Quando sniffiamo, diciamo ettercap, riceviamo tutti i pacchetti dalla vittima e con questo possiamo vedere l'indirizzo IP di destinazione da un particolare pacchetto. Quindi, possiamo ottenere il nome di dominio da quell'indirizzo IP, anche quando viene usato https, quando sappiamo che gli indirizzi IP dei server sono pubblicamente disponibili e conosciuti?
Quindi la tua domanda chiede se è possibile ottenere un URL o un nome di dominio. Gli URL effettivi nella sessione NON saranno visibili alla persona che osserva il traffico se viene utilizzato HTTPS perché la sessione crittografata viene stabilita prima che le richieste HTTP vengano fatte al server. Il nome dominio dell'indirizzo IP pubblico può essere ottenuto osservando il certificato utilizzato nell'handshake. Inoltre, a volte è possibile trovare / dedurre il nome del dominio tramite DNS, tuttavia è possibile assegnare più nomi di dominio a un indirizzo IP, quindi non è sempre fruttuoso recarsi all'indirizzo IP. Esistono servizi che utilizzano il DNS passivo per tenere traccia dei nomi di dominio associati agli indirizzi IP, pertanto è possibile considerarlo come un'opzione.
ANCHE, se questa è la tua rete aziendale e vuoi monitorare l'attività sui computer della tua azienda, puoi installare il tuo certificato nelle tue workstation e decrittografare il traffico in un segmento sicuro della tua rete, quindi cifrarlo di nuovo prima che esca la tua rete. Ciò ti consentirà di osservare tutti gli URL, i contenuti, ecc. Anche se viene utilizzato HTTPS.
Leggi altre domande sui tag sniffing