Olá Shawn E. Embora isso possa responder à pergunta, você pode fornecer algumas explicações adicionais? Talvez isso seja útil para os outros.
Nixda 21/01
7
A resposta de Shawn E é provavelmente a resposta correta, mas minha versão do wireshark não possui esse filtro. Os seguintes filtros existem, no entanto:
Para verificar se o campo SNI existe:
ssl.handshake.extension.type == 0
ou
ssl.handshake.extension.type == "server_name"
Para verificar se uma extensão contém determinado domínio:
A resposta de Shawn E é provavelmente a resposta correta, mas minha versão do wireshark não possui esse filtro. Os seguintes filtros existem, no entanto:
Para verificar se o campo SNI existe:
ou
Para verificar se uma extensão contém determinado domínio:
fonte
tls.handshake.extensions_server_name contains "twitter.com"O Wireshark mais recente possui o menu de contexto R-Click com filtros.
Encontre o Client Hello com o SNI para o qual você gostaria de ver mais pacotes relacionados.
Faça uma busca detalhada nos detalhes do handshake / extension: server_name e clique com o botão direito do mouse em escolher
Apply as Filter.Veja o exemplo em anexo capturado na versão 2.4.4
fonte
Para um exemplo mais completo, aqui está o comando para mostrar os SNIs usados em novas conexões:
(É isso que o seu ISP pode ver facilmente no seu tráfego.)
fonte