Filtro in Wireshark per il campo Indicazione nome server TLS

9

WireShark ha un filtro per il campo Indicazione nome server TLS?

wireshark 
Palindrom
fonte

Risposte:

8

ssl.handshake.extensions_server_name

Shawn E
fonte
6
Ciao Shawn E. Anche se questo potrebbe rispondere alla domanda, puoi fornire ulteriori spiegazioni? Forse sarebbe utile per gli altri.
nixda,
7

La risposta di Shawn E è probabilmente la risposta corretta, ma la mia versione di WireShark non ha quel filtro. Tuttavia esistono i seguenti filtri:

Per verificare se esiste il campo SNI:

ssl.handshake.extension.type == 0

o

ssl.handshake.extension.type == "server_name"

Per verificare se un'estensione contiene un determinato dominio:

ssl.handshake.extension.data contains "twitter.com"
Palindrom
fonte
2
ecco cosa ha funzionato per me:tls.handshake.extensions_server_name contains "twitter.com"
Alexey Andronov,
2

Wireshark più recente ha il menu contestuale R-Click con filtri.

Trova Client Hello con SNI per il quale desideri vedere più pacchetti correlati.

Esegui il drill-down dell'handshake / estensione: dettagli nome_server e da R-clic scegli Apply as Filter.

Vedi l'esempio allegato catturato nella versione 2.4.4

SNI-WireShark-contextFilter

Tom Silver
fonte
1

Per un esempio più completo, ecco il comando per mostrare gli SNI utilizzati nelle nuove connessioni:

tshark -p -Tfields -e ssl.handshake.extensions_server_name \ 
    -Y 'ssl.handshake.extension.type == "server_name"'

(Questo è ciò che il tuo ISP può facilmente vedere nel tuo traffico.)

sanmai
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.