我想過濾包含Server Name Indication字段的所有 tcp 數據包。
這是所需欄位的範例:
通常當我搜尋內容時,我會使用frame contains "string".這裡不起作用,因為Server Name Indication是欄位名稱,而不是欄位值。有任何想法嗎?
答案1
以下是以下範例顯示過濾器可以在 WireShark 中套用至伺服器名稱指示:
- 將伺服器名稱指示過濾為欄位:
tls.handshake.extensions_server_name - 過濾特定伺服器名稱:
tls.handshake.extensions_server_name == "old.reddit.com" - 過濾包含字串的伺服器名稱:
tls.handshake.extensions_server_name contains reddit
若要使用特定欄位進行過濾,請按一下「資料包清單」列中的資料包。右鍵單擊“資料包詳細資料”列中的欄位。選擇“應用為濾鏡”和“已選擇”。
