wireshark SSL相关字段
参考链接:https://www.wireshark.org/docs/dfref/s/ssl.html
挑几个常用的,抛砖引玉:
FIELD NAME | DESCRIPTION | TYPE | VERSIONS |
---|---|---|---|
ssl.handshake.type | Handshake Message Type | Unsigned integer, 1 byte | 1.0.0 to 2.4.5 |
ssl.handshake.version | Version | Unsigned integer, 2 bytes | 1.0.0 to 2.4.5 |
ssl.handshake.session_id | Session ID | Sequence of bytes | 1.0.0 to 2.4.5 |
ssl.handshake.session_ticket | Session Ticket | Sequence of bytes | 1.8.0 to 2.4.5 |
ssl.handshake.random | Random | Sequence of bytes | 2.0.0 to 2.4.5 |
在使用wirehark分析https 流量的时候,为了过滤出我们需要的数据流,选择恰当的过滤条件至关重要。
SSL handshake中的Client hello 与Server hello过滤:
ssl.handshake.type == 1 表示 client hello
ssl.handshake.type == 2 表示 server hello
##session ID的过滤
看到官方文档说session id的类型是 Sequence of bytes。于是过滤:
ssl.handshake.session_id == "5ab64426f2b4ec5e470e2dfa3f4373ddbec62f043b90fde1de33ca4800a9eacb"
遗憾的是,这样无法过滤。折腾了好久,勉强使用这种方法:
ssl.handshake.session_id contains "TeZ'" // TeZ' 是ASCII 码值
如有更好的办法,多多指教!