Bộ lọc trong Wireshark cho trường Chỉ định Tên Máy chủ của TLS

Wireshark có bộ lọc cho trường Chỉ định Tên Máy chủ của TLS không?

ssl.handshake.extensions_server_name

Câu trả lời của Shawn E có lẽ là câu trả lời đúng nhưng phiên bản wireshark của tôi không có bộ lọc đó. Tuy nhiên, các bộ lọc sau tồn tại:

Để kiểm tra xem trường SNI có tồn tại không:

ssl.handshake.extension.type == 0

hoặc là

ssl.handshake.extension.type == "server_name"

Để kiểm tra xem tiện ích mở rộng có chứa tên miền nhất định không:

ssl.handshake.extension.data contains "twitter.com"

Wireshark mới hơn có menu ngữ cảnh R-Click với các bộ lọc.

Tìm khách hàng Xin chào với SNI mà bạn muốn xem thêm các gói liên quan.

Đi sâu vào bắt tay / mở rộng: chi tiết server_name và từ R-click chọn Apply as Filter.

Xem ví dụ đính kèm bắt trong phiên bản 2.4.4

Để có một ví dụ đầy đủ hơn, đây là lệnh hiển thị SNI được sử dụng trong các kết nối mới:

tshark -p -Tfields -e ssl.handshake.extensions_server_name \ 
    -Y 'ssl.handshake.extension.type == "server_name"'

(Đây là những gì ISP của bạn có thể dễ dàng nhìn thấy trong lưu lượng truy cập của bạn.)