我需要捕获TLS证书。我定义了一个捕获过滤器,但它不起作用。
我使用Wireshark(语法与tcp-dump相同)。我试过这个捕获过滤器:
tcp port 443 and tcp[tcp[12]/16*4]=22 and (tcp[tcp[12]/16*4+5]=11)
部分tcp[tcp[12]/16*4]=22用于识别握手类型。
部分(tcp[tcp[12]/16*4+5]=11)用于标识证书消息。值11基于this reference,它将TLS消息值列为:
Handshake Type Values dec hex
-------------------------------------
HELLO_REQUEST 0 0x00
CLIENT_HELLO 1 0x01
SERVER_HELLO 2 0x02
CERTIFICATE 11 0x0b
我的捕获过滤器出了什么问题?