Protokol Display Filter Wireshark == TLSV1? (dan PacketLength)


20

Apa yang akan menjadi ekspresi filter untuk hanya memilih protokol di mana protokol = TLSV1? Sesuatu yang jelas seperti protokol == "TLSV1" atau TCP.protocol == "TLSV1" tampaknya bukan cara yang benar.

ip.proto == "TLSV1" mengatakan "ip.proto tidak dapat menerima string sebagai nilai"

Perbarui - tips tambahan:

Pencarian hebat lainnya yang tersembunyi ada di PacketLength: Anda dapat menambahkan panjang paket ke tampilan Anda dengan mengklik "Edit Preferensi" (menu atau ikon), dan menambahkan PacketLength sebagai kolom baru, tetapi untuk memfilternya Anda harus menggunakan lebih cryptic. : frame.len == ### di mana ### adalah nomor yang Anda inginkan. Kami menggunakan ini untuk menentukan berapa banyak paket yang telah dikirim dan / atau diterima, ketika Anda memfilter, bilah status di bagian bawah layar menunjukkan jumlah item yang cocok dengan filter.

Jawaban:


30

ssl.record.version == 0x0301

Itu memberi tahu Wireshark untuk hanya menampilkan paket yang merupakan percakapan SSL menggunakan semantik TLS.


Wow terima kasih! Sepertinya orang bisa memfilter kata-kata di layar, bukan kode crypto.
NealWalters

"ip.proto == 6" agak dekat dengan apa yang saya inginkan (tetapi memberikan SMB dan TCP serta TLSV1)
NealWalters

2
"ip.proto" merujuk ke bidang "Protokol" di header IP: wireshark.org/docs/dfref/i/ip.html . "ip.proto == 6" berarti "Paket TCP apa pun yang dibawa melalui IPv4". Sebagian besar filter tampilan Wireshark sesuai dengan nilai numerik di header protokol yang diberikan.
Gerald Combs

8
FYI: Nilai Versi dec hex hex ------------------------------------- SSL 3.0 3.0 0x0300 TLS 1.0 3,1 0x0301 TLS 1.1 3,2 0x0302 TLS 1.2 3,3 0x0303
Jay D

4
Saya pikir jawaban ini seharusnya benar-benar ssl.handshake.versionbukan ssl.record.version. Ada perbedaan antara Catatan TLS dan lapisan Jabat Tangan TLS
Terpasang
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.