我想过滤所有包含Server Name Indication作为字段的 tcp 数据包。
这是所需字段的示例:
通常当我搜索内容时,我会使用frame contains "string"。但这在这里不起作用,因为Server Name Indication是字段名称,而不是字段值。有什么想法吗?
答案1
以下是显示过滤器可以在 WireShark 中应用于服务器名称指示:
- 将服务器名称指示过滤为字段:
tls.handshake.extensions_server_name - 过滤特定的服务器名称:
tls.handshake.extensions_server_name == "old.reddit.com" - 过滤包含字符串的服务器名称:
tls.handshake.extensions_server_name contains reddit
要使用特定字段进行过滤,请单击“数据包列表”列中的数据包。右键单击“数据包详细信息”列中的字段。选择“应用为过滤器”和“选定”。
