Wireshark 4.6.6:修掉一个协议解析器崩溃,该升级了

2026-05-22 22 预计阅读时间:1 分钟
来源:oschina.net AI 摘要 原文链接

免责声明:本文为 AI 摘要整理,建议结合原文阅读。摘要可能省略上下文、版本差异或边界条件,不作为官方说明。

预计阅读时间:7 分钟

Wireshark 4.6.6 是一个典型的安全修复+稳定性补丁版本,没有新功能,但有一个值得关注的协议解析器崩溃漏洞。如果你在生产环境用 Wireshark 抓包分析,尤其是处理 ROHC 或 vwr 格式的数据,这个版本应该尽快部署。

崩溃漏洞:ROHC 解析器触发未初始化内存访问

本次发布中最关键的安全修复是 wnpa-sec-2026-51——ROHC(Robust Header Compression)协议解析器在处理特定构造的数据包时会崩溃。ROHC 常见于移动通信场景(3G/4G/5G 链路层头压缩),如果你分析的是基站侧或核心网侧的抓包文件,触发这个 bug 的概率并不低。

另一个相关的内存安全问题是 vwr 解析器中 pntoh16 函数读取未初始化的内存(Work item 24787)。vwr 是 Ixia/Keysight 抓包工具的私有格式,如果你从测试仪导出数据再导入 Wireshark,这个修复直接影响你。

这两个问题的共同特征:解析器在边界条件下没有正确初始化缓冲区,导致读取垃圾数据甚至段错误。对离线分析来说,崩溃意味着丢进度;对自动化流水线里调用 tshark 的场景来说,崩溃意味着整个管道中断。

其他修复

  • Issue 21243:在 Windows 上用 Visual Studio 运行 Wireshark 时崩溃。这个听起来奇怪,但确实有人会在 VS 里调试 Wireshark 本身(比如写自定义解析器插件的开发者),修复后调试体验恢复正常。
  • 欢迎页面幻灯片偏好设置:之前藏在不太容易找到的位置,现在移到了标准的偏好设置窗口中,小改进但减少了新用户的困惑。
  • Issue 16460:vwr 相关的另一个解析问题(摘要截断,但指向同一模块的持续修复)。

实战:用 tshark 做自动化抓包分析

升级之后,把 tshark 用起来才是正经事。下面给几个可以直接复制运行的命令。

基本抓包并实时过滤

只抓 HTTP 流量,写入文件同时终端看摘要:

# Linux/macOS - 抓 eth0 上的 HTTP 包,存文件 + 实时输出
tshark -i eth0 -f "tcp port 80" -w http_capture.pcap -P

-f 是 BPF 捕获过滤器(抓包时就过滤,省磁盘),-P 在写文件的同时打印摘要到终端。

从已有 pcap 文件提取特定字段

分析一个抓包文件里所有 TCP 连接的源 IP、目标 IP、目标端口和重传标志:

# 提取 TCP 重传包的源/目标信息,CSV 格式输出
tshark -r http_capture.pcap \
  -Y "tcp.analysis.retransmission" \
  -T fields \
  -E separator=, \
  -E header=y \
  -f ip.src \
  -f ip.dst \
  -f tcp.dstport

输出类似:

ip.src,ip.dst,tcp.dstport
10.0.1.5,93.184.216.34,80
10.0.1.5,93.184.216.34,443

可以直接导入 Excel 或 Python 做后续统计。

用 Python 批量处理 tshark 输出

import subprocess
import csv
from collections import Counter

# 调用 tshark 提取 DNS 查询的域名
result = subprocess.run(
    [
        "tshark", "-r", "network_trace.pcap",
        "-Y", "dns.qry.name",
        "-T", "fields",
        "-E", "separator=,",
        "-f", "dns.qry.name",
    ],
    capture_output=True, text=True,
)

# 统计最常查询的域名
domains = [row.strip() for row in result.stdout.splitlines() if row.strip()]
top10 = Counter(domains).most_common(10)

for domain, count in top10:
    print(f"{domain}: {count} 次")

这段脚本假设你有一个 network_trace.pcap 文件,运行前把文件路径替换成你自己的。tshark 必须在 PATH 中可用。

检查你当前 Wireshark 版本

tshark --version

输出第一行会告诉你当前版本号。如果不是 4.6.6,该升级了。

升级建议与注意事项

  • 如果你处理 ROHC 或 vwr 格式的数据:这是必须升级的版本,崩溃漏洞在真实抓包中可触发,不需要恶意构造。
  • 如果你只用 Wireshark 分析常见协议(TCP/HTTP/DNS 等):崩溃漏洞对你影响较小,但升级仍然推荐——vwr 的未初始化内存读取可能在其他解析器中有类似模式,官方修复通常比公开漏洞报告更早覆盖潜在问题。
  • Windows 用户在 VS 中调试插件:Issue 21243 的修复对你直接有用。
  • 自动化管道依赖 tshark:升级前在测试环境跑一遍你的脚本,确认输出格式没有变化。补丁版本一般不会改字段名,但养成习惯总是好的。

下载地址在 Wireshark 官网,Linux 用户也可以通过发行版包管理器更新——通常在发布后几天内就会同步。

最后提醒一个容易忽略的点:升级 Wireshark 时,同时升级 tshark。它们是同一个包里的两个二进制,版本必须一致,否则解析器逻辑可能不匹配,导致离线分析结果异常。

# 全栈 # 开源 # 开源中国

相关推荐