【wireshark】http/httpsの宛先URLのフィルタ、表示 | SEの道標
Wireshark

【wireshark】http/httpsの宛先URLのフィルタ、表示

http の宛先URLでフィルターする

取得したパケットキャプチャーのうち、http 通信の宛先URLで検索したいときは以下のフィルター式を使います。

http contains "hoge"

以下は "nesuke" という文字列を含む宛先 URL を表示するときの例です。

ただし、これは今はあまり使うことができません。なぜならほとんどの通信は https で暗号化されているからです。

https の宛先 URL でフィルタする

https の通信で宛先 URL でフィルタしたい場合は次のフィルタ式を使います。

tls.handshake.extensions_server_name contains "hoge"

以下は "nesuke" という文字列を含む宛先 URL を表示するときの例です。

http の場合は HOST ヘッダでフィルターするのに対し、https の場合は TLS handshake の最初の Client Hello にある SNI と呼ばれる extension でフィルターします。

SNI については以下を参照ください。

【図解】TLSのSNIの仕組み ~SANsやCN,ワイルドカードとの違い~
SNI と SANs , CN(Common Name) の違い SNI は T...

宛先URLを常に表示する

wireshark のパケット表示の中に宛先 URL を表示する列を作ってしまう方法があります。

wireshark の No. や Time, Source Destination 等のヘッダーバーを右クリックし、「列の設定」をクリックします。

そして左ペインの「外観」の「列」をクリックし、中央下部の「+」ボタンをクリックすると列が増えるので、以下のように設定します。

  • 題名 = URL (表示されるヘッダ名です。なんでもよいです)
  • 種別 = Custom
  • フィールド = tls.handshake.extensions_server_name || http.host

これにより、以下のように表示されるようになります。

コメント

タイトルとURLをコピーしました