一馬力のメモ帳

MVSからLinuxまで。基盤屋さんは眠らない

Wiresharkで特定の通信を追跡し内容を確認する

Wiresharkでパケットキャプチャすると色々な通信がごちゃまぜ状態で表示されます。

「キャプチャの中から特定の通信だけ抜き出して確認したい!」ってときは
目的のパケットを追跡する事ができます。

今回はWiresharkの追跡機能を紹介します



目次


今回追跡するキャプチャ

例えば,このBLOGの過去記事
(http://ichibariki.hatenablog.com/entry/2018/06/09/144645)を表示する操作をキャプチャした時

取得できたキャプチャは下のように表示されます
他のパケットも混じってぐちゃぐちゃです。
なにがなんだかわかりませんよね?

パケットを追跡する

Step1 対象パケットの選択

このぐちゃぐちゃのパケットから必要なパケットを追跡してみます
No.60のパケットが「Http でGET /entry/2018/06/09/144645」なのでこのBLOGの過去記事を表示しています。

このパケットを選択します。

Step2 追跡機能の呼び出し

対象のパケットを選択したら

  • 右クリック
  • 追跡
  • TCPストリーム

の順にクリックします。

Step3 TCPストリーム画面の表示

追跡機能を呼び出したらTCPストリーム画面が表示されます

赤文字が送信したパケット
青文字が受信したパケット

になります。

ざっくり通信の中身を確認するのに便利です

Step4 メイン画面

メイン画面には対象の通信を「表示フィルタ」で検索しパケットが表示されています

今回のパケットでは「tcp.stream eq 8」のフィルタが適用されています

参考になれば幸いです

試した環境

ホストOS

Apple iMac 21.5インチ 1.6GHz Corei5 8GB 1TB MK142J/A

iMac (27-inch, Mid 2010)

macOS High Sierra
 システムのバージョン:    macOS 10.13.4 (17E202)
 カーネルのバージョン:    Darwin 17.5.0

 Wireshark

Wireshark
    Version 2.4.3 (v2.4.3-0-g368ba1e)