Protocollo Wireshark Display Filter == TLSV1? (e lunghezza del pacchetto)

Quale sarebbe l'espressione di filtro per selezionare i protocolli in cui il protocollo = TLSV1? Qualcosa di ovvio come protocol == "TLSV1" o TCP.protocol == "TLSV1" non è apparentemente la strada giusta.

ip.proto == "TLSV1" dice "ip.proto non può accettare le stringhe come valori"

Aggiornamento: suggerimenti aggiuntivi:

Un'altra fantastica ricerca nascosta è su PacketLength: puoi aggiungere la lunghezza dei pacchetti al tuo display facendo clic su "Modifica preferenze" (menu o icona) e aggiungendo PacketLength come nuova colonna, ma per filtrare su di esso devi usare il più criptico : frame.len == ### dove ### è il numero desiderato. Lo stavamo usando per determinare quanti pacchetti erano stati inviati e / o ricevuti, quando si filtrava, la barra di stato nella parte inferiore dello schermo mostra il numero di elementi corrispondenti al filtro.

wireshark filtering

— NealWalters
fonte

ssl.record.version == 0x0301

Ciò dice a Wireshark di visualizzare solo i pacchetti che sono conversazioni SSL usando la semantica TLS.

— sysadmin1138
fonte

Wow grazie! Sembra che si possano filtrare le parole sullo schermo anziché i codici crittografici.

— NealWalters,

"ip.proto == 6" era in qualche modo vicino a quello che volevo (ma dà SMB e TCP nonché TLSV1)

— NealWalters,

"ip.proto" si riferisce al campo "Protocollo" nell'intestazione IP: wirehark.org/docs/dfref/i/ip.html . "ip.proto == 6" significa "Qualsiasi pacchetto TCP trasferito su IPv4". La maggior parte dei filtri di visualizzazione di Wireshark corrispondono a un valore numerico in una determinata intestazione del protocollo.

— Gerald Combs il

FYI: Version Values dec hex ------------------------------------- SSL 3.0 3,0 0x0300 TLS 1,0 3,1 0x0301 TLS 1,1 3,2 0x0302 TLS 1,2 3,3 0x0303

— Jay D

Penso che questa risposta dovrebbe essere davvero ssl.handshake.versioninvece di ssl.record.version. C'è una differenza tra i livelli TLS Record e TLS Handshake

— Unglued