Wireshark显示筛选器协议== TLSV1?(和PacketLength)

20

仅选择协议= TLSV1的协议,过滤器表达式将是什么?诸如协议==“ TLSV1”或TCP.protocol ==“ TLSV1”这样的显而易见的方法显然不是正确的方法。

ip.proto ==“ TLSV1”说“ ip.proto无法接受字符串作为值”

更新-其他提示:

另一个很棒但隐藏的搜索是关于PacketLength的:您可以通过单击“编辑首选项”(菜单或图标),然后将PacketLength添加为新列来将数据包长度添加到显示中,但是要对其进行过滤,您必须使用更隐晦的名称:frame.len == ###其中###是您想要的数字。我们使用它来确定已发送和/或接收了多少个数据包,当您进行过滤时,屏幕底部的状态栏会显示与过滤器匹配的项目数。

wireshark  filtering 
尼尔·沃尔特斯
source

Answers:

30

ssl.record.version == 0x0301

这告诉Wireshark仅显示使用TLS语义的SSL对话的数据包。

sysadmin1138
source
哇谢谢!似乎可以过滤屏幕上的单词而不是密码。
NealWalters
“ ip.proto == 6”有点接近我想要的(但是提供了SMB和TCP以及TLSV1)
NealWalters 2010年
2
“ ip.proto”是指IP标头中的“协议”字段:wireshark.org/docs/dfref/i/ip.html。“ ip.proto == 6”表示“通过IPv4承载的任何TCP数据包”。Wireshark的大多数显示过滤器对应于给定协议标头中的数字值。
Gerald Combs 2010年
8
仅供参考:版本值dec hex ------------------------------------- SSL 3.0 3,0 0x0300 TLS 1.0 3,1 0x0301 TLS 1.1 3,2 0x0302 TLS 1.2 3,3 0x0303
Jay D
4
我觉得这个答案真的应该ssl.handshake.version代替ssl.record.version。还有的TLS记录和TLS握手层之间的差异
脱胶
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.