Фільтр у Wireshark для поля вказівки імені сервера TLS

Чи є у провідника фільтр для поля вказівки імені сервера TLS?

ssl.handshake.extensions_server_name

Відповідь Шона Е - це, мабуть, правильна відповідь, але у моєї версії проводів цього фільтра немає. Однак існують такі фільтри:

Щоб перевірити, чи існує поле SNI:

ssl.handshake.extension.type == 0

або

ssl.handshake.extension.type == "server_name"

Щоб перевірити, чи розширення містить певний домен:

ssl.handshake.extension.data contains "twitter.com"

Новіший Wireshark має контекстне меню R-Click з фільтрами.

Знайдіть Привіт клієнта за допомогою SNI, для якого ви хочете побачити більше пов'язаних пакетів.

Перейдіть до рукостискання / розширення: деталі імені_сервера та натисніть кнопку R вибрати Apply as Filter.

Дивіться прикріплений приклад, знайдений у версії 2.4.4

Для більш повного прикладу, ось команда показати SNI, які використовуються в нових з'єднаннях:

tshark -p -Tfields -e ssl.handshake.extensions_server_name \ 
    -Y 'ssl.handshake.extension.type == "server_name"'

(Це ваш Інтернет-провайдер може легко бачити у вашому трафіку.)