ssl.record.version == 0x0301
Isso diz ao Wireshark para exibir apenas pacotes que são conversas SSL usando a semântica TLS.
Qual seria a expressão do filtro apenas para selecionar os protocolos em que o protocolo = TLSV1? Algo óbvio como protocolo == "TLSV1" ou TCP.protocol == "TLSV1" aparentemente não é o caminho certo.
ip.proto == "TLSV1" diz "ip.proto não pode aceitar strings como valores"
Atualização - dicas adicionais:
Outra ótima pesquisa, mas oculta, está no PacketLength: Você pode adicionar tamanho de pacote ao seu monitor, clicando em "Editar Preferências" (menu ou ícone), e adicionando o PacketLength como uma nova coluna, mas para filtrá-lo você tem que usar o mais enigmático: frame.len == ### onde ### é o seu número desejado. Estávamos usando isso para determinar quantos pacotes foram enviados e / ou recebidos, quando você filtra, a barra de status na parte inferior da tela mostra o número de itens que correspondem ao filtro.