Wiresharkでパケットキャプチャすると色々な通信がごちゃまぜ状態で表示されます。
「キャプチャの中から特定の通信だけ抜き出して確認したい!」ってときは
目的のパケットを追跡する事ができます。
今回はWiresharkの追跡機能を紹介します
Wiresharkの使い方- パケットキャプチャのTips集 - - 一馬力のメモ帳
目次
今回追跡するキャプチャ
例えば,このBLOGの過去記事
(http://ichibariki.hatenablog.com/entry/2018/06/09/144645)を表示する操作をキャプチャした時
取得できたキャプチャは下のように表示されます
他のパケットも混じってぐちゃぐちゃです。
なにがなんだかわかりませんよね?
パケットを追跡する
Step1 対象パケットの選択
このぐちゃぐちゃのパケットから必要なパケットを追跡してみます
No.60のパケットが「Http でGET /entry/2018/06/09/144645」なのでこのBLOGの過去記事を表示しています。
このパケットを選択します。
Step2 追跡機能の呼び出し
対象のパケットを選択したら
- 右クリック
- 追跡
- TCPストリーム
の順にクリックします。
Step3 TCPストリーム画面の表示
追跡機能を呼び出したらTCPストリーム画面が表示されます
赤文字が送信したパケット
青文字が受信したパケット
になります。
ざっくり通信の中身を確認するのに便利です
Step4 メイン画面
メイン画面には対象の通信を「表示フィルタ」で検索しパケットが表示されています
今回のパケットでは「tcp.stream eq 8」のフィルタが適用されています
参考になれば幸いです
試した環境
ホストOS
iMac (27-inch, Mid 2010) macOS High Sierra システムのバージョン: macOS 10.13.4 (17E202) カーネルのバージョン: Darwin 17.5.0
Wireshark
Wireshark Version 2.4.3 (v2.4.3-0-g368ba1e)