应该使用什么过滤器来过滤 TLS 1.3 客户端问候?
What filter should be used to filter TLS 1.3 client hello?
当前使用 (tcp[tcp[12]/16*4]=22 and tcp[tcp[12]/16*4+5]=1),其中 =22 表示握手,=1 表示两个 TLS 1.2/1.3 数据包的客户端问候。
由于上述过滤器同时为 TLS 1.2 和 1.3 提供流量,因此我并没有真正找到 way/technique 来区分 TLS 1.3 或 TLS 1.2 客户端问候流量。
TLS 1.3 支持在 supported_versions TLS 扩展中宣布。在 ClientHello 中没有针对此扩展的明确偏移量,即需要正确解析 ClientHello 结构。这不适用于 pcap 过滤规则。
当前使用 (tcp[tcp[12]/16*4]=22 and tcp[tcp[12]/16*4+5]=1),其中 =22 表示握手,=1 表示两个 TLS 1.2/1.3 数据包的客户端问候。
由于上述过滤器同时为 TLS 1.2 和 1.3 提供流量,因此我并没有真正找到 way/technique 来区分 TLS 1.3 或 TLS 1.2 客户端问候流量。
TLS 1.3 支持在 supported_versions TLS 扩展中宣布。在 ClientHello 中没有针对此扩展的明确偏移量,即需要正确解析 ClientHello 结构。这不适用于 pcap 过滤规则。