Ich möchte alle TCP-Pakete filtern, die Server Name Indicationdieses Feld enthalten.
Dies ist ein Beispiel für ein gewünschtes Feld:
Normalerweise verwende ich , wenn ich nach Inhalten suche frame contains "string". Das funktioniert hier nicht, da es Server Name Indicationsich um einen Feldnamen und nicht um einen Feldwert handelt. Irgendwelche Ideen?
Antwort1
Hier sind die Beispiele fürAnzeigefilterdie in WireShark zur Server Name Indication angewendet werden können:
- Filter für die Servernamenanzeige als Feld:
tls.handshake.extensions_server_name - Filtern Sie nach einem bestimmten Servernamen:
tls.handshake.extensions_server_name == "old.reddit.com" - Filtern Sie nach Servernamen, die eine Zeichenfolge enthalten:
tls.handshake.extensions_server_name contains reddit
Um mit einem bestimmten Feld zu filtern, klicken Sie einmal auf das Paket in der Spalte „Paketliste“. Klicken Sie mit der rechten Maustaste auf das Feld in der Spalte „Paketdetails“. Wählen Sie „Als Filter anwenden“ und „Ausgewählt“.
