Filter di Wireshark untuk bidang Indikasi Nama Server TLS

9

Apakah wireshark memiliki filter untuk bidang Indikasi Nama Server TLS?

wireshark 
palindrom
sumber

Jawaban:

8

ssl.handshake.extensions_server_name

Shawn E
sumber
6
Halo Shawn E. Meskipun ini dapat menjawab pertanyaan, dapatkah Anda memberikan beberapa penjelasan tambahan? Mungkin itu akan bermanfaat bagi orang lain.
nixda
7

Jawaban Shawn E mungkin jawaban yang benar tetapi versi wireshark saya tidak memiliki filter itu. Namun, ada filter berikut:

Untuk memeriksa apakah bidang SNI ada:

ssl.handshake.extension.type == 0

atau

ssl.handshake.extension.type == "server_name"

Untuk memeriksa apakah ekstensi berisi domain tertentu:

ssl.handshake.extension.data contains "twitter.com"
palindrom
sumber
2
inilah yang bekerja untuk saya:tls.handshake.extensions_server_name contains "twitter.com"
Alexey Andronov
2

Wireshark yang lebih baru memiliki menu konteks R-Click dengan filter.

Temukan Klien Hello dengan SNI yang ingin Anda lihat lebih banyak dari paket terkait.

Telusuri ke jabat tangan / ekstensi: detail server_name dan dari R-klik pilih Apply as Filter.

Lihat contoh terlampir yang tertangkap dalam versi 2.4.4

SNI-WireShark-contextFilter

Tom Silver
sumber
1

Untuk contoh yang lebih lengkap, inilah perintah untuk menunjukkan SNI yang digunakan dalam koneksi baru:

tshark -p -Tfields -e ssl.handshake.extensions_server_name \ 
    -Y 'ssl.handshake.extension.type == "server_name"'

(Ini yang dapat dilihat ISP Anda dengan mudah di lalu lintas Anda.)

sanmai
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.