據(jù)包上的Ghost錯(cuò)誤消息。

針對(duì)c-ares 1.34的構(gòu)建失敗了。

D-Bus不再是可選的。

macOS Intel DMG沒有完全公證。

在分析MLO wifi-7捕獲的MLD能力時(shí)，MLD能力和作戰(zhàn)存在標(biāo)志的名稱不正確。

CQL格式錯(cuò)誤的數(shù)據(jù)包v4 S→C類型結(jié)果：已準(zhǔn)備[格式錯(cuò)誤數(shù)據(jù)包]

Wi-Fi:256塊確認(rèn)（BA）未正確解析。

BACnet Readropertymultiple請(qǐng)求已達(dá)到允許的最大遞歸深度。

統(tǒng)計(jì)→使用簡(jiǎn)單移動(dòng)平均線時(shí)I/O圖崩潰。

HTTP2主體解壓縮在具有單個(gè)填充幀的DATA上失敗。

ui/tap rtp-common.c編譯器警告（忽略返回值）問題。

由于VIA標(biāo)頭中的“be route”參數(shù)導(dǎo)致SIP解析器錯(cuò)誤。

Coredump在嘗試打開“關(guān)注TCP流”后發(fā)布20174。

Protobuf JSON映射錯(cuò)誤。

顯示過濾器“{vlan.id}中的！stp.pvst.origvlan”導(dǎo)致崩潰（版本4.4.1）。

Wireshark Portable附帶的Extcap插件在4.4.1版本中找不到。

IEEE 802.11be：信標(biāo)幀中HE操作IE中的監(jiān)管信息錯(cuò)誤。

Wireshark 4.4.1不解碼RTCP數(shù)據(jù)包。

Qt：顯示過濾器子菜單只能在三角形上打開，不能打開全名。

Qt：更改顯示過濾器不會(huì)更新對(duì)話或端點(diǎn)對(duì)話框。

MODBUS解析器錯(cuò)誤。

Modbus解析器錯(cuò)誤-現(xiàn)場(chǎng)發(fā)生和層操作員Modbus.bitval字段。

當(dāng)字段從數(shù)據(jù)包詳細(xì)信息拖動(dòng)到查找輸入時(shí)，Wireshark崩潰。

Lua DissectorTable（“”）：在以逗號(hào)作為小數(shù)分隔符的區(qū)域設(shè)置（“10,11”）意外行為。

二、新協(xié)議支持

1、此版本中沒有新協(xié)議。

2、更新的協(xié)議支持

ARTNET、ASN.1 PER、BACapp、BT BR/EDR、CQL、DOF、ECMP、ENIP、FiveCo RAP、Frame、FTDI FT、HSRP、HTTP/2、ICMPv6、IEEE 802.11、MBTCP、MMS、MPEG PES、PN-DCP、POP、ProtoBuf、PTP、RPC、RTCP、SIP、SRT、Syslog、TCP、UMTS RLC、USB CCID、Wi-SUN和ZigBee ZCL

3、新的和更新的捕獲文件支持

4、更新的文件格式解碼支持

此版本中沒有更新的文件格式支持。