Protokol Display Filter Wireshark == TLSV1? (dan PacketLength)

20

Apa yang akan menjadi ekspresi filter untuk hanya memilih protokol di mana protokol = TLSV1? Sesuatu yang jelas seperti protokol == "TLSV1" atau TCP.protocol == "TLSV1" tampaknya bukan cara yang benar.

ip.proto == "TLSV1" mengatakan "ip.proto tidak dapat menerima string sebagai nilai"

Perbarui - tips tambahan:

Pencarian hebat lainnya yang tersembunyi ada di PacketLength: Anda dapat menambahkan panjang paket ke tampilan Anda dengan mengklik "Edit Preferensi" (menu atau ikon), dan menambahkan PacketLength sebagai kolom baru, tetapi untuk memfilternya Anda harus menggunakan lebih cryptic. : frame.len == ### di mana ### adalah nomor yang Anda inginkan. Kami menggunakan ini untuk menentukan berapa banyak paket yang telah dikirim dan / atau diterima, ketika Anda memfilter, bilah status di bagian bawah layar menunjukkan jumlah item yang cocok dengan filter.

wireshark filtering NealWalters
sumber

Jawaban:

30

ssl.record.version == 0x0301

Itu memberi tahu Wireshark untuk hanya menampilkan paket yang merupakan percakapan SSL menggunakan semantik TLS.

sysadmin1138
sumber
Wow terima kasih! Sepertinya orang bisa memfilter kata-kata di layar, bukan kode crypto.
NealWalters
"ip.proto == 6" agak dekat dengan apa yang saya inginkan (tetapi memberikan SMB dan TCP serta TLSV1)
NealWalters
2
"ip.proto" merujuk ke bidang "Protokol" di header IP: wireshark.org/docs/dfref/i/ip.html . "ip.proto == 6" berarti "Paket TCP apa pun yang dibawa melalui IPv4". Sebagian besar filter tampilan Wireshark sesuai dengan nilai numerik di header protokol yang diberikan.
Gerald Combs
8
FYI: Nilai Versi dec hex hex ------------------------------------- SSL 3.0 3.0 0x0300 TLS 1.0 3,1 0x0301 TLS 1.1 3,2 0x0302 TLS 1.2 3,3 0x0303
Jay D
4
Saya pikir jawaban ini seharusnya benar-benar ssl.handshake.versionbukan ssl.record.version. Ada perbedaan antara Catatan TLS dan lapisan Jabat Tangan TLS
Terpasang