Протокол фільтра дисплея Wireshark == TLSV1? (і PacketLength)


20

Що б виразити фільтр, щоб просто вибрати протоколи, де протокол = TLSV1? Щось очевидне, як протокол == "TLSV1" або TCP.protocol == "TLSV1", мабуть, не правильний шлях.

ip.proto == "TLSV1" говорить "ip.proto не може приймати рядки як значення"

Оновлення - додаткові поради:

Ще один великий, але прихований пошук - на PacketLength: Ви можете додати довжину пакета до свого дисплея, натиснувши "Редагувати налаштування" (меню чи піктограму) та додати PacketLength як новий стовпець, але для фільтрування на ньому потрібно використовувати більш криптичний : frame.len == ### де ### - ваше бажане число. Ми використовували це, щоб визначити, скільки пакетів було надіслано та / або отримано під час фільтрування, рядок стану в нижній частині екрана показує кількість елементів, що відповідають фільтру.

Відповіді:


30

ssl.record.version == 0x0301

Це говорить Wireshark лише відображати пакети, які є SSL-розмовами, використовуючи TLS-семантику.


Нічого, дякую! Здається, можна замість криптокодів фільтрувати слова на екрані.
NealWalters

"ip.proto == 6" був дещо близький до того, що я хотів (але дає SMB і TCP, а також TLSV1)
NealWalters

2
"ip.proto" посилається на поле "Протокол" у заголовку IP: wireshark.org/docs/dfref/i/ip.html . "ip.proto == 6" означає "Будь-який пакет TCP, що переноситься через IPv4". Більшість фільтрів дисплея Wireshark відповідають числовому значенню в заданому заголовку протоколу.
Джеральд Гребінь

8
FYI: Значення версії dec hex ------------------------------------- SSL 3.0 3,0 0x0300 TLS 1,0 3,1 0x0301 TLS 1,1 3,2 0x0302 TLS 1,2 3,3 0x0303
Jay D

4
Я думаю, що ця відповідь справді повинна бути ssl.handshake.versionзамість цього ssl.record.version. Існує різниця між шарами TLS Record та TLS Handshake
Unglued
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.