wireshark SSL相关字段
参考链接:https://www.wireshark.org/docs/dfref/s/ssl.html
挑几个常用的,抛砖引玉:
FIELD NAME | DESCRIPTION | TYPE | VERSIONS |
ssl.handshake.type | Handshake Message Type | Unsigned integer, 1 byte | 1.0.0 to 2.4.5 |
ssl.handshake.version | Version | Unsigned integer, 2 bytes | 1.0.0 to 2.4.5 |
ssl.handshake.session_id | Session ID | Sequence of bytes | 1.0.0 to 2.4.5 |
ssl.handshake.session_ticket | Session Ticket | Sequence of bytes | 1.8.0 to 2.4.5 |
ssl.handshake.random | Random | Sequence of bytes | 2.0.0 to 2.4.5 |
在使用wirehark分析https 流量的时候,为了过滤出我们需要的数据流,选择恰当的过滤条件至关重要。
SSL handshake中的Client hello 与Server hello过滤:
##session ID的过滤
看到官方文档说session id的类型是 Sequence of bytes。于是过滤:
遗憾的是,这样无法过滤。折腾了好久,勉强使用这种方法:
如有更好的办法,多多指教!
