Filtrar en Wireshark para el campo de indicación de nombre de servidor de TLS

9

¿Wirehark tiene un filtro para el campo de indicación de nombre de servidor de TLS?

wireshark 
palindrom
fuente

Respuestas:

8

ssl.handshake.extensions_server_name

Shawn E
fuente
66
Hola Shawn E. Aunque esto podría responder la pregunta, ¿puedes dar algunas explicaciones adicionales? Tal vez eso sería útil para otros.
nixda
7

La respuesta de Shawn E es probablemente la respuesta correcta, pero mi versión de Wirehark no tiene ese filtro. Sin embargo, existen los siguientes filtros:

Para verificar si el campo SNI existe:

ssl.handshake.extension.type == 0

o

ssl.handshake.extension.type == "server_name"

Para verificar si una extensión contiene cierto dominio:

ssl.handshake.extension.data contains "twitter.com"
palindrom
fuente
2
esto es lo que funcionó para mí:tls.handshake.extensions_server_name contains "twitter.com"
Alexey Andronov
2

Wireshark más reciente tiene un menú contextual R-Click con filtros.

Encuentre Client Hello con SNI para el que desea ver más paquetes relacionados.

Profundice en apretón de manos / extensión: detalles de nombre_servidor y desde R-clic elija Apply as Filter.

Ver ejemplo adjunto capturado en la versión 2.4.4

SNI-WireShark-contextFilter

Tom Silver
fuente
1

Para un ejemplo más completo, aquí está el comando para mostrar los SNI utilizados en nuevas conexiones:

tshark -p -Tfields -e ssl.handshake.extensions_server_name \ 
    -Y 'ssl.handshake.extension.type == "server_name"'

(Esto es lo que su ISP puede ver fácilmente en su tráfico).

sanmai
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.