Протокол фильтра Wireshark Display == TLSV1? (и PacketLength)


20

Каким будет выражение фильтра, чтобы просто выбрать протоколы, где протокол = TLSV1? Что-то очевидное, например, протокол == "TLSV1" или TCP.protocol == "TLSV1", по-видимому, неправильный путь.

ip.proto == «TLSV1» говорит «ip.proto не может принимать строки в качестве значений»

Обновление - дополнительные советы:

Другой полезный, но скрытый поиск в PacketLength: вы можете добавить длину пакета на ваш дисплей, нажав «Изменить настройки» (меню или значок) и добавив PacketLength в качестве нового столбца, но для фильтрации по нему вы должны использовать более загадочный : frame.len == ### где ### - желаемое число. Мы использовали это, чтобы определить, сколько пакетов было отправлено и / или получено, когда вы фильтруете, строка состояния в нижней части экрана показывает количество элементов, соответствующих фильтру.

Ответы:


30

ssl.record.version == 0x0301

Это говорит Wireshark отображать только пакеты, которые являются SSL-разговорами с использованием семантики TLS.


Вау, спасибо! Похоже, что можно фильтровать слова на экране вместо криптографических кодов.
NealWalters

«ip.proto == 6» было несколько близко к тому, что я хотел (но дает SMB и TCP, а также TLSV1)
NealWalters

2
«ip.proto» относится к полю «Протокол» в заголовке IP: wireshark.org/docs/dfref/i/ip.html . «ip.proto == 6» означает «любой TCP-пакет, передаваемый по IPv4». Большинство экранных фильтров Wireshark соответствуют числовому значению в заданном заголовке протокола.
Джеральд Комбс

8
К вашему сведению: Значения версии в шестнадцатеричном формате ------------------------------------- SSL 3.0 3,0 0x0300 TLS 1,0 3,1 0x0301 TLS 1.1 3,2 0x0302 TLS 1.2 3,3 0x0303
Jay D

4
Я думаю, что этот ответ действительно должен быть ssl.handshake.versionвместо ssl.record.version. Существует разница между слоями TLS Record и TLS Handshake
Unglued
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.