Wireshark 디스플레이 필터 프로토콜 == TLSV1? (및 PacketLength)


20

프로토콜 = TLSV1 인 프로토콜을 선택하는 필터 표현은 무엇입니까? protocol == "TLSV1"또는 TCP.protocol == "TLSV1"과 같이 명백한 것은 옳지 않은 방법입니다.

ip.proto == "TLSV1"은 "ip.proto는 문자열을 값으로 받아 들일 수 없습니다"라고 말합니다.

업데이트-추가 팁 :

또 다른 훌륭하지만 숨겨진 검색은 PacketLength에 있습니다. "환경 설정 편집"(메뉴 또는 아이콘)을 클릭하고 PacketLength를 새 열로 추가하여 디스플레이에 패킷 길이를 추가 할 수 있지만 필터링하려면 더 암호를 사용해야합니다 : frame.len == ### 여기서 ###은 원하는 숫자입니다. 우리는 이것을 사용하여 전송 및 / 또는 수신 된 패킷 수를 결정했습니다. 필터링 할 때 화면 하단의 상태 표시 줄에 필터와 일치하는 항목 수가 표시됩니다.

답변:


30

ssl.record.version == 0x0301

이는 Wireshark에게 TLS 의미를 사용하여 SSL 대화 인 패킷 만 표시하도록합니다.


와우 고마워! 암호 코드 대신 화면의 단어를 필터링 할 수있는 것처럼 보입니다.
NealWalters

"ip.proto == 6"은 내가 원하는 것과 다소 비슷했습니다 (그러나 SMB 및 TCP와 TLSV1 제공)
NealWalters

2
"ip.proto"는 IP 헤더 ( wireshark.org/docs/dfref/i/ip.html) 의 "프로토콜"필드를 나타냅니다 . "ip.proto == 6"은 "IPv4를 통해 전송되는 모든 TCP 패킷"을 의미합니다. Wireshark의 디스플레이 필터는 대부분 주어진 프로토콜 헤더의 숫자 값에 해당합니다.
Gerald Combs

8
참고 : 버전 값은 16 진수로 ------------------------------------- SSL 3.0 3,0 0x0300 TLS 1.0 3,1 0x0301 TLS 1.1 3,2 0x0302 TLS 1.2 3,3 0x0303
Jay D

4
나는이 대답이 실제로 ssl.handshake.version대신에 있어야한다고 생각한다 ssl.record.version. TLS를 기록하고 TLS 핸드 셰이크 층 사이에 차이가있다
혼란에 처
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.