wireshark 是否有针对 TLS 的服务器名称指示字段的过滤器?
答案1
Shawn E 的答案可能是正确的,但我的 wireshark 版本没有该过滤器。但是,以下过滤器确实存在:
检查 SNI 字段是否存在:
ssl.handshake.extension.type == 0
或者
ssl.handshake.extension.type == "server_name"
要检查扩展是否包含特定域:
ssl.handshake.extension.data contains "twitter.com"
答案2
ssl.handshake.extensions_server_name
答案3
较新的 Wireshark 具有带过滤器的 R-Click 上下文菜单。
查找具有 SNI 的客户端 Hello,以便查看更多相关数据包。
深入到握手/扩展:server_name 详细信息并从 R 单击选择Apply as Filter。
请参阅附件中 2.4.4 版本的示例
答案4
当谷歌第一次显示这个时,语法发生了一些变化(ssl 重命名为 tls):
tshark -r FILENAME.pcap -Tfields -e tls.handshake.extensions_server_name -Y'tls.handshake.extension.type == 0'