Help us understand the problem. What is going on with this article?

HTTPS パケット キャプチャ ツール Fiddler のインストールから使用開始まで。

はじめに

Fiddler は HTTPS 通信の中身を decrypt して解析ができるツールなので、サポート業務としても大変重宝しているツールになります。
基本的には、ダウンロードして、「Capture Traffic」をクリックするだけで、パケットキャプチャが開始できるのですが、 HTTPS 通信をDecrypt するためにはひと手間加えてあげないといけません。

実際に、 HTTPS 通信を decrypt しない場合とした場合に、 Fiddler でどのように見えるかについて、触れたいと思います。

インストールから設定まで

1.下記 URL にアクセスし、 Fiddler をダウンロードします。

https://www.telerik.com/download/fiddler
 
2.下記画面にて「I accept the Fiddler End User Lincense Agreement」のチェック ボックスにチェックを入れた後に、「Dowanload for Windows」をクリックします。

image.png

3.FiddlerSetup.exe ファイルを任意のフォルダに保存します。
4.ダウンロードした exe ファイルをダブルクリックし、下記画面にて「I Agree」をクリックします。
image.png

5.インストール フォルダを指定(基本デフォルトのままで問題ありません)し、「Install」をクリックします。
image.png

6.インストールが完了すると下記画面が表示されますので、そのままブラウザを閉じます。
image.png

7.インストール ウィザードも「Completed」となっていることを確認し、「Close」ボタンをクリックします。
image.png

8.「Windows」→「Fiddler 4」の順に選択し、 Fiddler を起動します。
image.png

9.下記警告画面は無効化したいので、「Cancel」ボタンをクリックします。
image.png

10.下記画面が表示された場合は「いいえ」をクリックします。
image.png

11.ここから HTTPS トラフィックを Decrypt するように設定を行います。上部バーの「Tools」→「Options」の順に選択します。
image.png

12.Options 画面より「HTTPS」タブをクリックします。
image.png

13.HTTPS タブより「Decrypt HTTPS traffic」のチェック ボックスにチェックを入れます。
image.png

14.次に同画面にて、「Ignore server certificate errors (unsafe)」のチェック ボックスにチェックを入れます。
image.png

15.最後に「OK」ボタンをクリックします。

これで準備完了です。

HTTPS 通信が decrypt された場合とされない場合を比較してみる。

キャプチャーを行っているときは「Capture Traffic」にチェックマークが入っています。
image.png

既存のキャプチャ ログをすべて削除する場合は、「Ctrl + A」で全選択後に「Remove」→「All Sessions」で全削除できます。
image.png

全削除すると下記のとおり、キャプチャがすべて削除されます。
ログ解析などを開始するときなどは、一度既存のパケットキャプチャをすべて消しておくと良いでしょう。

image.png

では HTTPS Decrypt 状態で www.office.com にアクセスしてみます。

UPN を入力して「次へ」をクリックします。
image.png

パスワードを入力して「サインイン」をクリックします。
image.png

この状態で Fiddler の内容を見てみましょう。
今回の確認作業で注目すべきログは下記の office 365 のエンドポイントにアクセスしたときのログになります。
image.png

そもそもエンドポイントって何?って思う人もいるかと思いますが、エンドポイント自体は IT の共通言語で、 Office 365 については下記のように定義されています。

https://docs.microsoft.com/ja-jp/office365/enterprise/office-365-endpoints

Endpoints are the set of destination IP addresses, DNS domain names, and URLs for Office 365 traffic on the Internet.

一般的には、ユーザーがそのエンドポイントにアクセスすると、あとはサービス(プログラム)側で自動処理が行われるため、ユーザーは何もしなくていいという意味で、「エンド」という言葉が使われているといわれています。
簡単にいうと終着点ですかね。

さて、 HTTPS Decrypt した場合の Office 365 エンドポイントにアクセスしたときのログは、 Fiddler の右画面に「Inspectors」→「Webforms」と選択するとみることができます。
下記はログイン画面で入力した UPN の情報。
image.png

カーソルを下げると、入力した passwd も見ることができます。
image.png

上記と同じ操作を 「Decrypt HTTPS traffic」のチェックを外した状態で行ってみましょう。
image.png

すると、下記のとおり、鍵マークがついて、 HTTPS 通信の中身を見ることができません。右側の Webforms も確認してみましょう。
image.png

Decrypt が無効になっているため、何も中身を解析することができません。
image.png

おわりに

いかがでしたでしょうか。
せっかく Fiddler を入れても、 「Decrypt HTTPS traffic」のチェックを入れないままパケットキャプチャを取得してしまうと、 HTTPS 通信の中身を何も見ることができないということが分かりました。
最初から HTTPS 通信の decrypt を有効にしてくれれば良いのに…と思わなくもないですが、ログを取るときは上述の設定がちゃんと有効になっているか確認の上、ログを取得しましょう。
最後まで読んでいただきありがとうございました。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした