Фильтр в Wireshark для поля индикации имени сервера TLS

Question

Есть ли в Wireshark фильтр для поля индикации имени сервера TLS?

score 5 · Answer 1 · 2011-03-09T19:38:42

5

ssl.handshake.extensions_server_name

изменён James Mertz20k

ответ дан Shawn E67

score 4 · Accepted Answer · 2011-03-09T19:38:42

Ответ Шона Е, вероятно, правильный, но моя версия Wireshark не имеет этого фильтра. Следующие фильтры существуют, однако:

Чтобы проверить, существует ли поле SNI:

ssl.handshake.extension.type == 0

или же

ssl.handshake.extension.type == "server_name"

Чтобы проверить, содержит ли расширение определенный домен:

ssl.handshake.extension.data contains "twitter.com"

score 1 · Answer 3 · 2011-03-09T19:38:42

Более новый Wireshark имеет контекстное меню R-Click с фильтрами.

Найдите Client Hello с SNI, для которого вы хотели бы видеть больше связанных пакетов.

Разверните до рукопожатия / расширения: подробности server_name и от R-щелчка выберите Apply as Filter .

Смотрите прикрепленный пример, пойманный в версии 2.4.4

SNI-WireShark-contextFilter

score 0 · Answer 4 · 2011-03-09T19:38:42

Для более полного примера вот команда, чтобы показать SNI, используемые в новых соединениях:

tshark -p -Tfields -e ssl.handshake.extensions_server_name \ 
    -Y 'ssl.handshake.extension.type == "server_name"'

(Это то, что ваш провайдер может легко увидеть в вашем трафике.)

4 ответа4