问如何过滤TLS“应用程序数据”数据包的PCAP？

EN

我检查了所提供的pcap并计算了SSL流量中使用的ContentType：

$ tshark -O ssl -r youtube_song_wireshark.pcap tcp.port == 443 |\
grep 'Content Type' | sort | uniq -c

这给了我64 x警报(21)，86 x ChangeCipherSpec(20)，362 x握手(22)，2188 x ApplicationData(23)。它没有给出您在分析中看到的任何内容类型。

在注释中，您提供了基于替罪羊的分析返回的结果的以下片段：

<SSL records=[<TLSRecord content_type=51 version=0x70c2 length=0x3c44 |<TLSCiphertext ...>

考虑到不存在SSL/TLS版本0x70c2，但是版本应该在0x0300 (SSL 3.0)到0x0303 (TLS 1.2)之间，我怀疑您将数据解析为SSL，而SSL根本不是SSL，因此得到了这样一个奇怪的结果。在您提供的pcap中有几个非SSL通信量。