我可以使用以下内容过滤 TCP 上 TLS 的客户端 Hello 消息:
(tcp[((tcp[12] & 0xf0) >> 2)] = 0x16) && (tcp[((tcp[12] & 0xf0) >> 2) + 5] = 0x01)
https://www.baeldung.com/linux/tcpdump-capture-ssl-handshake
我可以使用什么过滤器来对 Quic 数据包实现相同的效果?
发现这对于 Quic 来说是不可能的,因为包含 TLS 握手数据的有效负载受到保护。
参见: https://datatracker.ietf.org/doc/html/rfc9001#section-5。 特别是第 5.2 节与初始数据包相关。
只要您知道版本特定的硬编码盐值,就可以轻松“解密”初始数据包。但据我所知,这只能在捕获数据包后才能完成。