使用tshark分析SSL握手

Table of Contents

1 提取SNI(Server Name Indication)字段

sudo tshark -T fields -e ssl.handshake.extensions_server_name -Y ssl.handshake.type==1

或者使用下面的,简单说TLS是SSL的的新版本。我在macOS上只能用上面的。

sudo tshark -T fields -e tls.handshake.extensions_server_name -Y tls.handshake.type==1

2 追加提取目标IP及端口

sudo tshark -T fields -e ip.dst -e tcp.srcport -e ssl.handshake.extensions_server_name -Y ssl.handshake.type==1

3 reference: