Protokół filtra wyświetlania Wireshark == TLSV1? (i PacketLength)

20

Czym byłoby wyrażenie filtrujące po prostu wybierając protokoły, w których protokół = TLSV1? Coś oczywistego, jak protokół == „TLSV1” lub TCP.protocol == „TLSV1”, najwyraźniej nie jest właściwą drogą.

ip.proto == „TLSV1” mówi „ip.proto nie może przyjmować ciągów jako wartości”

Aktualizacja - dodatkowe wskazówki:

Kolejne świetne, ale ukryte wyszukiwanie dotyczy PacketLength: możesz dodać długość pakietu do wyświetlacza, klikając „Edytuj preferencje” (menu lub ikonę) i dodając PacketLength jako nową kolumnę, ale aby go przefiltrować, musisz użyć bardziej tajemniczej : frame.len == ### gdzie ### to żądany numer. Używaliśmy tego do ustalenia, ile pakietów zostało wysłanych i / lub odebranych, podczas filtrowania pasek stanu u dołu ekranu pokazuje liczbę elementów pasujących do filtra.

NealWalters
źródło

Odpowiedzi:

30

ssl.record.version == 0x0301

Oznacza to, że Wireshark wyświetla tylko te pakiety, które są konwersacjami SSL przy użyciu semantyki TLS.

sysadmin1138
źródło
Wow, dzięki! Wygląda na to, że można filtrować słowa na ekranie zamiast kodów kryptograficznych.
NealWalters,
„ip.proto == 6” było nieco zbliżone do tego, co chciałem (ale daje SMB i TCP oraz TLSV1)
NealWalters
2
„ip.proto” odnosi się do pola „Protokół” w nagłówku IP: wireshark.org/docs/dfref/i/ip.html . „ip.proto == 6” oznacza „Dowolny pakiet TCP przenoszony przez IPv4”. Większość filtrów wyświetlania Wireshark odpowiada wartości liczbowej w danym nagłówku protokołu.
Gerald Combs
8
FYI: Wersja Wartości dec hex ------------------------------------- SSL 3.0 3,0 0x0300 TLS 1,0 3,1 0x0301 TLS 1,1 3,2 0x0302 TLS 1,2 3,3 0x0303
Jay D
4
Myślę, że odpowiedź powinna być naprawdę ssl.handshake.versionzamiast ssl.record.version. Istnieje różnica między warstwami TLS Record i TLS Handshake
Unglued