Wireshark 4.6.4 发布：修复高危漏洞，提升协议解析能力

知名网络协议分析工具 Wireshark 4.6.4 正式发布！本次更新重点强化了对各类协议的解析能力，并修复了多处关键问题。

作为全球备受欢迎的网络协议分析工具，Wireshark 早已成为网络工程师进行故障排查、流量分析、协议开发、教学研究的必备「瑞士军刀」。无论你是身经百战的资深专家，还是初入网工领域的新手，这次更新都值得你立即关注。

Wireshark 4.6.4 主要更新

安全漏洞紧急修复

在此版本中，开发团队修复了 3 个高风险安全漏洞，强烈建议你尽快升级：

• [wnpa-sec-2026-05] USB HID 解析器内存耗尽：修复了在处理特定 USB HID 流量时可能引发的内存泄漏问题，防止由此导致的系统资源枯竭。
• [wnpa-sec-2026-06] NTS-KE 解析器崩溃：修正了网络时间安全密钥交换（NTS-KE）解析逻辑中的缺陷，消除了潜在的拒绝服务风险。
• [wnpa-sec-2026-07] RF4CE Profile 解析器崩溃：解决了 Zigbee RF4CE 配置文件解析过程中的异常退出问题。

关键 Bug 修复与体验改进

除了安全补丁，Wireshark 4.6.4 还解决了一系列抓包体验问题：

1.启动与运行稳定性

• Npcap 权限兼容性修复：修复了 Npcap 被配置为「仅允许管理员访问驱动」时，Wireshark 可能会无法启动的问题。
• 命令行工具防崩：修复了 TShark 和 editcap 在将输出格式设置为blf时发生的段错误（segmentation fault）。
• Zigbee 模糊测试崩溃：修复了由模糊测试（Fuzzing）发现的 Zigbee Direct Tunneling 空哈希表导致的崩溃问题。

2.解析准确性与性能优化

• Expert Info 性能回升：修复了一个严重的性能倒退问题。此前，随着捕获数据量的增加，专家信息模块的处理速度会呈平方级下降，导致界面卡顿，新版本已彻底解决此瓶颈。
• SOCKS 协议解析增强：修正了在 SOCKS 协议中使用 Decode As 功能时，只能解析第一个 HTTP POST 请求的 Bug。
• TDS 协议同步修复：解决了 TDS 解析器（通过 SQL Server 通信）在遇到 RPC DATENTYPE（0x28）时，因错误的长度预判导致的 Desynchronization 问题。
• JA4 指纹修正：修复了当发送包含空格字符的数据时，JA4 ALPN 值计算异常的问题。
• PQC 签名显示：现在可以正确报告signature_algorithms中的后量子密码学（PQC）签名算法。

3.文件格式与写入

• pcapng 格式规范化：修正了 Wiretap 库在写入 pcapng 格式时，Darwin 选项块无效以及自定义选项字符串值非法的问题，提升了文件的跨平台兼容性。

协议支持全面更新

• 增强了大量协议的解析能力，其中包括：Art-Net、AT、BGP、GSM DTAP、GSM SIM、IEEE 802.11、IPv6、ISAKMP、MBIM、MySQL、NAS-5GS、NTS-KE、SGP.22、Silabs DCH、Socks、TDS、TECMP、USB HID、ZB TLV 和 ZBD 等核心协议。

Wireshark 4.6.3 主要更新

协议支持全面更新

• 增强了对大量协议的解析能力，其中包括：DCT2000、DHCP、H.248、H.265、HomePlug AV、HTTP3、IDN、IEEE 802.11、LTE RRC、NAS-5GS、PKCS12、QUIC、RTPS、SOME/IP-SD、SSH 和 Thrift 等十余种核心协议。

文件格式支持优化

• 在文件格式支持方面，新版本优化了对 3GPP TS 32.423 Trace、BLF、NetScreen 以及 Viavi Observer 等捕获文件的处理兼容性。

稳定性修复

• 修复了 BLF 文件解析器、IEEE 802.11 解析器和 SOME/IP-SD 解析器中，可能导致程序崩溃的严重错误；
• 解决了 HTTP3 解析器中可能陷入无限循环的问题；
• RTP 播放流无法正常停止的 Bug、ABI/API 兼容性问题，以及 5G NAS 消息解码中的错误也均已得到了修正。

修复特定场景下的棘手问题

• 配置切换修复：修复了在从禁用相关功能的配置文件切换至启用状态时，可能发生的崩溃。
• 解析逻辑修正：修正了当帧体包含 A-MSDU 时，对 QoS 和 Mesh 控制字段解析错误的问题。
• 安全加固：修补了dissect_idn_laser_data函数中存在的堆缓冲区溢出漏洞。

针对开发者和特定环境，Wireshark 4.6.3 还解决了在 Solaris 系统上的构建难题，并修复了 CFLAGS 定义_FORTIFY_SOURCE值非 3 且未预先取消定义时引发的编译警告或错误。同时，HomePlug 消息CM_ATTEN_CHAR.IND导致pinfo→cinfo中数据丢失的 Bug 也已修复。

Wireshark 4.6.2 主要更新

协议支持全面更新

• 新版本增强了对大量协议的解析能力，其中包括：ATM PW、COSEM、COTP、DECT NR+、DMP、Fc00、GTP、HTTP3、IEEE 802.15.4、ISIS HELLO、ISOBUS、MAC-LTE、MAUSB、MEGACO、MPEG DSM-CC、OsmoTRXD、PTP、RLC、SAPDIAG 和 SMTP 等。

核心 Bug 修复与安全更新

除了协议支持的扩展，新版本还包含多项关键性修复：

• HTTP3 解析器崩溃：修复了在处理特定数据时可能导致 HTTP3 解析器崩溃的严重问题。
• MEGACO 解析器死循环：解决了 MEGACO 解析器中一处可能引发无限循环的缺陷。
• Omnipeek 文件兼容性：修正了 4.6.1 版本引入的一个回归性 Bug，该 Bug 曾导致 Omnipeek 捕获文件无法正常工作。
• 安全漏洞修复：修复了wiretap/ber.c (ber_open)中存在的一个栈缓冲区溢出漏洞，提升了整体安全性。
• 插件生态兼容性：解决了 4.6.1 版本中意外引入的一项 API/ABI 变更。该变更会导致为 4.6.0 版本构建的插件无法兼容，此次修复确保了插件生态系统的稳定性。

Wireshark 4.6.1 主要更新

修复核心崩溃问题

Wireshark 4.6.1 重点修复了 2 项可能导致软件崩溃的安全漏洞，建议所有用户尽快升级，以确保分析过程的稳定性：

• BPv7 解析器崩溃修复（wnpa-sec-2025-05）：修复了处理 Bundle Protocol version 7 时可能发生的异常退出。
• Kafka 解析器崩溃修复（wnpa-sec-2025-06）：解决了在解析 Kafka 协议数据包时可能触发的程序崩溃问题。

协议解析与数据处理

• DNS over QUIC（DoQ）支持优化：UDP 853 端口现在能被正确解码为 QUIC 协议，紧跟加密 DNS 的技术趋势。
• L2CAP 重传模式修复：修正了 L2CAP 解析器无法正确理解重传模式（retransmission mode）的问题。
• TLS 握手优化：解决了使用新会话票据（New Session Ticket）进行 TLS 简略握手时的解析问题。
• LZ4 压缩写入修复：修复了写入 LZ4 压缩格式输出文件时可能失败的 Bug，保障数据落盘的可靠性。

性能与开发体验

• Lua 插件稳定性提升：修复了 TShark 因 Lua 插件导致的崩溃，以及FileHandler在读取数据包时引发的异常。
• UI 响应优化：解决了在选择特定消息时 Wireshark 会卡顿数秒的性能问题，让操作更加丝滑。
• 构建环境修复：解决了插件构建时endian.h与 libc 的冲突，以及packet-zbee-direct.c在 clang-cl 下的编译错误。

可视化与兼容性

• Omnipeek 文件兼容：修复了 4.6.0 版本中无法打开 Omnipeek 格式文件的问题。
• TCP 绘图修复：解决了 TCP 解析器生成无效数据包图表的问题。
• 字符集支持：IsoBus 解析器现已支持 UTF-16 字符串操作。

更新协议支持

本次更新对以下协议的解析支持进行了更新或增强：

802.11 Radiotap、AC DR、ASN.1 BER、ASN.1 PER、BPv7、BT L2CAP、CFM、Darwin、DNS、DTLS、EAPOL-MKA、HTTP、HTTP3、ISObus VT、KRB5、LTP、NAS-EPS、NETDFS、NMEA 0183、P1、RPC_NETLOGON、RTSE、SGP.22、SGP.32、SMB、SNMP、TCP、TECMP、TFTP、VLAN、WINREG、X509AF、X509SAT 和 ZBD。

新文件格式支持

• Peektagged

Wireshark 4.6 主要更新

Plots 统计功能

在 Wireshark 4.6 的「统计」菜单里，除了大家熟悉的「I/O 图表」，你会发现下方还多了一个新的「Plots」选项。

我们先来回顾一下「I/O 图表」：它其实是一种直方图，会把捕获到的数据按时间分段，把每个时间段的数据打包成一个数据点。比如，我们抓到了一大堆 DNS 查询流量，就能用「I/O 图表」来显示每秒 DNS 查询名称的平均长度，看起来「长这样」：

在这种模式下，Wireshark 会为每 1 秒创建一个 bucket（桶），然后计算并显示该桶内所有查询名称长度的平均值。这种方式特别适合观察平均值和峰值吞吐量等指标，也因此得名「I/O 图表」。

可如果我们不想看平均值，而是想知道每个查询名称的「真实」长度呢？这时候新功能「Plots」就能派上用场了。还是同样的 DNS 查询长度，如果我们切换到「Plots」功能，「画风」就会变成这样：

你会发现，相比看似杂乱的「I/O 图表」，「Plots」呈现的图表反而能看出一些规律。这是因为我抓的是家里的 DNS 流量，和大部分家庭的情况类似——各种智能设备分布在各个角落，它们的应用会定期「回传」数据，刷新状态。规律性的波动，在「Plots」模式下一目了然。

其他主要变更

• macOS 安装包现在统一成了一个通用磁盘镜像，不再区分 Arm 和 Intel 版本。
• 支持在实时抓包的同时直接压缩写入，更加省空间。
• 数据包列表里的内容现在可以复制成 HTML 格式，方便做报告或分享。
• 在 macOS 和 Windows 平台上，现在可以单独切换浅色或深色模式，不受系统设置影响。