O que funcionou no final foi especificar a porta usando -d tcp.port==44330,ssl
, assim meu comando completo era:
tshark -r tls_dump.pcap -d tcp.port==44330,ssl
A razão pela qual isso foi necessário foi devido a algumas diferenças específicas de versão no Wireshark. Minha área de trabalho tinha a versão 2.6.0
, que detectava automaticamente o protocolo SSL. O servidor tinha a versão 2.4.6
, que não conseguia detectar o SSL e precisava que o número da porta fosse especificado.
Somente pacotes SSL podem ser impressos com:
tshark -r tls_dump.pcap -d tcp.port==44330,ssl -2R "ssl"
Somente pacotes SSL no formato JSON:
tshark -r tls_dump.pcap -d tcp.port==44330,ssl -2R "ssl" -T json