Wireshark डिस्प्ले फ़िल्टर प्रोटोकॉल == TLSV1? (और PacketLength)

फ़िल्टर अभिव्यक्ति सिर्फ प्रोटोकॉल = TLSV1 प्रोटोकॉल का चयन करने के लिए क्या होगा? प्रोटोकॉल जैसे कुछ स्पष्ट == "TLSV1" या TCP.protocol == "TLSV1" स्पष्ट रूप से सही तरीका नहीं है।

ip.proto == "TLSV1" का कहना है कि "ip.proto स्ट्रिंग्स को मूल्यों के रूप में स्वीकार नहीं कर सकता है"

अद्यतन - अतिरिक्त सुझाव:

PacketLength पर एक और महान लेकिन छिपी हुई खोज है: आप "संपादित प्राथमिकताएं" (मेनू या आइकन) पर क्लिक करके और अपने पैकेट को लंबाई में जोड़ सकते हैं और PacketLength को एक नए स्तंभ के रूप में जोड़ सकते हैं, लेकिन इसे फ़िल्टर करने के लिए आपको अधिक गुप्त का उपयोग करना होगा : फ्रेम.लेन == ### जहां ### आपकी इच्छित संख्या है। हम यह निर्धारित करने के लिए उपयोग कर रहे थे कि कितने पैकेट भेजे गए और / या प्राप्त किए गए, जब आप फ़िल्टर करते हैं, तो स्क्रीन के नीचे स्थित स्थिति-बार फ़िल्टर से मेल खाने वाली वस्तुओं की संख्या दर्शाता है।

wireshark filtering

— NealWalters
स्रोत

ssl.record.version == 0x0301

वह Wireshark को केवल उन पैकेटों को प्रदर्शित करने के लिए कहता है जो TLS शब्दार्थ का उपयोग करते हुए SSL वार्तालाप हैं।

— sysadmin1138
स्रोत

वाह धन्यवाद! ऐसा लगता है कि क्रिप्टो कोड के बजाय स्क्रीन पर शब्दों को फ़िल्टर किया जा सकता है।

— नीलवैल्ट्स

"ip.proto == 6" मैं जो चाहता था, उसके करीब था (लेकिन एसएमबी और टीसीपी के साथ-साथ टीएलएसवी 1 भी देता है)

— नीलवैल्ट्स

"ip.proto" आईपी हेडर में "प्रोटोकॉल" फ़ील्ड को संदर्भित करता है: wirehark.org/docs/dfref/i/ip.html । "ip.proto == 6" का अर्थ है "IPv4 पर किया गया कोई भी टीसीपी पैकेट"। किसी दिए गए प्रोटोकॉल हेडर में Wireshark के ज्यादातर डिस्प्ले फिल्टर एक न्यूमेरिकल वैल्यू के अनुरूप हैं।

— गेराल्ड कॉम्ब्स

FYI करें: संस्करण मान डेक्स डेक्स से ------------------------------------- SSL 3.0 3,0 0x0300 TLS 1.0 3,1 0x0301 TLS 1.1 3,2 0x0302 TLS 1.2 3,3 0x0303

— Jay D

मुझे लगता है कि इस सवाल का जवाब वास्तव में होना चाहिए ssl.handshake.versionबजाय ssl.record.version। TLS रिकॉर्ड और TLS हैंडशेक लेयर्स के बीच अंतर है

— Unglued