HTTPS TLS JA3

JA3能不能用来识别纯tls链接数据?

JA3(S)的原理是计算握手最后Hello包的信息,那对于纯TLS,非HTTPS的流是否可以获得JA3?

这个问题是因为在查看挖矿软件走TLS的时候发现了Wireshark的JA3插件并没有对其握手计算JA3的值

1
2
3
4
5
JA3S=md5(
server_handshake.tls_version + "," +
server_handshake.cipher_suites + "," +
"-".join(server_handshake.extensions)
)

依然能在包里找到对应的握手内容

因此应该是扩展限定了端口的问题

我这边用的Wireshark插件是https://github.com/fullylegit/ja3/blob/master/ja3.lua

可以看到在最后它加了443端口的限制

这样在最后加入

1
tcp_dissector_table:add( 5555, proto_ja3 )

这样就可以看到在5555端口上的JA3S值了