Wireshark 4.6.2 发布：一次重要的稳定性与安全更新

网络数据包分析领域的「绝对王者」、广受赞誉的开源利器——Wireshark 4.6.2 正式发布！本次更新已同步覆盖 Linux、macOS 和 Windows 三大主流平台。

作为全球最受欢迎的网络协议分析工具，Wireshark 早已成为网络工程师进行故障排查、流量分析、协议开发以及教学研究的必备「瑞士军刀」。无论你是身经百战的资深专家，还是初入网工领域的新手，这次更新都值得你立即关注。

Wireshark 4.6.2 主要更新

协议支持全面更新

• 新版本增强了对大量协议的解析能力，其中包括：ATM PW、COSEM、COTP、DECT NR+、DMP、Fc00、GTP、HTTP3、IEEE 802.15.4、ISIS HELLO、ISOBUS、MAC-LTE、MAUSB、MEGACO、MPEG DSM-CC、OsmoTRXD、PTP、RLC、SAPDIAG 和 SMTP 等。

核心 Bug 修复与安全更新

除了协议支持的扩展，新版本还包含多项关键性修复：

• HTTP3 解析器崩溃：修复了在处理特定数据时可能导致 HTTP3 解析器崩溃的严重问题。
• MEGACO 解析器死循环：解决了 MEGACO 解析器中一处可能引发无限循环的缺陷。
• Omnipeek 文件兼容性：修正了 4.6.1 版本引入的一个回归性 Bug，该 Bug 曾导致 Omnipeek 捕获文件无法正常工作。
• 安全漏洞修复：修复了wiretap/ber.c (ber_open)中存在的一个栈缓冲区溢出漏洞，提升了整体安全性。
• 插件生态兼容性：解决了 4.6.1 版本中意外引入的一项 API/ABI 变更。该变更会导致为 4.6.0 版本构建的插件无法兼容，此次修复确保了插件生态系统的稳定性。

Wireshark 4.6.1 主要更新

修复核心崩溃问题

Wireshark 4.6.1 重点修复了 2 项可能导致软件崩溃的安全漏洞，建议所有用户尽快升级，以确保分析过程的稳定性：

• BPv7 解析器崩溃修复（wnpa-sec-2025-05）：修复了处理 Bundle Protocol version 7 时可能发生的异常退出。
• Kafka 解析器崩溃修复（wnpa-sec-2025-06）：解决了在解析 Kafka 协议数据包时可能触发的程序崩溃问题。

协议解析与数据处理

• DNS over QUIC（DoQ）支持优化：UDP 853 端口现在能被正确解码为 QUIC 协议，紧跟加密 DNS 的技术趋势。
• L2CAP 重传模式修复：修正了 L2CAP 解析器无法正确理解重传模式（retransmission mode）的问题。
• TLS 握手优化：解决了使用新会话票据（New Session Ticket）进行 TLS 简略握手时的解析问题。
• LZ4 压缩写入修复：修复了写入 LZ4 压缩格式输出文件时可能失败的 Bug，保障数据落盘的可靠性。

性能与开发体验

• Lua 插件稳定性提升：修复了 TShark 因 Lua 插件导致的崩溃，以及FileHandler在读取数据包时引发的异常。
• UI 响应优化：解决了在选择特定消息时 Wireshark 会卡顿数秒的性能问题，让操作更加丝滑。
• 构建环境修复：解决了插件构建时endian.h与 libc 的冲突，以及packet-zbee-direct.c在 clang-cl 下的编译错误。

可视化与兼容性

• Omnipeek 文件兼容：修复了 4.6.0 版本中无法打开 Omnipeek 格式文件的问题。
• TCP 绘图修复：解决了 TCP 解析器生成无效数据包图表的问题。
• 字符集支持：IsoBus 解析器现已支持 UTF-16 字符串操作。

更新协议支持

本次更新对以下协议的解析支持进行了更新或增强：

802.11 Radiotap、AC DR、ASN.1 BER、ASN.1 PER、BPv7、BT L2CAP、CFM、Darwin、DNS、DTLS、EAPOL-MKA、HTTP、HTTP3、ISObus VT、KRB5、LTP、NAS-EPS、NETDFS、NMEA 0183、P1、RPC_NETLOGON、RTSE、SGP.22、SGP.32、SMB、SNMP、TCP、TECMP、TFTP、VLAN、WINREG、X509AF、X509SAT 和 ZBD。

新文件格式支持

• Peektagged

Wireshark 4.6 主要更新

Plots 统计功能

在 Wireshark 4.6 的「统计」菜单里，除了大家熟悉的「I/O 图表」，你会发现下方还多了一个新的「Plots」选项。

我们先来回顾一下「I/O 图表」：它其实是一种直方图，会把捕获到的数据按时间分段，把每个时间段的数据打包成一个数据点。比如，我们抓到了一大堆 DNS 查询流量，就能用「I/O 图表」来显示每秒 DNS 查询名称的平均长度，看起来「长这样」：

在这种模式下，Wireshark 会为每 1 秒创建一个 bucket（桶），然后计算并显示该桶内所有查询名称长度的平均值。这种方式特别适合观察平均值和峰值吞吐量等指标，也因此得名「I/O 图表」。

可如果我们不想看平均值，而是想知道每个查询名称的「真实」长度呢？这时候新功能「Plots」就能派上用场了。还是同样的 DNS 查询长度，如果我们切换到「Plots」功能，「画风」就会变成这样：

你会发现，相比看似杂乱的「I/O 图表」，「Plots」呈现的图表反而能看出一些规律。这是因为我抓的是家里的 DNS 流量，和大部分家庭的情况类似——各种智能设备分布在各个角落，它们的应用会定期「回传」数据，刷新状态。规律性的波动，在「Plots」模式下一目了然。

其他主要变更

• macOS 安装包现在统一成了一个通用磁盘镜像，不再区分 Arm 和 Intel 版本。
• 支持在实时抓包的同时直接压缩写入，更加省空间。
• 数据包列表里的内容现在可以复制成 HTML 格式，方便做报告或分享。
• 在 macOS 和 Windows 平台上，现在可以单独切换浅色或深色模式，不受系统设置影响。