โปรโตคอลตัวกรองการแสดงผลของ Wireshark == TLSV1 (และ PacketLength)


20

นิพจน์ตัวกรองคืออะไรเพียงเลือกโปรโตคอลที่ protocol = TLSV1 สิ่งที่ชัดเจนเช่นโปรโตคอล == "TLSV1" หรือ TCP.protocol == "TLSV1" นั้นไม่ถูกต้อง

ip.proto == "TLSV1" บอกว่า "ip.proto ไม่สามารถยอมรับสตริงเป็นค่า"

อัปเดต - เคล็ดลับเพิ่มเติม:

การค้นหาที่ยอดเยี่ยม แต่ซ่อนอยู่อีกอย่างหนึ่งคือ PacketLength: คุณสามารถเพิ่มความยาวของแพ็กเก็ตลงในจอแสดงผลของคุณได้โดยคลิกที่ "แก้ไขการตั้งค่า" (เมนูหรือไอคอน) และเพิ่ม PacketLength เป็นคอลัมน์ใหม่ : frame.len == ### โดยที่ ### คือหมายเลขที่คุณต้องการ เราใช้สิ่งนี้เพื่อพิจารณาว่ามีการส่งและ / หรือรับแพ็กเก็ตจำนวนเท่าใดเมื่อคุณกรองแถบสถานะที่ด้านล่างของหน้าจอจะแสดงจำนวนรายการที่ตรงกับตัวกรอง

คำตอบ:


30

ssl.record.version == 0x0301

นั่นบอกให้ Wireshark แสดงเฉพาะแพ็กเก็ตที่เป็นการสนทนา SSL โดยใช้ซีแมนทิกส์ TLS


ว้าวขอบคุณ! ดูเหมือนว่าหนึ่งสามารถกรองคำในหน้าจอแทนรหัส crypto
NealWalters

"ip.proto == 6" ค่อนข้างใกล้เคียงกับที่ฉันต้องการ (แต่ให้ SMB และ TCP เช่นเดียวกับ TLSV1)
NealWalters

2
"ip.proto" หมายถึงฟิลด์ "พิธีสาร" ในส่วนหัวของ IP: wireshark.org/docs/dfref/i/ip.html "ip.proto == 6" หมายถึง "แพ็กเก็ต TCP ใด ๆ ที่ดำเนินการผ่าน IPv4" ตัวกรองการแสดงผลส่วนใหญ่ของ Wireshark สอดคล้องกับค่าตัวเลขในส่วนหัวของโปรโตคอลที่กำหนด
เจอรัลด์รวงผึ้ง

8
FYI: ค่าเวอร์ชัน dec hex ------------------------------------- SSL 3.0 3,0 0x0300 TLS 1.0 3,1 0x0301 TLS 1.1 3,2 0x0302 TLS 1.2 3,3 0x0303
Jay D

4
ผมคิดว่าคำตอบนี้จริงๆควรจะแทนssl.handshake.version ssl.record.versionมีความแตกต่างระหว่างเลเยอร์ TLS Record และ TLS Handshake
Unglued
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.