Shawn Eの答えはおそらく正しい答えですが、私のwiresharkバージョンにはそのフィルターがありません。ただし、次のフィルターが存在します。
SNIフィールドが存在するかどうかを確認するには:
ssl.handshake.extension.type == 0
または
ssl.handshake.extension.type == "server_name"
拡張機能に特定のドメインが含まれているかどうかを確認するには:
ssl.handshake.extension.data contains "Twitter.com"
ssl.handshake.extensions_server_name
新しいWiresharkには、フィルター付きのR-Clickコンテキストメニューがあります。
関連するパケットの詳細を確認するSNIを使用してClient Helloを見つけます。
ハンドシェイク/拡張機能:server_nameの詳細にドリルダウンし、RクリックからApply as Filterを選択します。
バージョン2.4.4でキャッチされた添付の例を参照してください
より完全な例として、新しい接続で使用されるSNIを表示するコマンドを次に示します。
tshark -p -Tfields -e ssl.handshake.extensions_server_name \
-Y 'ssl.handshake.extension.type == "server_name"'
(これは、ISPがトラフィックで簡単に確認できるものです。)