http の宛先URLでフィルターする
取得したパケットキャプチャーのうち、http 通信の宛先URLで検索したいときは以下のフィルター式を使います。
http contains "hoge"
以下は "nesuke" という文字列を含む宛先 URL を表示するときの例です。
ただし、これは今はあまり使うことができません。なぜならほとんどの通信は https で暗号化されているからです。
https の宛先 URL でフィルタする
https の通信で宛先 URL でフィルタしたい場合は次のフィルタ式を使います。
tls.handshake.extensions_server_name contains "hoge"
以下は "nesuke" という文字列を含む宛先 URL を表示するときの例です。
http の場合は HOST ヘッダでフィルターするのに対し、https の場合は TLS handshake の最初の Client Hello にある SNI と呼ばれる extension でフィルターします。
SNI については以下を参照ください。
【図解】TLSのSNIの仕組み ~SANsやCN,ワイルドカードとの違い~
SNI と SANs , CN(Common Name) の違い SNI は T...
宛先URLを常に表示する
wireshark のパケット表示の中に宛先 URL を表示する列を作ってしまう方法があります。
wireshark の No. や Time, Source Destination 等のヘッダーバーを右クリックし、「列の設定」をクリックします。
そして左ペインの「外観」の「列」をクリックし、中央下部の「+」ボタンをクリックすると列が増えるので、以下のように設定します。
- 題名 = URL (表示されるヘッダ名です。なんでもよいです)
- 種別 = Custom
- フィールド = tls.handshake.extensions_server_name || http.host
これにより、以下のように表示されるようになります。
コメント