在Wireshark中过滤TLS的服务器名称指示字段

Wireshark是否为TLS的服务器名称指示字段提供过滤器？

wireshark

— Palindrom
source

Answers:

ssl.handshake.extensions_server_name

— 肖恩
source

您好Shawn E.尽管这可能会回答问题，但您能否提供其他解释？也许对其他人会有帮助。

— nixda

Shawn E的答案可能是正确的答案，但是我的Wireshark版本没有该过滤器。但是，存在以下过滤器：

要检查SNI字段是否存在：

ssl.handshake.extension.type == 0

要么

ssl.handshake.extension.type == "server_name"

要检查扩展名是否包含某些域：

ssl.handshake.extension.data contains "twitter.com"

— Palindrom
source

这对我tls.handshake.extensions_server_name contains "twitter.com"

— 有用

较新的Wireshark具有带过滤器的R-Click上下文菜单。

使用您要查看其更多相关数据包的SNI查找客户端问候。

深入研究握手/扩展名：server_name详细信息，然后从R单击选择Apply as Filter。

请参阅版本2.4.4中附带的示例

SNI-WireShark-contextFilter

— 汤姆·西尔弗
source

对于更完整的示例，以下是显示新连接中使用的SNI的命令：

tshark -p -Tfields -e ssl.handshake.extensions_server_name \ 
    -Y 'ssl.handshake.extension.type == "server_name"'

（这就是您的ISP在您的流量中可以轻松看到的内容。）

— 三麦
source

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.

Licensed under cc by-sa 3.0 with attribution required.