Wireshark Ekran Filtresi protokolü == TLSV1? (ve PacketLength)

Filtre ifadesi sadece protokol = TLSV1 olan protokolleri seçmek için ne olurdu? Protokol == "TLSV1" veya TCP.protocol == "TLSV1" gibi bariz bir şey görünüşe göre doğru değil.

ip.proto == "TLSV1", "ip.proto dizeleri değer olarak kabul edemez" diyor

Güncelleme - ek ipuçları:

Bir başka harika ama gizli arama PacketLength'da: "Tercihleri Düzenle" yi (menü veya simge) tıklayıp PacketLength'yu yeni bir sütun olarak ekleyerek ekranınıza paket uzunluğu ekleyebilirsiniz, ancak filtrelemek için daha şifreli kullanmanız gerekir. : frame.len == ### burada ### istediğiniz sayıdır. Bunu kaç paketin gönderildiğini ve / veya aldığını belirlemek için kullanıyorduk, filtrelediğinizde, ekranın altındaki durum çubuğu filtreyle eşleşen öğe sayısını gösterir.

wireshark filtering

— NealWalters
kaynak

ssl.record.version == 0x0301

Bu, Wireshark'a yalnızca TLS anlambilimi kullanan SSL görüşmeleri olan paketleri görüntülemesini söyler.

— sysadmin1138
kaynak

Vay canına, teşekkürler! Birisi kripto kodları yerine ekrandaki kelimeleri filtreleyebilir gibi görünüyor.

— NealWalters

"ip.proto == 6" istediğime biraz yakındı (fakat SMB ve TCP ile TLSV1 veriyor)

— NealWalters

"ip.proto" IP başlığındaki "Protokol" alanını ifade eder: wireshark.org/docs/dfref/i/ip.html . "ip.proto == 6", "IPv4 üzerinden taşınan herhangi bir TCP paketi" anlamına gelir. Wireshark'ın görüntü filtrelerinin çoğu, belirli bir protokol başlığındaki sayısal değere karşılık gelir.

— Gerald Combs

Bilginize: Sürüm Değerleri onaltılık ------------------------------------- SSL 3,0 3,0 0x0300 TLS 1,0 3,1 0x0301 TLS 1,1 3,2 0x0302 TLS 1,2 3,3 0x0303

— Jay D

Bu cevabın ssl.handshake.versionbunun yerine gerçekten olması gerektiğini düşünüyorum ssl.record.version. TLS Tutanak ve TLS tokalaşma katmanları arasında bir fark var

— Unglued