不管是以前的计网学习，还是后来工作过程中进行问题排查需要进行协议报文分析等场景，基本上都是使用Wireshark来进行的网络抓包、查看、以及报文的分析。

Wireshark是世界上最流行的网络协议分析器，可被用于故障排除、分析、开发、以及教育。

默认的主窗口布局

在过去的版本中，Wireshark 遵循其前辈们制定的标准，将数据包列表、数据包细节和字节视图放在彼此的上面，就像这样：

这个标准是很久以前制定的，当时大多数显示器的长宽比是 4:3，分辨率比现在的低。

从 Wireshark 4.0 开始，默认的是细节和字节视图彼此相邻，这使得它更容易利用现代显示器上的可用空间。

会话和端点

会话和端点对话框已经是一个很受欢迎的功能了，在排查一个问题时，人们往往会首先看这个对话框。

Wireshark 4.0 使其功能更强大，更容易使用。

例如，现在可以在不同的窗口中并排看到 TCP 和 UDP 的会话。

而且排序得到了改进，用户现在可以隐藏列，对 stream ID 进行过滤，并将数据导出为 JSON。

十六进制导入

有时用户感兴趣的数据包并不在一个用户可以直接用 Wireshark 打开的 pcap 或 pcapng 文件里，而是埋在一个十六进制转储中。

Wireshark 提供了两种将十六进制转储转换为 pcaps 的方法。主程序中的 "Import From Hex Dump" 和 text2pcap 工具。

在过去的版本中，它们有不同的功能集，行为也不同，但在 Wireshark 4.0 中它们更加一致。

将要消失的特性

不再为 Wireshark 4.0 及以后的版本提供官方的 32 位 Windows 软件包了。

如果用户还在使用 32 位的 Windows 系统，官方将继续提供 Wireshark 3.6 的更新直到 2024 年。

到时候用户将无法使用 4.0 及以后版本的新功能。

仍在开发的特性

有两个非常想加入的 Windows 功能，但目前还没有在 4.0 版本中出现，即暗黑模式和 Arm64 支持。

1、暗黑模式需要获得用户界面库 Qt 的支持，这仍然是一项正在进行的工作，但有希望能在 Wireshark 4.2 中引入。

2、为 Arm64 构建软件包需要构建硬件和软件库支持，同样有望在 Wireshark 4.2 中做到这一点。

参考阅读：

https://blog.wireshark.org/2022/10/whats-new-in-wireshark-4-0