Wireshark 捕获 ServerHello 中的奇怪事情

Question

我正在尝试构建一个捕获过滤器来捕获 TLS 握手中的 serverhello 消息。我写了以下内容：

tcp 端口 443 和 (tcp[((tcp[12] & 0xf0) >> 2)] = 0x16) 和 (tcp[((tcp[12] & 0xf0) >> 2)+5] = 0x02)

它捕获两种类型：ServerHello and ServerHello, Change Cipher Spec, Encrypted Handshake Message。 Here is a picture attached

你能解释一下吗？是不是不同的服务器 TLS 实现导致了这个？还是过滤器有问题？我知道 ServerHello 代码是：0x02 来自 this site.

Answer 1

您正在看到 TLS 会话恢复。请参见 TLS 1.2 RFC 第 7.3 节中的图 2：https://www.rfc-editor.org/rfc/rfc5246#section-7.3。您的客户端之前必须连接到该服务器并且它重新使用了 TLS 会话 ID。在这种情况下，服务器可以决定使用之前的安全参数恢复之前的会话（节省一点 time/processing）。