PCAP: パケット キャプチャとは何か、知っておくべきこと

PCAP とは？

Packet Capture または PCAP (libpcap とも呼ばれます) は、OSI モデル層 2-7 からネットワーク パケットデータをライブで取得するアプリケーション プログラム インターフェイス (API) です。 Wireshark のようなネットワーク アナライザは、ネットワークからパケット データを収集し記録するために、.pcap ファイルを作成します。 PCAP には、Libpcap、WinPcap、PCAPng などのさまざまな形式があります。

これらの PCAP ファイルは、TCP/IP および UDP ネットワーク・パケットを表示するために使用することができます。 ネットワーク トラフィックを記録したい場合は、.pcap ファイルを作成する必要があります。 .pcapファイルは、Wiresharkやtcpdumpなどのネットワークアナライザやパケットスニッフィングツールを使用して作成することができます。 この記事では、PCAP とは何か、どのように機能するかを見ていきます。

なぜ PCAP を使用する必要があるのですか？

PCAP は、ファイル解析やネットワーク トラフィックを監視するための貴重なリソースです。 Wireshark のようなパケット収集ツールを使用すると、ネットワーク トラフィックを収集し、人間が読める形式に変換することができます。 PCAP がネットワークの監視に使用される理由はたくさんあります。 最も一般的なものには、帯域幅の使用状況の監視、不正な DHCP サーバーの特定、マルウェアの検出、DNS 解決、インシデント対応などがあります。

ネットワーク管理者やセキュリティ研究者にとって、パケット ファイル分析は、ネットワーク侵入やその他の疑わしい活動を検出するための良い方法となります。 たとえば、ソースがネットワークにたくさんの悪意のあるトラフィックを送信している場合、ソフトウェア エージェント上でそれを識別し、攻撃を修正するための行動をとることができます。

パケット スニファーはどのように機能するか

PCAPファイルをキャプチャするには、パケット スニファーが必要です。 パケット スニッファーはパケットをキャプチャし、それを理解しやすい方法で表示します。 PCAPスニッファを使用する場合、最初に行う必要があるのは、どのインターフェイスでスニッフィングを行うかを特定することです。 Linuxデバイスを使用している場合、これらはeth0またはwlan0になる可能性があります。 ifconfigコマンドでインターフェースを選択できます。

どのインターフェースをスニッフィングするかわかったら、監視したいトラフィックの種類を選択できます。 例えば、TCP/IP パケットだけを監視したい場合、そのためのルールを作成することができます。

Using Wireshark for PCAP file capture and analysis

たとえば、Wiresharkでは、キャプチャ・フィルタと表示フィルタにより、表示するトラフィックの種類をフィルタリングすることが可能です。 キャプチャ・フィルタは、キャプチャするトラフィックをフィルタリングし、ディスプレイ・フィルタは、表示するトラフィックをフィルタリングすることができます。 たとえば、ネットワーク・プロトコル、フロー、ホストをフィルタリングできます。

フィルタリングされたトラフィックを収集したら、パフォーマンスの問題を調べ始めることができます。 より対象を絞った分析のために、ソース・ポートおよび宛先ポートに基づいてフィルタリングし、特定のネットワーク要素をテストすることもできます。 キャプチャされたすべてのパケット情報は、ネットワーク・パフォーマンスの問題のトラブルシューティングに使用することができます。

Versions of PCAP

前述のように、PCAP ファイルには次のような多くの異なるタイプがあります：

• Libpcap
• WinPcap
• PCAPng
• Npcap

それぞれのバージョンには独自の使用ケースがあり、異なるタイプのネットワーク監視ツールが異なる形式の PCAP ファイルをサポートしています。 たとえば、Libpcap は、Linux および Mac OS ユーザー向けに設計された、移植可能なオープンソースの c/C++ ライブラリです。 Libpcapは、管理者がパケットをキャプチャしてフィルタリングすることを可能にします。 tcpdump のようなパケット・スニッフィング・ツールは Libpcap 形式を使用します。

Windows ユーザーには、WinPcap 形式があります。 WinPcap は、Windows デバイス用に設計された、もうひとつのポータブルなパケットキャプチャライブラリです。 WinpCap は、ネットワークから収集したパケットをキャプチャしてフィルタリングすることもできます。

Pcapng、または .pcap Next Generation Capture File Format は、Wireshark にデフォルトで付属している PCAP のより高度なバージョンです。 Pcapngは、データをキャプチャして保存することができます。 Pcapng が収集するデータの種類には、拡張タイムスタンプ精度、ユーザー コメント、およびユーザーに追加情報を提供するキャプチャ統計が含まれます。

Wiresharkなどのツールは、PCAPより多くの情報を記録できるため、PCAPng ファイルを使用しています。 しかし、PCAPng の問題は、PCAP ほど多くのツールと互換性がないことです。

Npcap は、最も有名なパケット・スニッフィング・ベンダーの 1 つである Nmap によって製作された Windows 用のポータブル・パケット・スニッフィング・ライブラリです。 このライブラリは、WinpCap よりも高速で安全です。 Npcapは、Windows 10とループバックパケットキャプチャインジェクションをサポートしているので、ループバックパケットを送信してスニッフィングすることができます。 NpcapはWiresharkでもサポートされています。

パケットキャプチャとPCAPの利点

パケットキャプチャの最大の利点は、可視性が付与されることです。 パケットデータを使用して、ネットワーク問題の根本原因を突き止めることができます。 トラフィックソースを監視し、アプリケーションやデバイスの使用データを特定することができます。 PCAP データは、セキュリティ イベント後にネットワークの機能を維持するために、パフォーマンスの問題を発見して解決するのに必要なリアルタイムの情報を提供します。

たとえば、悪意のあるトラフィックやその他の悪意のある通信の流れを追跡することによって、マルウェアがネットワークに侵入した場所を特定することができます。 PCAP とパケット キャプチャ ツールがなければ、パケットを追跡してセキュリティ リスクを管理することはより困難です。

シンプルなファイル形式である PCAP には、Windows、Linux、および Mac OS 用のさまざまなバージョンがあって、考えられるほとんどすべてのパケット スニッフィング プログラムと互換性があるという利点もあります。

パケット キャプチャと PCAP の欠点

パケット キャプチャは貴重な監視手法ですが、その限界もあります。 パケット分析では、ネットワーク トラフィックを監視することができますが、すべてを監視できるわけではありません。 多くのサイバー攻撃はネットワーク トラフィックを通じて行われるわけではないので、他のセキュリティ対策を講じる必要があります。

たとえば、一部の攻撃者は USB やその他のハードウェア ベースの攻撃を使用します。 その結果、PCAP ファイル解析はネットワーク セキュリティ戦略の一部を構成する必要がありますが、それが唯一の防御線であるべきではありません。

パケット キャプチャのもう 1 つの大きな障害は、暗号化です。 多くのサイバー攻撃者は、暗号化された通信を使用して、ネットワークに攻撃を仕掛けます。 暗号化により、パケット・スニファーはトラフィック・データにアクセスできなくなり、攻撃を特定できなくなります。 つまり、PCAP に依存している場合、暗号化された攻撃はレーダーをかいくぐることになります。

また、パケット・スニファーの配置場所にも問題があります。 パケット スニファがネットワークの端に配置されている場合、ユーザーの可視性が制限されます。 例えば、DDoS攻撃やマルウェアの発生を発見できない可能性があります。 さらに、ネットワークの中心でデータを収集する場合でも、要約データではなく、会話全体を収集していることを確認することが重要です。

Open Source Packet Analysis Tool: How does Wireshark Use PCAP Files?

Wiresharkは世界で最も人気のあるトラフィック・アナライザーです。 Wiresharkは、ネットワークスキャンから取得されたパケットデータを記録するために、.pcapファイルを使用します。 パケットデータは、.pcap ファイル拡張子を持つファイルに記録され、ネットワーク上のパフォーマンスの問題やサイバー攻撃を見つけるために使用できます。

言い換えれば、PCAP ファイルは、Wireshark を通じて表示できるネットワークデータのレコードを作成します。 そして、ネットワークの状態を評価し、対応する必要のあるサービスの問題があるかどうかを特定できます。

ここで重要なのは、Wireshark が .pcap ファイルを開くことができる唯一のツールではない、ということです。 他の広く使用されている代替ツールには、tcpdump および WinDump があり、これらも PCAP を使用してネットワーク パフォーマンスを拡大鏡で観察します。

Proprietary Packet Analysis Tool Example

SolarWinds Network Performance Monitor (Free TRIAL)

SolarWinds Network Performance Monitor は、PCAP データを取得できるネットワーク監視ツールの一例です。 このソフトウェアをデバイスにインストールし、ネットワーク全体から取得したパケット データを監視することができます。 パケットデータにより、ネットワークの応答時間を測定し、攻撃を診断することができます。

ユーザーは、ネットワークパフォーマンスの概要を含むQuality of Experienceダッシュボードを通じてパケットデータを表示することができます。 グラフィカルな表示により、サイバー攻撃を示すインターネット トラフィックの急増や悪意のあるトラフィックを簡単に特定できます。

また、プログラムのレイアウトにより、ユーザーは処理中のトラフィック量によってアプリケーションを区別することができます。 平均ネットワーク応答時間、平均アプリケーション応答時間、総データ量、および総トランザクション数などの要素により、ユーザーは、ライブで発生するネットワークの変更に対応することができます。

SolarWinds Network Performance Monitor Download 30-day FREE Trial

PCAP File Analysis: ネットワークトラフィックの攻撃をキャッチする

パケットスニッフィングは、ネットワークを持つすべての組織で必要不可欠なものです。 PCAP ファイルは、ネットワーク管理者がパフォーマンスを顕微鏡で観察し、攻撃を発見するために使用できるリソースの 1 つです。

Wireshark や tcpdump のようなオープン ソースのパケット キャプチャ ツールは、ネットワーク管理者が大金をかけずにネットワーク パフォーマンスの低下を修復するためのツールを提供します。 また、より高度なパケット分析が必要な企業向けに、さまざまな専用ツールもあります。

PCAPファイルの力により、ユーザーはパケット スニファーにログインしてトラフィック データを収集し、ネットワーク リソースがどこで消費されたかを確認することができます。

PCAP File Capture FAQs