Filtrer TLS dans Wireshark ou un autre outil de surveillance

Question

Dans le cadre des nouvelles meilleures pratiques de renforcement des communications avec les serveurs, je dois refuser TLS 1.0 sur le serveur Web, avant de le faire, je souhaite identifier le nombre de clients qui se connectent avec ce niveau de cryptage, donc je voudrais savoir comment filtrer les entrées communications avec différentes méthodes de cryptage comme TLS 1. 0, 1. 1 et 1. 2. S'il existe une méthode différente pour identifier ou quantifier ces communications qui sera plus facile que whireshark, je serais heureux d'en entendre parler, merci!

waymobetta · Answer

Essayez de filtrer par ssl.record.version

Par exemple, si vous souhaitez afficher uniquement le trafic TLS v1.2, vous pouvez exécuter ssl.record.version == 0x0303

Vous pouvez choisir parmi les valeurs hexadécimales ci-dessous pour la version qui correspond à vos besoins.

Versions:

0x0300 SSL 3.0
0x0301 TLS 1.0
0x0302 TLS 1.1
0x0303 TLS 1.2

Pour éviter d'utiliser l'interface graphique ou pour automatiser davantage cela, vous pouvez également filtrer en utilisant tshark.

Ressources:

http://blog.fourthbit.com/2014/12/23/traffic-analysis-of-an-ssl-slash-tls-session