Respuestas:
En pocas palabras, tcp.len
filtra la longitud de los datos del segmento TCP en bytes, mientras que tcp.data
(o tcp.segment_data
en las versiones más recientes de Wireshark) filtra los datos reales (secuencia de bytes) dentro de los datos del segmento TCP.
Ejemplo:
tcp.len == 1
tcp.segment_data contains 49:27:6d:20:64:61:74:61