Фильтр в Wireshark для поля индикации имени сервера TLS

9

Есть ли в Wireshark фильтр для поля индикации имени сервера TLS?

wireshark 
Palindrom
источник

Ответы:

8

ssl.handshake.extensions_server_name

Шон Е
источник
6
Привет Шон Э. Хотя это может ответить на вопрос, можете ли вы дать некоторые дополнительные объяснения? Может быть, это будет полезно для других.
Никда
7

Ответ Шона Е, вероятно, правильный, но моя версия Wireshark не имеет этого фильтра. Однако существуют следующие фильтры:

Чтобы проверить, существует ли поле SNI:

ssl.handshake.extension.type == 0

или

ssl.handshake.extension.type == "server_name"

Чтобы проверить, содержит ли расширение определенный домен:

ssl.handshake.extension.data contains "twitter.com"
Palindrom
источник
2
вот что у меня сработало:tls.handshake.extensions_server_name contains "twitter.com"
Алексей Андронов
2

Более новый Wireshark имеет контекстное меню R-Click с фильтрами.

Найдите Client Hello с SNI, для которого вы хотели бы видеть больше связанных пакетов.

Разверните до рукопожатия / расширения: имя_сервера и нажмите R-click Apply as Filter.

Смотрите прикрепленный пример, пойманный в версии 2.4.4

SNI-WireShark-contextFilter

Том Сильвер
источник
1

Для более полного примера вот команда, чтобы показать SNI, используемые в новых соединениях:

tshark -p -Tfields -e ssl.handshake.extensions_server_name \ 
    -Y 'ssl.handshake.extension.type == "server_name"'

(Это то, что ваш провайдер может легко увидеть в вашем трафике.)

sanmai
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.