Wiresharkのお供！captypeコマンド徹底解説 ✨

キャプチャファイルの形式をサクッと確認しよう

はじめに：captypeって何？ 🤔

ネットワーク分析の現場で広く使われているWireshark。その強力なGUIは多くの人に知られていますが、実は便利なコマンドラインツールもたくさん同梱されています。その中でも今回は、captypeというコマンドにスポットライトを当ててみましょう。

captypeは、Wiresharkスイートに含まれるシンプルなコマンドラインユーティリティです。その主な役割は、指定されたキャプチャファイルがどの形式で保存されているかを特定し、表示することです。ネットワークキャプチャファイルには、pcap、pcapng、NetMonなど、様々な形式が存在します。ファイル名だけでは判別がつかない場合や、スクリプトで自動的にファイル形式をチェックしたい場合に、captypeは非常に役立ちます 🛠️。

例えば、「拡張子のないキャプチャファイルをもらったけど、これってどのツールで開けるんだっけ？」「大量のキャプチャファイルの中から、特定の形式のファイルだけを処理したい」といったシナリオで活躍します。

この記事では、captypeの基本的な使い方から、少し応用的なテクニックまで、詳しく解説していきます。この記事を読めば、あなたもcaptypeマスターになれるはずです！ 💪

captypeの基本的な使い方 💻

captypeの使い方は非常に簡単です。ターミナルやコマンドプロンプトを開き、以下のようにコマンドを実行します。

captype <ファイル名1> [<ファイル名2> ...]

<ファイル名> の部分に、形式を知りたいキャプチャファイルを指定します。複数のファイルを同時に指定することも可能です。

実行例：

例えば、example.pcapng というファイルの形式を知りたい場合は、次のように実行します。

captype example.pcapng

すると、以下のような出力が得られます（ファイルがpcapng形式の場合）。

example.pcapng: pcapng

ファイル名とその形式がコロン（:）区切りで表示されます。シンプルでわかりやすいですね！ 😊

複数のファイルを指定した場合も見てみましょう。capture1.pcap（libpcap形式）と log.etl（Microsoft Network Monitor形式）があるとします。

captype capture1.pcap log.etl unknown_file.dat

出力は以下のようになります。

capture1.pcap: pcap
log.etl: NetMon capture
unknown_file.dat: unknown

このように、それぞれのファイル形式が一行ずつ表示されます。もしcaptypeが認識できないファイル形式の場合は、unknown と表示されます。

ポイント： captypeはファイル名の拡張子に依存しません。ファイルの内容を直接解析して形式を判断するため、例えば .pcap という拡張子が付いていても、中身がpcapng形式であれば pcapng と正しく表示します。また、gzip、zstd、lz4で圧縮されたキャプチャファイルも自動的に解凍して形式を判別してくれます。これは非常に便利ですね！ 👍

captypeのオプション解説 ⚙️

captypeは非常にシンプルなツールであり、多くのオプションはありません。主に以下の2つのオプションが用意されています。

オプション	説明
`-h`, `--help`	captypeの簡単な使い方と利用可能なオプションを表示して終了します。
`-v`, `--version`	captypeのバージョン情報（Wiresharkのバージョン情報を含む）を表示して終了します。

ヘルプオプションの実行例：

captype -h

実行すると、以下のようなヘルプメッセージが表示されます（バージョンによって多少表示が異なる場合があります）。

Captype (Wireshark) 4.x.x (Git commit xxxxxxxxxx)
Print the file types of capture files.
See https://www.wireshark.org for more information.

Usage: captype [options] <infile> ...

Miscellaneous:
  -h, --help                   display this help and exit
  -v, --version                display version info and exit

バージョンオプションの実行例：

captype -v

実行すると、より詳細なバージョン情報が表示されます。これには、Wireshark本体のバージョン、リンクされているライブラリ（例：libpcap）のバージョンなどが含まれます。

Captype (Wireshark) 4.x.x (Git commit xxxxxxxxxx)

Copyright 1998-202x Gerald Combs <gerald@wireshark.org> and contributors.
Licensed under the GNU GPLv2. See https://www.gnu.org/licenses/old-licenses/gpl-2.0.html
for license details.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

Compiled (64-bit) with GLib 2.xx.x, with libpcap 1.xx.x (with TPACKET_V3), with
POSIX capabilities (Linux), with libnl 3, with zlib 1.x.x, with lz4 1.x.x,
with zstd 1.x.x.

Running on Linux 5.xx.x-generic, with Intel(R) Core(TM) i7-xxxx CPU @ x.x0GHz
(with SSE4.2), with xx GiB of physical memory, with locale C.UTF-8, with light
display mode, without HiDPI, with libpcap 1.xx.x (with TPACKET_V3), with zlib
1.x.x, with lz4 1.x.x, with zstd 1.x.x.

トラブルシューティングや、特定のバージョンでの動作を確認したい場合に役立ちます。

また、公式マニュアルページ ([3]) によると、内部的にはより詳細な診断オプション（ログレベルの制御など）も存在しますが、これらは通常のエンドユーザーが意識する必要はほとんどありません。デバッグや開発目的で使用されることが主です。

captypeのユースケースと実践例 🚀

captypeはシンプルながら、様々な場面で活用できます。具体的なユースケースをいくつか見てみましょう。

1. スクリプトによるファイル形式の自動判別

大量のキャプチャファイルを扱う際、特定の形式のファイルだけを処理したい場合があります。例えば、pcapng形式のファイルだけをeditcapコマンドで編集したい、といったケースです。

以下は、カレントディレクトリにある全ての.cap拡張子のファイルに対してcaptypeを実行し、pcapng形式であればそのファイル名を表示する簡単なシェルスクリプトの例です。

#!/bin/bash

# カレントディレクトリの .cap ファイルをループ処理
for file in *.cap; do
  # ファイルが存在するか確認
  if [ -f "$file" ]; then
    # captypeでファイル形式を取得
    file_type=$(captype "$file" | cut -d':' -f2 | sed 's/^[ \t]*//;s/[ \t]*$//')

    # ファイル形式が pcapng かどうかをチェック
    if [ "$file_type" == "pcapng" ]; then
      echo "$file は pcapng 形式です。"
      # ここで editcap などの処理を追加できる
      #例: editcap "$file" "${file%.cap}_edited.pcapng"
    fi
  fi
done

echo "処理が完了しました。"

このスクリプトでは、captypeの出力からファイル形式の部分だけを抽出し（cutとsedを使用）、それがpcapngと一致するかどうかを比較しています。このように、captypeの出力を他のコマンドと組み合わせることで、ファイル形式に基づいた自動処理を実現できます。

2. 不明なキャプチャファイルの形式確認

他人から受け取ったキャプチャファイルや、古いプロジェクトのファイルなど、拡張子が付いていなかったり、拡張子が内容と一致しない場合があります。このような場合に、captypeを使えば簡単に正しいファイル形式を確認できます。

captype mysterious_capture_file

出力結果を見れば、そのファイルがWiresharkで開ける形式なのか、あるいは他のツールが必要な形式なのかを判断する手助けになります。

3. 教育・学習目的での利用

ネットワーク分析を学び始めたばかりの初心者にとって、様々なキャプチャファイル形式が存在することを理解するのは重要です。captypeを使って、手元にあるサンプルファイルがどの形式なのかを確認することで、ファイル形式による違い（例えば、pcapとpcapngの機能差など）への理解を深めることができます。

# 古い形式のpcapファイル
captype old_capture.pcap
# => old_capture.pcap: pcap

# 新しい形式のpcapngファイル
captype new_capture.pcapng
# => new_capture.pcapng: pcapng

# Microsoft Network Monitor形式
captype netmon_log.cap
# => netmon_log.cap: NetMon capture

captypeが認識できるファイル形式 📚

captypeは、Wiresharkがサポートする多くのキャプチャファイル形式を認識できます。Wiresharkは非常に多くの形式に対応しており、その数は年々増えています。以下は、captypeが認識できる代表的なファイル形式の一部です（完全なリストではありません）。

形式名 (captypeでの表示例)	説明	関連ツール/ベンダー
`pcap`	libpcap形式。最も広く使われている標準的な形式の一つ。	tcpdump, Wireshark など多数
`pcapng`	PCAP Next Generation形式。pcapの後継で、複数インターフェースの同時キャプチャ情報やコメントなどを格納できる高機能な形式。現在のWiresharkのデフォルト保存形式。	Wireshark など
`NetMon capture`	Microsoft Network Monitor形式。	Microsoft Network Monitor
`Nai Sniffer (compressed)`	Network Associates (旧NAI、現McAfee) のSniffer形式（圧縮）。	NAI Sniffer
`Nai Sniffer (uncompressed)`	Network Associates のSniffer形式（非圧縮）。	NAI Sniffer
`Sun snoop`	Sun Microsystems の snoop コマンド形式。	snoop (Solaris)
`HP-UX nettl`	HP-UX の nettl 形式。	nettl (HP-UX)
`Visual Networks Visual UpTime`	Visual Networks (現Fluke Networks) の形式。	Visual Networks
`Network Instruments Observer`	Network Instruments (現Viavi Solutions) の Observer 形式。	Observer
`Cisco Secure IDS Iplog`	Cisco Secure IDS の iplog 形式。	Cisco Secure IDS
`BER`	BER (Basic Encoding Rules) 形式。ASN.1エンコーディングの一種。	–
`Catapult DCT2000`	Catapult Communications の DCT2000 形式。	Catapult DCT2000
`ERF`	Endace ERF (Extensible Record Format)。	Endace

注意上記リストは一部であり、Wiresharkのバージョンによってサポートされる形式は異なります。最新かつ完全なリストについては、Wiresharkの公式ドキュメントやwireshark -hコマンドの出力などを参照してください。

captypeはWiresharkのファイル読み込みライブラリ（Wiretapライブラリ）を使用しているため、基本的にWiresharkで開けるファイルであればcaptypeでも形式を認識できると考えて良いでしょう。

参考: Wireshark 公式サイトのコマンドラインツール一覧ページ: https://www.wireshark.org/docs/man-pages/

注意点とTips 💡

1. ファイルが存在しない場合のエラー

存在しないファイル名を指定すると、captypeはエラーメッセージを出力します。

captype no_such_file.pcap

captype: The file "no_such_file.pcap" doesn't exist.

スクリプトなどで使用する場合は、ファイルが存在するかどうかを事前にチェックするか、エラー出力を適切にハンドリングすると良いでしょう。

2. 読み取り権限がない場合のエラー

ファイルは存在するものの、読み取り権限がない場合もエラーとなります。

# permission_denied_file は読み取り権限がないファイルとする
captype permission_denied_file

captype: The file "permission_denied_file" could not be opened: Permission denied.

こちらもスクリプトでの自動処理時には注意が必要です。

3. 破損したファイルや非キャプチャファイル

ファイルが破損している場合や、そもそもキャプチャファイルではない場合（例えば、ただのテキストファイルなど）、captypeは unknown と表示するか、あるいはファイル形式を誤認する可能性もゼロではありません。基本的にはファイルヘッダなどの情報から判断するため、多くの場合 unknown となります。

# text_file.txt はただのテキストファイルとする
captype text_file.txt

text_file.txt: unknown

4. capinfosとの違い

Wiresharkスイートには、captypeと似た名前のcapinfosというコマンドもあります。

captype: ファイルの「形式」を表示するシンプルなツール。
capinfos: ファイル形式に加え、パケット数、キャプチャ時間、ファイルサイズ、平均パケットレートなど、キャプチャファイルに関する「詳細情報」を表示する多機能なツール。

単にファイル形式だけを知りたい場合はcaptypeが手軽ですが、より詳しい情報が必要な場合はcapinfosを使うのが適切です。

まとめ 🏁

今回は、Wiresharkスイートに含まれるコマンドラインツールの一つ、captypeについて解説しました。

captypeのポイント：

キャプチャファイルの形式を特定し、表示するコマンドラインツール。
基本的な使い方は captype <ファイル名>。
ファイル拡張子に依存せず、内容から形式を判断する。
gzip, zstd, lz4 で圧縮されたファイルも自動で認識する。
スクリプトでのファイル形式判定や、不明なファイルの形式確認に便利。
オプションは -h (ヘルプ) と -v (バージョン情報) が主。
Wiresharkがサポートする多くのファイル形式に対応。

captypeは地味ながらも、ネットワーク分析の作業効率を高めてくれる便利なツールです。特にスクリプトと組み合わせることで、その真価を発揮します。普段GUIのWiresharkしか使わないという方も、ぜひ一度コマンドラインからcaptypeを試してみてはいかがでしょうか？きっと、あなたのネットワーク分析ライフが少し豊かになるはずです 😉。

captypeや他のWiresharkコマンドラインツールを活用して、よりスマートなパケット解析を目指しましょう！ ✨

参考情報

この記事を作成するにあたり、以下の情報を参考にしました。

Wireshark Command Line Manual Pages: https://www.wireshark.org/docs/man-pages/ (captypeの公式マニュアルページが含まれています)
Kali Linux Tools – wireshark: https://www.kali.org/tools/wireshark/ (Kali LinuxにおけるWiresharkツールの情報)