TLS의 서버 이름 표시 필드에 대한 Wireshark의 필터

wireshark에 TLS의 서버 이름 표시 필드에 대한 필터가 있습니까?

ssl.handshake.extensions_server_name

Shawn E의 대답은 아마도 정답이지만 내 wireshark 버전에는 해당 필터가 없습니다. 그러나 다음 필터가 존재합니다.

SNI 필드가 존재하는지 확인하려면 다음을 수행하십시오.

ssl.handshake.extension.type == 0

또는

ssl.handshake.extension.type == "server_name"

확장에 특정 도메인이 포함되어 있는지 확인하려면

ssl.handshake.extension.data contains "twitter.com"

최신 Wireshark에는 필터가있는 R- 클릭 컨텍스트 메뉴가 있습니다.

더 많은 관련 패킷을 보려는 SNI로 Client Hello를 찾으십시오.

핸드 셰이크 / 확장 : server_name 세부 사항으로 드릴 다운하고 R- 클릭에서을 선택하십시오 Apply as Filter.

버전 2.4.4에서 첨부 된 예제를 참조하십시오.

보다 완전한 예를 들어, 새 연결에 사용 된 SNI를 표시하는 명령은 다음과 같습니다.

tshark -p -Tfields -e ssl.handshake.extensions_server_name \ 
    -Y 'ssl.handshake.extension.type == "server_name"'

(이것은 ISP가 트래픽에서 쉽게 볼 수있는 것입니다.)