Wireshark中的Wiered事件捕获了ServerHello

时间:2018-02-05 18:19:15

标签: networking wireshark tcpdump traffic

我正在尝试构建一个捕获过滤器来捕获TLS握手中的serverhello消息。我写了以下内容:

tcp端口443和(tcp [((tcp [12]& 0xf0)>> 2)] = 0x16)和(tcp [((tcp [12]& 0xf0)>> 2) +5] = 0x02)

它捕获两种类型:ServerHello and ServerHello, Change Cipher Spec, Encrypted Handshake MessageHere is a picture attached

你能解释一下吗?它导致了这种不同的服务器TLS实现吗?或者过滤器有些错误吗?我知道ServerHello代码是0x02来自this site

1 个答案:

答案 0 :(得分:0)

您正在看到TLS会话恢复。请参阅TLS 1.2 RFC第7.3节中的图2:https://tools.ietf.org/html/rfc5246#section-7.3。您的客户端之前必须已连接到该服务器,并且它重新使用了TLS会话ID。在这种情况下,服务器可以决定使用以前的安全参数恢复上一个会话(节省一点时间/处理)。

相关问题
最新问题