项目地址

https://github.com/fullylegit/ja3

相关技术点

• JA3 TLS客户端指纹算法
• Lua脚本语言
• Wireshark网络协议分析工具

项目用途

该项目是一个Wireshark/tshark插件，实现了JA3 TLS客户端指纹算法，用于对网络数据包进行分析并提取TLS/SSL协议相关信息，包括客户端握手包的JA3信息和MD5哈希值，以及服务器hello包的JA3S信息，从而帮助用户进行网络安全问题的排查和分析。使用该插件可以更方便地获取TLS客户端指纹信息，进行威胁情报分析和网络安全事件响应。

JA3 - Wireshark/tshark 插件

这是一个基于 JA3 TLS 客户端指纹算法的 Wireshark/tshark 插件实现。

安装

1. 将 ja3.lua 复制到 插件文件夹 中
2. 下载一个 md5.lua 的副本并将其复制到插件文件夹中
   • 或者 Ubuntu 用户可以通过运行 apt install lua-md5 安装一个兼容的库

用法

在 Wireshark 中，对于 TLS 或 SSL 数据包，此插件将显示附加信息。 客户端握手包的 JA3 信息，以及用于 MD5 散列的完整信息。 服务器 hello 包将显示 JA3S 信息。

wget https://raw.githubusercontent.com/fullylegit/ja3/master/ja3.lua
wget https://raw.githubusercontent.com/kikito/md5.lua/master/md5.lua

cp -r ja3.lua md5.lua /usr/lib/x86_64-linux-gnu/wireshark/plugins
wireshark==>分析器==>重新加载 lua 插件==>过滤 tls

标签：工具分享, Wireshark, 全流量