Protocolo Wireshark Display Filter == TLSV1? (e PacketLength)

Qual seria a expressão de filtro apenas para selecionar os protocolos em que o protocolo = TLSV1? Algo óbvio, como protocolo == "TLSV1" ou TCP.protocol == "TLSV1", aparentemente não é o caminho certo.

ip.proto == "TLSV1" diz "ip.proto não pode aceitar cadeias como valores"

Atualização - dicas adicionais:

Outra ótima pesquisa, porém oculta, está no PacketLength: você pode adicionar o tamanho do pacote à sua exibição clicando em "Editar Preferências" (menu ou ícone) e adicionando o PacketLength como uma nova coluna, mas para filtrá-lo, é necessário usar o mais enigmático : frame.len == ### em que ### é o número desejado. Estávamos usando isso para determinar quantos pacotes foram enviados e / ou recebidos, quando você filtra, a barra de status na parte inferior da tela mostra o número de itens correspondentes ao filtro.

wireshark filtering

— NealWalters
fonte

ssl.record.version == 0x0301

Isso informa ao Wireshark para exibir apenas pacotes que são conversas SSL usando a semântica TLS.

— sysadmin1138
fonte

Uau, obrigada! Parece que se pode filtrar as palavras na tela em vez dos códigos de criptografia.

— NealWalters

"ip.proto == 6" foi um pouco perto do que eu queria (mas dá SMB e TCP, bem como TLSV1)

— NealWalters

"ip.proto" refere-se ao campo "Protocolo" no cabeçalho do IP: wireshark.org/docs/dfref/i/ip.html . "ip.proto == 6" significa "Qualquer pacote TCP transportado por IPv4". A maioria dos filtros de exibição do Wireshark corresponde a um valor numérico em um determinado cabeçalho de protocolo.

— Gerald Combs

FYI: Valores da versão dec hex ------------------------------------- SSL 3.0 3,0 0x0300 TLS 1,0 3,1 0x0301 TLS 1,1 3,2 0x0302 TLS 1,2 3,3 0x0303

— Jay D

Eu acho que essa resposta realmente deveria ser em ssl.handshake.versionvez de ssl.record.version. Existe uma diferença entre as camadas TLS Record e TLS Handshake

— Unglued