Den fria och öppna nätverksanalysatorn Wireshark har fått en rejäl uppdatering. Version 4.6 släpptes nyligen och bjuder på mängder av förbättringar för både nätverkstekniker, säkerhetsforskare och vanliga entusiaster som vill förstå vad som händer på sitt nätverk.
Wireshark används världen över för att analysera nätverkstrafik i detalj, felsöka problem, utveckla protokoll och utbilda nya ingenjörer. Nu tar programmet ännu ett stort steg framåt.
Största nyheten: “Plots” och realtidskomprimering
En av de mest iögonfallande nyheterna är det nya ”Plots”-fönstret, som visar spridningsdiagram i realtid. Till skillnad från de klassiska I/O-graferna, som visar trafikmängd över tid, kan Plots-vyn användas för att visualisera samband mellan olika datapunkter. Funktionen stöder flera grafer samtidigt, markörer och automatisk rullning – något som är särskilt användbart vid prestandaanalys.
Samtidigt införs stöd för komprimering av live-inspelningar. Tidigare kunde Wireshark bara komprimera filer vid rotationspunkter (till exempel när en inspelning nådde en viss storlek), men nu kan data packas i realtid medan de skrivs till disk. Det sparar både lagringsutrymme och CPU-resurser vid långvariga inspelningar.
Dekryptering av NTP med Network Time Security
Wireshark 4.6 kan nu dekryptera NTP-paket (Network Time Protocol) som skyddas med den moderna standarden NTS – Network Time Security.
Det innebär att användare som arbetar med tidskritiska system – till exempel i finans-, forsknings- eller industriella nätverk – kan granska tidsynkronisering med full insyn även när trafiken är krypterad.
Även stödet för MACsec-trafik (Media Access Control Security) har utökats. Analysatorn kan nu använda nycklar som genererats av MKA-dissektorn, eller fördefinierade PSK-nycklar i själva MACsec-inställningarna.
Standardiserad tidsformattering och nya dataenheter
Alla absoluta tidsfält som exporteras i JSON-format skrivs nu enligt ISO 8601-standarden med universell tid (UTC). Det innebär att Wireshark-data blir enklare att integrera med andra verktyg och databaser. Dessutom används nu SI-prefix (t.ex. kB, MB, Gbps) i TCP-strömgrafer för enhetlighet.
På Linux har man dessutom förbättrat fångstfiltren: BPF-uttryck som inbound, outbound och ifindex fungerar nu även vid själva inspelningen – inte bara i analysen i efterhand.
Bättre tabeller, kolumner och exportfunktioner
De populära fönstren Conversations och Endpoints har fått flera uppgraderingar. De kan nu visa protokollet DNP 3 (Distributed Network Protocol 3) och användaren kan välja om trafikmängder ska visas som exakta värden eller i människovänligt format (t.ex. 1,2 MB i stället för 1 234 567 bytes).
Kolumnsystemet har också förbättrats. Man kan nu visa värden i samma format som i paketdetaljerna, och numeriska uttryck i anpassade kolumner sorteras numeriskt i stället för alfabetiskt.
Exporten av data har blivit flexiblare – du kan till exempel skriva ut råa hex-data, kopiera tabeller som HTML med justerade kolumner, eller inkludera tidsstämplar i hex-dump-utskrifter.
Stöd för fler protokoll än någonsin
Wireshark 4.6 introducerar stöd för över 20 nya nätverksprotokoll, bland annat:
- Binary HTTP
- DECT NR+ (2020 New Radio)
- Network Time Security Key Establishment (NTS-KE)
- Ephemeral Diffie-Hellman over COSE
- SGP.22 och SGP.32 GSMA Remote SIM Provisioning
- SICK CoLA, Ouster VLP-16, vSomeIP Internal Protocol
- Bluetooth Intel och Android HCI
Dessutom stöds nu filformaten RIFF och TTL, samt det industriella kommunikationsprotokollet XCP – Universal Measurement and Calibration Protocol.
Förbättringar under huven
Version 4.6 bygger nu med Qt 6.9.3 och kräver libxml2 som beroende. Installationspaketen för macOS har blivit universella, vilket betyder att samma paket fungerar på både Intel- och Apple Silicon-datorer.
På Windows levereras programmet numera med Npcap 1.83 – den moderna ersättaren till WinPcap, som nu helt har slopats. AirPcap-stöd har också tagits bort.
Dessutom kan Wireshark nu läsa ut process- och metadata-information direkt från tcpdump på macOS, och färgtemat kan växlas mellan ljust och mörkt läge oberoende av systeminställning.
Wireshark Foundation – mer än bara ett program
Wireshark utvecklas och underhålls av Wireshark Foundation, en ideell organisation som arbetar för utbildning och forskning kring nätverksanalys.
Organisationen erbjuder även officiell utbildning och certifiering för den som vill fördjupa sina kunskaper – något som blivit alltmer efterfrågat i takt med att nätverks- och säkerhetsyrken växer.
Sammanfattning: en kraftfullare verktygslåda för nätverksanalys
Wireshark 4.6 är inte bara en uppgradering – det är ett stort kliv framåt för hela nätverksanalysvärlden.
Med stöd för moderna säkerhetsprotokoll, förbättrad prestanda, realtidskomprimering och en lång lista av nya dissektorer är verktyget mer komplett än någonsin.
För nätverksingenjörer, forskare och cybersäkerhetsexperter är det här en uppdatering väl värd att installera.
Ladda ner Wireshark 4.6 som källkod eller färdigt paket från den officiella webbplatsen: wireshark.org
För Linux-användare finns även en Flatpak-version tillgänglig via Flathub.
Typ: Större versionsgren (4.6.0) • Plattformar: Linux, macOS, Windows
Nyckelnyheter
- Nytt Plots-fönster med spridningsdiagram, flera serier, markörer och autoskroll.
- Komprimering av live-captures vid skrivning (även i TShark med
--compress). - Dekryptering av NTP med NTS (Network Time Security).
- Utökat MACsec-stöd: SAK från MKA-dissektorn eller PSK-lista i MACsec.
- Absoluta tider i JSON (
-T json) skrivs som ISO 8601 UTC; UTC-kolumner får suffixZ. - SI-prefix på axlar i TCP Stream Graph.
- Linux: BPF-förlängningar
inbound,outbound,ifindexkan användas vid fångst. - Conversations/Endpoints: välj exakta byte/rate-värden eller mänskligt läsbara.
- Nytt menyval: Edit → Copy → as HTML; nytt View → Redissect Packets.
Export & verktyg
- GUI-export kan skriva råa hex-bytes (
-T json -x/-T jsonrawmotsvarigheter). - Hex-dumpar kan få tidsstämpelspreambel (GUI) eller
--hexdump timei TShark. - Ny preferens
-o statistics.output_formatför vissa TShark-z <tap>,tree-utskrifter.
Nya protokoll (urval)
Binary HTTP, DECT NR+, NTS-KE, Roughtime, XCP, vSomeIP Internal, SGP.22/SGP.32 RSP, Bluetooth HCI (Intel/Android), BIST-ITCH/OUCH, ILNP, DLMS/COSEM, SICK CoLA, Ouster VLP-16 m.fl. Även stöd för RIFF och TTL filformat.
Plattform/bygg
- Windows/macOS levererar med Qt 6.9.3.
- Windows-installer inkluderar Npcap 1.83 (WinPcap/AirPcap ej längre stöd).
- Universella macOS-installers (Arm64 + Intel).
libxml2krävs vid bygg (ej 2.15.0).
Snabbkommandon
# JSON-export med ISO 8601 (UTC) tshark -r trace.pcapng -T json > out.json # Livefångst med on-the-fly-komprimering tshark -i eth0 --compress -w capture.pcapng.gz # Exakta värden i Conversations/Endpoints wireshark -o "conv.machine_readable:TRUE"
