在 Wireshark 中过滤 TLS 的服务器名称指示字段

在 Wireshark 中过滤 TLS 的服务器名称指示字段

wireshark 是否有针对 TLS 的服务器名称指示字段的过滤器?

答案1

Shawn E 的答案可能是正确的,但我的 wireshark 版本没有该过滤器。但是,以下过滤器确实存在:

检查 SNI 字段是否存在:

ssl.handshake.extension.type == 0

或者

ssl.handshake.extension.type == "server_name"

要检查扩展是否包含特定域:

ssl.handshake.extension.data contains "twitter.com"

答案2

ssl.handshake.extensions_server_name

答案3

较新的 Wireshark 具有带过滤器的 R-Click 上下文菜单。

查找具有 SNI 的客户端 Hello,以便查看更多相关数据包。

深入到握手/扩展:server_name 详细信息并从 R 单击选择Apply as Filter

请参阅附件中 2.4.4 版本的示例

SNI-WireShark-上下文过滤器

答案4

当谷歌第一次显示这个时,语法发生了一些变化(ssl 重命名为 tls):

tshark -r FILENAME.pcap -Tfields -e tls.handshake.extensions_server_name -Y'tls.handshake.extension.type == 0'

相关内容