Протокол фильтра Wireshark Display == TLSV1? (и PacketLength)

Каким будет выражение фильтра, чтобы просто выбрать протоколы, где протокол = TLSV1? Что-то очевидное, например, протокол == "TLSV1" или TCP.protocol == "TLSV1", по-видимому, неправильный путь.

ip.proto == «TLSV1» говорит «ip.proto не может принимать строки в качестве значений»

Обновление - дополнительные советы:

Другой полезный, но скрытый поиск в PacketLength: вы можете добавить длину пакета на ваш дисплей, нажав «Изменить настройки» (меню или значок) и добавив PacketLength в качестве нового столбца, но для фильтрации по нему вы должны использовать более загадочный : frame.len == ### где ### - желаемое число. Мы использовали это, чтобы определить, сколько пакетов было отправлено и / или получено, когда вы фильтруете, строка состояния в нижней части экрана показывает количество элементов, соответствующих фильтру.

wireshark filtering

— NealWalters
источник

ssl.record.version == 0x0301

Это говорит Wireshark отображать только пакеты, которые являются SSL-разговорами с использованием семантики TLS.

— sysadmin1138
источник

Вау, спасибо! Похоже, что можно фильтровать слова на экране вместо криптографических кодов.

— NealWalters

«ip.proto == 6» было несколько близко к тому, что я хотел (но дает SMB и TCP, а также TLSV1)

— NealWalters

«ip.proto» относится к полю «Протокол» в заголовке IP: wireshark.org/docs/dfref/i/ip.html . «ip.proto == 6» означает «любой TCP-пакет, передаваемый по IPv4». Большинство экранных фильтров Wireshark соответствуют числовому значению в заданном заголовке протокола.

— Джеральд Комбс

К вашему сведению: Значения версии в шестнадцатеричном формате ------------------------------------- SSL 3.0 3,0 0x0300 TLS 1,0 3,1 0x0301 TLS 1.1 3,2 0x0302 TLS 1.2 3,3 0x0303

— Jay D

Я думаю, что этот ответ действительно должен быть ssl.handshake.versionвместо ssl.record.version. Существует разница между слоями TLS Record и TLS Handshake

— Unglued