Filtrar no campo Wireshark for Server Name Indication do TLS

9

O wireshark possui um filtro para o campo Indicação de nome de servidor do TLS?

wireshark 
palindrom
fonte

Respostas:

8

ssl.handshake.extensions_server_name

Shawn E
fonte
6
Olá Shawn E. Embora isso possa responder à pergunta, você pode fornecer algumas explicações adicionais? Talvez isso seja útil para os outros.
Nixda 21/01
7

A resposta de Shawn E é provavelmente a resposta correta, mas minha versão do wireshark não possui esse filtro. Os seguintes filtros existem, no entanto:

Para verificar se o campo SNI existe:

ssl.handshake.extension.type == 0

ou

ssl.handshake.extension.type == "server_name"

Para verificar se uma extensão contém determinado domínio:

ssl.handshake.extension.data contains "twitter.com"
palindrom
fonte
2
aqui está o que funcionou para mim: #tls.handshake.extensions_server_name contains "twitter.com"
Alexey Andronov
2

O Wireshark mais recente possui o menu de contexto R-Click com filtros.

Encontre o Client Hello com o SNI para o qual você gostaria de ver mais pacotes relacionados.

Faça uma busca detalhada nos detalhes do handshake / extension: server_name e clique com o botão direito do mouse em escolher Apply as Filter.

Veja o exemplo em anexo capturado na versão 2.4.4

SNI-WireShark-contextFilter

Tom Silver
fonte
1

Para um exemplo mais completo, aqui está o comando para mostrar os SNIs usados ​​em novas conexões:

tshark -p -Tfields -e ssl.handshake.extensions_server_name \ 
    -Y 'ssl.handshake.extension.type == "server_name"'

(É isso que o seu ISP pode ver facilmente no seu tráfego.)

sanmai
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.