กรองใน Wireshark สำหรับฟิลด์ชื่อเซิร์ฟเวอร์ของ TLS


9

wireshark มีตัวกรองสำหรับฟิลด์ชื่อเซิร์ฟเวอร์ของ TLS หรือไม่

คำตอบ:


8

ssl.handshake.extensions_server_name


6
สวัสดี Shawn E. แม้ว่าสิ่งนี้อาจตอบคำถามได้ แต่คุณสามารถให้คำอธิบายเพิ่มเติมได้ไหม? อาจจะเป็นประโยชน์สำหรับผู้อื่น
nixda

7

คำตอบของ Shawn E อาจเป็นคำตอบที่ถูกต้อง แต่เวอร์ชั่นของฉันไม่ได้มีตัวกรองนั้น อย่างไรก็ตามมีตัวกรองดังต่อไปนี้:

วิธีตรวจสอบว่ามีฟิลด์ SNI อยู่หรือไม่:

ssl.handshake.extension.type == 0

หรือ

ssl.handshake.extension.type == "server_name"

วิธีตรวจสอบว่าส่วนขยายมีบางโดเมนหรือไม่:

ssl.handshake.extension.data contains "twitter.com"

2
นี่คือสิ่งที่ได้ผลสำหรับฉัน:tls.handshake.extensions_server_name contains "twitter.com"
Alexey Andronov

2

ใหม่กว่า Wireshark มีเมนูบริบท R-Click พร้อมฟิลเตอร์

ค้นหาลูกค้าสวัสดีด้วย SNI ที่คุณต้องการดูแพ็กเกจที่เกี่ยวข้องเพิ่มเติม

เจาะลงไปจับมือ / นามสกุล: รายละเอียด server_name และจาก Apply as FilterR-คลิกเลือก

ดูตัวอย่างที่แนบมาติดอยู่ในรุ่น 2.4.4

SNI-WireShark-contextFilter


1

สำหรับตัวอย่างที่สมบูรณ์ยิ่งขึ้นนี่คือคำสั่งเพื่อแสดง SNIs ที่ใช้ในการเชื่อมต่อใหม่:

tshark -p -Tfields -e ssl.handshake.extensions_server_name \ 
    -Y 'ssl.handshake.extension.type == "server_name"'

(นี่คือสิ่งที่ ISP ของคุณสามารถมองเห็นได้ในการรับส่งข้อมูลของคุณ)

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.