Protocole de filtre d'affichage Wireshark == TLSV1? (et PacketLength)

20

Quelle serait l'expression du filtre pour sélectionner simplement les protocoles où le protocole = TLSV1? Quelque chose d'évident comme le protocole == "TLSV1" ou TCP.protocol == "TLSV1" n'est apparemment pas la bonne façon.

ip.proto == "TLSV1" dit "ip.proto ne peut pas accepter les chaînes comme valeurs"

Mise à jour - conseils supplémentaires:

Une autre recherche intéressante mais cachée se trouve sur PacketLength: vous pouvez ajouter une longueur de paquet à votre affichage en cliquant sur "Modifier les préférences" (menu ou icône), et en ajoutant PacketLength en tant que nouvelle colonne, mais pour le filtrer, vous devez utiliser le plus cryptique : frame.len == ### où ### est le numéro souhaité. Nous l'utilisions pour déterminer combien de paquets avaient été envoyés et / ou reçus, lorsque vous filtrez, la barre d'état en bas de l'écran indique le nombre d'éléments correspondant au filtre.

NealWalters
la source

Réponses:

30

ssl.record.version == 0x0301

Cela indique à Wireshark d'afficher uniquement les paquets qui sont des conversations SSL utilisant la sémantique TLS.

sysadmin1138
la source
Ouah merci! On dirait que l'on pourrait filtrer sur les mots à l'écran au lieu des codes cryptographiques.
NealWalters
"ip.proto == 6" était quelque peu proche de ce que je voulais (mais donne SMB et TCP ainsi que TLSV1)
NealWalters
2
"ip.proto" fait référence au champ "Protocole" dans l'en-tête IP: cableshark.org/docs/dfref/i/ip.html . "ip.proto == 6" signifie "Tout paquet TCP transporté sur IPv4". La plupart des filtres d'affichage de Wireshark correspondent à une valeur numérique dans un en-tête de protocole donné.
Gerald Combs
8
FYI: Version Values ​​dec hex ------------------------------------- SSL 3.0 3,0 0x0300 TLS 1,0 3,1 0x0301 TLS 1,1 3,2 0x0302 TLS 1,2 3,3 0x0303
Jay D
4
Je pense que cette réponse devrait vraiment être ssl.handshake.versionau lieu de ssl.record.version. Il y a une différence entre les couches TLS Record et TLS Handshake
Unglued