Mac OS Xでtcpdumpを使って.capパケットキャプチャファイルを読む方法

パケットトレースを実行する場合でも、ネットワークからパケットをスニッフィングしてキャプチャする場合でも、通常は.capキャプチャファイルが作成されます。この.cap、pcap、またはwcapパケットキャプチャファイルは、ネットワークスニッフィングに何を使用しているかに関係なく作成されます。これは、ネットワーク管理者やセキュリティ専門家の間ではごく一般的な作業です。.capファイルを開いて読み取り、解釈する最も簡単な方法は、MacまたはLinuxマシンに内蔵されているtcpdumpユーティリティを使用することです。

すでにネットワーク接続のパケット トレースをキャプチャし、tcpdump、wireshark、airport、Wireless Diagnostics Sniffer ツール、または使用しているその他のネットワーク ユーティリティから .cap、.pcap、または .wcap 拡張子を持つキャプチャ パケット ファイルを作成済みであると仮定すると、.cap ファイルを表示するには、OS X * でターミナルを起動し、必要に応じて構文を調整しながら次のコマンド文字列を入力するだけです。

tcpdump -r /path/to/packetfile.cap

ほとんどの場合、.cap ファイルは非常に大きいため、スキャンするには .cap ファイルを less または more にパイプするのが最適です。ここでは less を使用します。

tcpdump -r /path/to/packetfile.cap | less

たとえば、素晴らしい airport コマンドラインユーティリティを使用してローカル Wi-Fi ネットワークを監視することで生成されたキャプチャファイルが /tmp/airportSniff8471xEG.cap にあるとします。構文は次のようになります。

tcpdump -r /tmp/airportSniff8471xEG.cap | less

ファイルは簡単にスキャン、解釈、読み取り、移動、検索など、あらゆる用途に使用できます。このチュートリアルでは、.cap ファイルに含まれるデータの種類やその活用方法については詳しく説明しません。システム管理やネットワーク管理に携わっていない方でも、興味深い内容ではないにしても、有益な情報となるはずです。

.cap ファイルに cat を使ったことがある人なら、意味不明な文字列が大量に出力され、ターミナルがおかしくなり、画面上の意味不明な文字列を消すためにターミナルをリセットしなければならないことがよくあることをご存知
でしょう。.cap ファイルを解釈して読み取るサードパーティ製アプリは数多くありますが、コマンドラインにネイティブに組み込まれている機能があれば、キャプチャしたパケットファイルをスキャンするだけのために別のアプリを使う必要はほとんどありません。

* ここではMac OS Xの.capファイルの読み取りに焦点を当てていますが、tcpdumpコマンドはLinuxのほぼすべてのバージョンにも存在するため、多くの種類のUnixでほぼ汎用的なコマンドラインユーティリティとなっています。念のためご留意ください。