■クライアントからプロキシサーバ宛のパケットキャプチャ
-b filesize:50000 -b files:10 -w ~/proxy \
-f "tcp port 3128"
■例として「api.twitter.com」の情報を取り出す。
-R "tcp.port==3128 && tcp.flags.syn==0" \
-T fields -E separator=';' \
-e frame.time \
-e ip.src -e tcp.srcport \
-e ip.dst -e tcp.dstport \
-e tcp.flags.syn -e tcp.flags.ack \
-e http.host -e http.request.uri 2>/dev/null | \
awk -F\; '($NF>"[A-z.]*"){print}' | tail -1 | \
sed -e 's/;0;1;/\n\t&/g' -e 's/JST;/&\n\t/'
Oct 22, 2015 02:06:16.883998000 JST;
172.31.XXX.XXX;50344;172.31.YYY.YYY;3128
;0;1;twitter.com:443;twitter.com:443
■プロキシサーバから外部へのパケットキャプチャ
■例として「api.twitter.com」の証明書を取得したところ
-R "(tcp.port==443 || tcp.port==80) && ssl.handshake.certificate" \
-T fields -E separator=';' \
-e frame.time \
-e ip.src -e tcp.srcport \
-e ip.dst -e tcp.dstport \
-e tcp.flags.syn -e tcp.flags.ack \
-e http.host -e http.request.uri \
-e x509sat.uTF8String -e x509ce.dNSName 2>/dev/null | \
grep ";api.twitter.com" | sed -e 's/JST;/&\n\t/'
Oct 22, 2015 01:54:53.265344000 JST;
104.244.42.130;443;192.168.ZZZ.ZZZ;40011;0;1;;;;api.twitter.com