一馬力のメモ帳

MVSからLinuxまで。基盤屋さんは眠らない

Wiresharkで特定の通信を追跡し内容を確認する[macOS]

Wiresharkでパケットキャプチャすると色々な通信がごちゃまぜ状態で表示されます。

「キャプチャの中から特定の通信だけ抜き出して確認したい!」ってときは
目的のパケットを追跡する事ができます。

今回はWiresharkの追跡機能を紹介します

目次


今回追跡するキャプチャ

例えば,このBLOGの過去記事
(http://ichibariki.hatenablog.com/entry/2018/06/09/144645)を表示する操作をキャプチャした時

取得できたキャプチャは下のように表示されます
f:id:htbariki:20180616163903p:plain 他のパケットも混じってぐちゃぐちゃです。
なにがなんだかわかりませんよね?

パケットを追跡する

Step1 対象パケットの選択

このぐちゃぐちゃのパケットから必要なパケットを追跡してみます
No.60のパケットが「Http でGET /entry/2018/06/09/144645」なのでこのBLOGの過去記事を表示しています。

このパケットを選択します。

f:id:htbariki:20180616163858p:plain

Step2 追跡機能の呼び出し

対象のパケットを選択したら

  • 右クリック
  • 追跡
  • TCPストリーム

の順にクリックします。

f:id:htbariki:20180616163916p:plain

Step3 TCPストリーム画面の表示

追跡機能を呼び出したらTCPストリーム画面が表示されます

赤文字が送信したパケット
青文字が受信したパケット

になります。

ざっくり通信の中身を確認するのに便利です

f:id:htbariki:20180616163850p:plain

Step4 メイン画面

メイン画面には対象の通信を「表示フィルタ」で検索しパケットが表示されています

今回のパケットでは「tcp.stream eq 8」のフィルタが適用されています

f:id:htbariki:20180616163911p:plain

参考になれば幸いです

試した環境

ホストOS

Apple iMac (21.5/1.6GHz Dual Core i5/8GB/1TB/Intel HD 6000) MK142J/A

iMac (27-inch, Mid 2010)

macOS High Sierra
 システムのバージョン:    macOS 10.13.4 (17E202)
 カーネルのバージョン:    Darwin 17.5.0

 Wireshark

Wireshark
    Version 2.4.3 (v2.4.3-0-g368ba1e)

スポンサーリンク