过滤表达式是什么才能只选择协议 = TLSV1 的协议?像 protocol == "TLSV1" 或 TCP.protocol == "TLSV1" 这样显而易见的表达式显然不是正确的方法。
ip.proto ==“TLSV1”表示“ip.proto 不能接受字符串作为值”
更新-附加提示:
另一个很棒但隐藏的搜索是 PacketLength:您可以通过单击“编辑首选项”(菜单或图标)并将 PacketLength 添加为新列来将数据包长度添加到显示中,但要对其进行过滤,您必须使用更隐秘的:frame.len == ###,其中 ### 是您想要的数字。我们使用它来确定已发送和/或接收了多少个数据包,当您进行过滤时,屏幕底部的状态栏会显示与过滤器匹配的项目数。
答案1
ssl.record.version == 0x0301
这告诉 Wireshark 仅显示使用 TLS 语义的 SSL 对话数据包。