Filtern Sie in Wireshark nach dem Feld "Server Name Indication" von TLS

9

Verfügt wireshark über einen Filter für das TLS-Feld "Server Name Indication"?

Palindrom
quelle

Antworten:

8

ssl.handshake.extensions_server_name

Shawn E.
quelle
6
Hallo Shawn E. Obwohl dies die Frage beantworten könnte, können Sie einige zusätzliche Erklärungen geben? Vielleicht wäre das für andere hilfreich.
Nixda
7

Die Antwort von Shawn E ist wahrscheinlich die richtige, aber meine Wireshark-Version hat diesen Filter nicht. Folgende Filter existieren jedoch:

So überprüfen Sie, ob das SNI-Feld vorhanden ist:

ssl.handshake.extension.type == 0

oder

ssl.handshake.extension.type == "server_name"

So überprüfen Sie, ob eine Erweiterung eine bestimmte Domain enthält:

ssl.handshake.extension.data contains "twitter.com"
Palindrom
quelle
2
Hier ist, was für mich funktioniert hat:tls.handshake.extensions_server_name contains "twitter.com"
Alexey Andronov
2

Neueres Wireshark verfügt über ein R-Click-Kontextmenü mit Filtern.

Finden Sie Client Hello mit SNI, für das Sie mehr der zugehörigen Pakete sehen möchten.

Drilldown zu Handshake / Erweiterung: Servername Details und von R-Klick wählen Apply as Filter.

Siehe beigefügtes Beispiel in Version 2.4.4

SNI-WireShark-contextFilter

Tom Silver
quelle
1

Für ein vollständigeres Beispiel ist hier der Befehl zum Anzeigen von SNIs, die in neuen Verbindungen verwendet werden:

tshark -p -Tfields -e ssl.handshake.extensions_server_name \ 
    -Y 'ssl.handshake.extension.type == "server_name"'

(Dies kann Ihr ISP in Ihrem Datenverkehr leicht erkennen.)

Sanmai
quelle