wireshark SSL相關字段
參考鏈接:https://www.wireshark.org/docs/dfref/s/ssl.html
挑幾個常用的,拋磚引玉:
FIELD NAME | DESCRIPTION | TYPE | VERSIONS |
---|---|---|---|
ssl.handshake.type | Handshake Message Type | Unsigned integer, 1 byte | 1.0.0 to 2.4.5 |
ssl.handshake.version | Version | Unsigned integer, 2 bytes | 1.0.0 to 2.4.5 |
ssl.handshake.session_id | Session ID | Sequence of bytes | 1.0.0 to 2.4.5 |
ssl.handshake.session_ticket | Session Ticket | Sequence of bytes | 1.8.0 to 2.4.5 |
ssl.handshake.random | Random | Sequence of bytes | 2.0.0 to 2.4.5 |
在使用wirehark分析https 流量的時候,爲了過濾出我們需要的數據流,選擇恰當的過濾條件至關重要。
SSL handshake中的Client hello 與Server hello過濾:
ssl.handshake.type == 1 表示 client hello
ssl.handshake.type == 2 表示 server hello
##session ID的過濾
看到官方文檔說session id的類型是 Sequence of bytes。於是過濾:
ssl.handshake.session_id == "5ab64426f2b4ec5e470e2dfa3f4373ddbec62f043b90fde1de33ca4800a9eacb"
遺憾的是,這樣無法過濾。折騰了好久,勉強使用這種方法:
ssl.handshake.session_id contains "TeZ'" // TeZ' 是ASCII 碼值
如有更好的辦法,多多指教!