wireshark มีตัวกรองสำหรับฟิลด์ชื่อเซิร์ฟเวอร์ของ TLS หรือไม่
wireshark มีตัวกรองสำหรับฟิลด์ชื่อเซิร์ฟเวอร์ของ TLS หรือไม่
คำตอบ:
ssl.handshake.extensions_server_name
คำตอบของ Shawn E อาจเป็นคำตอบที่ถูกต้อง แต่เวอร์ชั่นของฉันไม่ได้มีตัวกรองนั้น อย่างไรก็ตามมีตัวกรองดังต่อไปนี้:
วิธีตรวจสอบว่ามีฟิลด์ SNI อยู่หรือไม่:
ssl.handshake.extension.type == 0
หรือ
ssl.handshake.extension.type == "server_name"
วิธีตรวจสอบว่าส่วนขยายมีบางโดเมนหรือไม่:
ssl.handshake.extension.data contains "twitter.com"
tls.handshake.extensions_server_name contains "twitter.com"
ใหม่กว่า Wireshark มีเมนูบริบท R-Click พร้อมฟิลเตอร์
ค้นหาลูกค้าสวัสดีด้วย SNI ที่คุณต้องการดูแพ็กเกจที่เกี่ยวข้องเพิ่มเติม
เจาะลงไปจับมือ / นามสกุล: รายละเอียด server_name และจาก Apply as Filter
R-คลิกเลือก
ดูตัวอย่างที่แนบมาติดอยู่ในรุ่น 2.4.4
สำหรับตัวอย่างที่สมบูรณ์ยิ่งขึ้นนี่คือคำสั่งเพื่อแสดง SNIs ที่ใช้ในการเชื่อมต่อใหม่:
tshark -p -Tfields -e ssl.handshake.extensions_server_name \
-Y 'ssl.handshake.extension.type == "server_name"'
(นี่คือสิ่งที่ ISP ของคุณสามารถมองเห็นได้ในการรับส่งข้อมูลของคุณ)