Protocole de filtre d'affichage Wireshark == TLSV1? (et PacketLength)


20

Quelle serait l'expression du filtre pour sélectionner simplement les protocoles où le protocole = TLSV1? Quelque chose d'évident comme le protocole == "TLSV1" ou TCP.protocol == "TLSV1" n'est apparemment pas la bonne façon.

ip.proto == "TLSV1" dit "ip.proto ne peut pas accepter les chaînes comme valeurs"

Mise à jour - conseils supplémentaires:

Une autre recherche intéressante mais cachée se trouve sur PacketLength: vous pouvez ajouter une longueur de paquet à votre affichage en cliquant sur "Modifier les préférences" (menu ou icône), et en ajoutant PacketLength en tant que nouvelle colonne, mais pour le filtrer, vous devez utiliser le plus cryptique : frame.len == ### où ### est le numéro souhaité. Nous l'utilisions pour déterminer combien de paquets avaient été envoyés et / ou reçus, lorsque vous filtrez, la barre d'état en bas de l'écran indique le nombre d'éléments correspondant au filtre.

Réponses:


30

ssl.record.version == 0x0301

Cela indique à Wireshark d'afficher uniquement les paquets qui sont des conversations SSL utilisant la sémantique TLS.


Ouah merci! On dirait que l'on pourrait filtrer sur les mots à l'écran au lieu des codes cryptographiques.
NealWalters

"ip.proto == 6" était quelque peu proche de ce que je voulais (mais donne SMB et TCP ainsi que TLSV1)
NealWalters

2
"ip.proto" fait référence au champ "Protocole" dans l'en-tête IP: cableshark.org/docs/dfref/i/ip.html . "ip.proto == 6" signifie "Tout paquet TCP transporté sur IPv4". La plupart des filtres d'affichage de Wireshark correspondent à une valeur numérique dans un en-tête de protocole donné.
Gerald Combs

8
FYI: Version Values ​​dec hex ------------------------------------- SSL 3.0 3,0 0x0300 TLS 1,0 3,1 0x0301 TLS 1,1 3,2 0x0302 TLS 1,2 3,3 0x0303
Jay D

4
Je pense que cette réponse devrait vraiment être ssl.handshake.versionau lieu de ssl.record.version. Il y a une différence entre les couches TLS Record et TLS Handshake
Unglued
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.