HTTPS TLS JA3
JA3能不能用来识别纯tls链接数据?
JA3(S)的原理是计算握手最后Hello包的信息,那对于纯TLS,非HTTPS的流是否可以获得JA3?
这个问题是因为在查看挖矿软件走TLS的时候发现了Wireshark的JA3插件并没有对其握手计算JA3的值
1 | JA3S=md5( |
依然能在包里找到对应的握手内容
因此应该是扩展限定了端口的问题
我这边用的Wireshark插件是https://github.com/fullylegit/ja3/blob/master/ja3.lua
可以看到在最后它加了443端口的限制
这样在最后加入
1 | tcp_dissector_table:add( 5555, proto_ja3 ) |
这样就可以看到在5555端口上的JA3S值了