应该使用什么过滤器来过滤 TLS 1.3 客户端问候?

【问题标题】:What filter should be used to filter TLS 1.3 client hello?应该使用什么过滤器来过滤 TLS 1.3 客户端问候?
【发布时间】:2021-05-19 14:00:52
【问题描述】:

当前使用(tcp[tcp[12]/16*4]=22 and tcp[tcp[12]/16*4+5]=1),其中=22 代表握手,=1 代表 TLS 1.2/1.3 数据包的客户端问候。

由于上述过滤器同时向 TLS 1.2 和 1.3 提供流量,我并没有真正找到区分 TLS 1.3 或 TLS 1.2 客户端 hello 流量的方法/技术。

【问题讨论】:

    标签: c++ ssl networking pcap libpcap


    【解决方案1】:

    TLS 1.3 支持在supported_versions TLS 扩展中宣布。 ClientHello 中的这个扩展没有明确的偏移量,即需要正确解析 ClientHello 结构。这不适用于 pcap 过滤规则。

    【讨论】:

    • 我查看了 Wireshark 并比较了 TLS 1.2 和 TLS 1.3 的客户端问候,对于这两种情况,我发现了 supported_version TLS 1.3。
    • @PraveenPatel: supported_versions 在 ClientHello 中只显示客户端支持的内容。在 ClientHello 中看不到实际使用的通用协议版本,因为此时不知道服务器会同意什么。 Wireshark 显示的有关使用的协议版本的信息来自后来的 TLS 握手消息。
    猜你喜欢
    • 1970-01-01
    • 2020-01-21
    • 1970-01-01
    • 2012-01-12
    • 2015-09-17
    • 2014-09-18
    • 1970-01-01
    • 2015-12-13
    • 2012-02-05
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode