Respostas:
Simplificando, tcp.len
filtra o comprimento dos dados do segmento TCP em bytes, enquanto tcp.data
(ou tcp.segment_data
nas versões mais recentes do Wireshark) filtra os dados reais (sequência de bytes) nos dados do segmento TCP.
Exemplo:
tcp.len == 1
tcp.segment_data contains 49:27:6d:20:64:61:74:61