Filtrer dans Wireshark pour le champ d'indication de nom de serveur de TLS


9

Wireshark a-t-il un filtre pour le champ d'indication de nom de serveur de TLS?

Réponses:


8

ssl.handshake.extensions_server_name


6
Bonjour Shawn E. Bien que cela puisse répondre à la question, pouvez-vous fournir des explications supplémentaires? Ce serait peut-être utile pour les autres.
nixda

7

La réponse de Shawn E est probablement la bonne réponse mais ma version Wireshark n'a pas ce filtre. Cependant, les filtres suivants existent:

Pour vérifier si le champ SNI existe:

ssl.handshake.extension.type == 0

ou

ssl.handshake.extension.type == "server_name"

Pour vérifier si une extension contient un certain domaine:

ssl.handshake.extension.data contains "twitter.com"

2
voici ce qui a fonctionné pour moi:tls.handshake.extensions_server_name contains "twitter.com"
Alexey Andronov

2

Le nouveau Wireshark a un menu contextuel R-Click avec des filtres.

Trouvez le client Bonjour avec SNI pour lequel vous souhaitez voir plus de paquets associés.

Accédez à la poignée de main / extension: détails du nom du serveur et choisissez R-click Apply as Filter.

Voir l'exemple ci-joint capturé dans la version 2.4.4

SNI-WireShark-contextFilter


1

Pour un exemple plus complet, voici la commande pour afficher les SNI utilisés dans les nouvelles connexions:

tshark -p -Tfields -e ssl.handshake.extensions_server_name \ 
    -Y 'ssl.handshake.extension.type == "server_name"'

(C'est ce que votre FAI peut facilement voir dans votre trafic.)

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.