Filtruj w polu Wireshark w polu Wskazanie nazwy serwera TLS

Odpowiedzi:

8

ssl.handshake.extensions_server_name

Shawn E.
źródło
6
Cześć Shawn E. Chociaż może to odpowiedzieć na pytanie, czy możesz podać dodatkowe wyjaśnienia? Może byłoby to pomocne dla innych.
nixda
7

Odpowiedź Shawna E. jest prawdopodobnie poprawną odpowiedzią, ale moja wersja Wireshark nie ma tego filtra. Istnieją jednak następujące filtry:

Aby sprawdzić, czy pole SNI istnieje:

ssl.handshake.extension.type == 0

lub

ssl.handshake.extension.type == "server_name"

Aby sprawdzić, czy rozszerzenie zawiera określoną domenę:

ssl.handshake.extension.data contains "twitter.com"
palindrom
źródło
2
oto, co zadziałało dla mnie:tls.handshake.extensions_server_name contains "twitter.com"
Aleksiej Andronow
2

Nowszy Wireshark ma menu kontekstowe R-Click z filtrami.

Znajdź Witaj klienta za pomocą SNI, dla którego chcesz zobaczyć więcej powiązanych pakietów.

Przeanalizuj szczegóły uzgadniania / rozszerzenia: nazwa_serwera i z R-kliknij wybierz Apply as Filter.

Zobacz załączony przykład zarejestrowany w wersji 2.4.4

SNI-WireShark-contextFilter

Tom Silver
źródło
1

Aby uzyskać pełniejszy przykład, oto polecenie pokazujące SNI używane w nowych połączeniach:

tshark -p -Tfields -e ssl.handshake.extensions_server_name \ 
    -Y 'ssl.handshake.extension.type == "server_name"'

(Właśnie to twój dostawca usług internetowych może łatwo zobaczyć w twoim ruchu).

sanmai
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.