Protocolo de filtro de pantalla Wireshark == TLSV1? (y PacketLength)

20

¿Cuál sería la expresión del filtro para seleccionar solo los protocolos donde el protocolo = TLSV1? Algo obvio como el protocolo == "TLSV1" o TCP.protocol == "TLSV1" aparentemente no es la forma correcta.

ip.proto == "TLSV1" dice "ip.proto no puede aceptar cadenas como valores"

Actualización - consejos adicionales:

Otra búsqueda excelente pero oculta está en PacketLength: puede agregar la longitud del paquete a su pantalla haciendo clic en "Editar preferencias" (menú o icono), y agregando PacketLength como una nueva columna, pero para filtrarlo debe usar el más críptico : frame.len == ### donde ### es su número deseado. Estábamos usando esto para determinar cuántos paquetes habían sido enviados y / o recibidos, cuando filtra, la barra de estado en la parte inferior de la pantalla muestra la cantidad de elementos que coinciden con el filtro.

wireshark filtering NealWalters
fuente

Respuestas:

30

ssl.record.version == 0x0301

Eso le dice a Wireshark que solo muestre paquetes que son conversaciones SSL utilizando la semántica TLS.

sysadmin1138
fuente
¡Wow gracias! Parece que uno podría filtrar las palabras en la pantalla en lugar de los códigos criptográficos.
NealWalters
"ip.proto == 6" fue algo parecido a lo que quería (pero ofrece SMB y TCP, así como TLSV1)
NealWalters
2
"ip.proto" se refiere al campo "Protocolo" en el encabezado de IP: wireshark.org/docs/dfref/i/ip.html . "ip.proto == 6" significa "Cualquier paquete TCP transportado sobre IPv4". La mayoría de los filtros de visualización de Wireshark corresponden a un valor numérico en un encabezado de protocolo dado.
Gerald Combs
8
FYI: Valores de versión dec hexadecimal ------------------------------------- SSL 3.0 3,0 0x0300 TLS 1.0 3,1 0x0301 TLS 1.1 3,2 0x0302 TLS 1.2 3,3 0x0303
Jay D
44
Creo que esta respuesta realmente debería ser en ssl.handshake.versionlugar de ssl.record.version. Hay una diferencia entre las capas TLS Record y TLS Handshake
pegar