🧐Поиск MITM TCP-пересборка соединения - первый тревожный маркер: tcp.flags.reset == 1 || tcp.flags.syn == 1 Если вы видите лишние сбросы там, где трафик должен быть стабильным, почти всегда это следствие вмешательства. Понижение версии TLS: tls.handshake.version Cipher Suites и расширения как отпечаток посредника: Добавьте в отображение параметры TLS и сравните их между несколькими сессиями к одному и тому же домену. Если поведение «плавает» - сервер, скорее всего, уже не тот. DNS как точка входа: иногда MITM начинается не с TLS, а с подмены резолвинга. В дампе это заметно по нестабильным ответам или подозрительно низкому TTL. dns RTT и задержки как побочный эффект: tcp.analysis.ack_rtt Резкие скачки RTT в пределах стабильного сегмента сети могут означать появление дополнительного узла между сторонами. Анализ потока целиком: Follow → TLS Stream позволяет увидеть общую картину: сертификаты, SNI, параметры рукопожатия. Иногда всё «формально валидно», но issuer, цепочка доверия или структура сертификата не соответствуют ожидаемым #Кибербастион #MITM