В октябре .2022 Опубликован релиз новой стабильной ветки сетевого анализатора Wireshark 4.0.
Код проекта распространяется под лицензией GPLv2.
Ключевые новшества Wireshark 4.0.0:
Изменена компоновка элементов в основном окне. Панели “Дополнительная Информация о пакете” и “Байты пакета” размещены бок о бок под панелью “Список Пакетов”.
Изменено оформление диалоговых окон “Диалог” (Conversation) и “Конечная точка” (Endpoint).
В контекстные меню добавлены опции для изменения размера всех столбцов и копирования элементов.
Обеспечена возможность открепления и прикрепления вкладок.
Добавлена поддержка экспорта в формате JSON.
При применении фильтров показаны столбцы, отображающие различия между подпавшими и не подпавшими под фильтры пакетами.
Изменена сортировка различных видов данных.
К TCP и UDP потокам привязаны идентификаторы и предоставлена возможность фильтрации по ним.
Разрешено скрытие диалогов из контекстного меню.
Улучшен импорт шестнадцатеричных дампов из интерфейса Wireshark и при помощи команды text2pcap.
В text2pcap предоставлена возможность записи дампов во всех форматах, поддерживаемых библиотекой wiretap.
В text2pcap в качестве формата по умолчанию выставлен pcapng, по аналогии с утилитами editcap, mergecap и tshark.
Добавлена поддержка выбора типа инкапсуляции формата вывода.
Добавлены новые опции для ведения логов.
Предоставлена возможность сохранения в дампах фиктивных заголовков IP, TCP, UDP и SCTP при использовании инкапсуляции Raw IP, Raw IPv4 и Raw IPv6.
Добавлена поддержка сканирования входных файлов с использованием регулярных выражений.
Обеспечен паритет функциональности утилиты text2pcap и интерфейса “Import from Hex Dump” в Wireshark.
Значительно повышена производительность определения местоположения с использованием баз MaxMind.
Внесены изменения в синтаксис правил фильтрации трафика:
Добавлена возможность выбора определённого слоя стека протоколов, например, при инкапсуляции IP-over-IP для извлечения адресов из внешних и вложенных пакетов можно указывать “ip.addr#1 == 1.1.1.1” и “ip.addr#2 == 1.1.1.2”.
В условных операторах реализована поддержка кванторов “any” и “all”, например, “all tcp.port > 1024” для проверки всех полей tcp.port.
Встроен синтаксис для указания ссылок на поля – ${some.field}, реализованный без использования макросов.
Добавлена возможность использования арифметических операций (“+”, “-“, “*”, “/”, “%”) с числовыми полями, отделяя выражение фигурными скобками.
Добавлены функции max(), min() и abs().
Разрешено указание выражений и вызова других функций в качестве аргументов функций.
Добавлен новый синтаксис для отделения литералов от идентификаторов – начинающееся с точки значение обрабатывается как протокол или поле протокола, а значение в угловых скобках – как литерал.
Добавлен битовый оператор “&”, например, для изменения отдельных битов можно указывать “frame[0] & 0x0F == 3”.
Приоритет логического оператора AND теперь выше, чем оператора OR.
Добавлена поддержка задания констант в двоичном виде, используя префикс “0b”.
Добавлена возможность использования отрицательных значений индексов для отчёта с конца, например, для проверки последних двух байтов в заголовке TCP можно указать “tcp[-2:] == AA:BB”.