Giao thức bộ lọc hiển thị của Wireshark == TLSV1? (và PacketLpm)

Biểu thức lọc sẽ là gì khi chỉ chọn các giao thức trong đó giao thức = TLSV1? Một cái gì đó rõ ràng như giao thức == "TLSV1" hoặc TCP.protatio == "TLSV1" rõ ràng là không đúng cách.

ip.proto == "TLSV1" nói "ip.proto không thể chấp nhận chuỗi dưới dạng giá trị"

Cập nhật - mẹo bổ sung:

Một tìm kiếm tuyệt vời nhưng ẩn khác là trên PacketLpm: Bạn có thể thêm độ dài gói vào màn hình của mình bằng cách nhấp vào "Chỉnh sửa tùy chọn" (menu hoặc biểu tượng) và thêm PacketLpm dưới dạng cột mới, nhưng để lọc trên đó, bạn phải sử dụng mật mã nhiều hơn : frame.len == ### trong đó ### là số bạn muốn. Chúng tôi đã sử dụng điều này để xác định có bao nhiêu gói đã được gửi và / hoặc nhận, khi bạn lọc, thanh trạng thái ở cuối màn hình hiển thị số lượng mục khớp với bộ lọc.

wireshark filtering

— NealWalters
nguồn

ssl.record.version == 0x0301

Điều đó nói với Wireshark chỉ hiển thị các gói là các cuộc hội thoại SSL sử dụng ngữ nghĩa TLS.

— sysadmin1138
nguồn

Ồ cảm ơn nhé! Có vẻ như người ta có thể lọc các từ trên màn hình thay vì mã hóa.

— NealWalters

"Ip.proto == 6" có phần gần với những gì tôi muốn (nhưng cung cấp cho SMB và TCP cũng như TLSV1)

— NealWalters

"IP.proto" đề cập đến trường "Giao thức" trong tiêu đề IP: wireshark.org/docs/dfref/i/ip.html . "Ip.proto == 6" có nghĩa là "Bất kỳ gói TCP nào được mang qua IPv4". Hầu hết các bộ lọc hiển thị của Wireshark tương ứng với một giá trị số trong tiêu đề giao thức đã cho.

— Gerald Combs

FYI: Giá trị phiên bản dec hex ------------------------------------- SSL 3.0 3.0 0x0300 TLS 1.0 3,1 0x0301 TLS 1.1 3,2 0x0302 TLS 1.2 3,3 0x0303

— Jay D

Tôi nghĩ rằng câu trả lời này nên thực sự ssl.handshake.versionthay vì ssl.record.version. Có sự khác biệt giữa các lớp Bắt tay TLS Record và TLS

— Được đăng