Filtrer dans Wireshark pour le champ d'indication de nom de serveur de TLS

9

Wireshark a-t-il un filtre pour le champ d'indication de nom de serveur de TLS?

wireshark 
palindrom
source

Réponses:

8

ssl.handshake.extensions_server_name

Shawn E
source
6
Bonjour Shawn E. Bien que cela puisse répondre à la question, pouvez-vous fournir des explications supplémentaires? Ce serait peut-être utile pour les autres.
nixda
7

La réponse de Shawn E est probablement la bonne réponse mais ma version Wireshark n'a pas ce filtre. Cependant, les filtres suivants existent:

Pour vérifier si le champ SNI existe:

ssl.handshake.extension.type == 0

ou

ssl.handshake.extension.type == "server_name"

Pour vérifier si une extension contient un certain domaine:

ssl.handshake.extension.data contains "twitter.com"
palindrom
source
2
voici ce qui a fonctionné pour moi:tls.handshake.extensions_server_name contains "twitter.com"
Alexey Andronov
2

Le nouveau Wireshark a un menu contextuel R-Click avec des filtres.

Trouvez le client Bonjour avec SNI pour lequel vous souhaitez voir plus de paquets associés.

Accédez à la poignée de main / extension: détails du nom du serveur et choisissez R-click Apply as Filter.

Voir l'exemple ci-joint capturé dans la version 2.4.4

SNI-WireShark-contextFilter

Tom Silver
source
1

Pour un exemple plus complet, voici la commande pour afficher les SNI utilisés dans les nouvelles connexions:

tshark -p -Tfields -e ssl.handshake.extensions_server_name \ 
    -Y 'ssl.handshake.extension.type == "server_name"'

(C'est ce que votre FAI peut facilement voir dans votre trafic.)

sanmai
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.