editcap コマンド徹底解説：Wireshark キャプチャファイル編集の達人になろう！🔧

巨大なpcap/pcapngファイルの操作に困っていませんか？ editcapがあなたの救世主になります！

はじめに：editcap とは？ 🤔

ネットワークのトラブルシューティングや解析を行う際、tcpdump や Wireshark GUI でパケットキャプチャを取得することは日常茶飯事ですよね。しかし、長時間キャプチャしたファイルはギガバイト単位になることも珍しくなく、そのまま Wireshark で開こうとすると、メモリ不足になったり、応答がなくなったりして困ることがあります。😭

そんな時に活躍するのが、Wireshark スイートに含まれるコマンドラインツール editcap です！ editcap は、その名の通りキャプチャファイル (pcap や pcapng 形式) を「編集」するための強力なツールです。GUI を使わずに、コマンドラインから様々な操作を行えるため、特に大きなファイルの扱いや、スクリプトによる自動処理に適しています。

editcap の主な機能：

📁 キャプチャファイルの分割（パケット数や時間間隔）
⏰ 特定の時間範囲のパケット抽出
🔢 特定のパケット番号の抽出・除外
🗑️ 重複パケットの削除
📄 ファイル形式の変換 (pcap, pcapng, snoop など)
✂️ パケットのスナップ長（キャプチャサイズ）の変更
📝 パケットへのコメント追加
⏱️ タイムスタンプの調整

この記事では、editcap の基本的な使い方から、便利なオプション、実践的なユースケースまで、徹底的に解説していきます。この記事を読めば、あなたも editcap を使いこなし、巨大なキャプチャファイルも効率的に扱えるようになるはずです！🚀

editcap は Wireshark をインストールすると通常一緒にインストールされます。Kali Linux にも標準で含まれています。

基本的な使い方 🛠️

editcap の基本的なコマンド構文は非常にシンプルです。

editcap [オプション] <入力ファイル> <出力ファイル> [パケット番号 or 範囲 ...]

[オプション]: 実行したい操作を指定します (後述)。
<入力ファイル>: 編集したい元のキャプチャファイル (例: capture.pcapng)。- を指定すると標準入力から読み込みます。
<出力ファイル>: 編集結果を保存するファイル名 (例: edited_capture.pcap)。- を指定すると標準出力へ書き出します。入力ファイルと同じ名前は指定できません。
[パケット番号 or 範囲 ...]: (オプション) 処理対象から除外したいパケット番号や範囲を指定します。スペース区切りで複数指定可能です (例: 1 5 10-20)。-r オプションと組み合わせると、逆に指定したパケットのみを出力します。

簡単な例：ファイル形式の変換

最も簡単な例として、pcapng 形式のファイルを古い pcap 形式に変換してみましょう。

editcap -F pcap input.pcapng output.pcap

-F オプションで出力ファイル形式を指定します。利用可能な形式は editcap -F (オプション値なし) で確認できます。

💡 ヒント: editcap はデフォルトで pcapng 形式で出力します。入力ファイルの形式は自動的に検出されます。

主要なオプション解説 ⚙️

editcap の真価は、その豊富なオプションにあります。ここでは、特によく使われる主要なオプションを詳しく見ていきましょう。

ファイル分割

-c <ファイルごとのパケット数>: パケット数で分割

指定したパケット数ごとにファイルを分割します。巨大なファイルを扱いやすいサイズに分割するのに便利です。

# 100,000 パケットごとにファイルを分割する
editcap -c 100000 large_capture.pcapng split_capture.pcapng

このコマンドを実行すると、split_capture_00000_YYYYMMDDHHMMSS.pcapng, split_capture_00001_YYYYMMDDHHMMSS.pcapng, … のようなファイルが生成されます。ファイル名には連番と、そのファイルの最初のパケットのタイムスタンプが付与されます（タイムスタンプ情報がない場合は連番のみ）。

-i <ファイルごとの秒数>: 時間間隔で分割

指定した秒数ごとにファイルを分割します。特定の時間帯の解析に集中したい場合に役立ちます。秒数は小数点も指定可能です (例: 0.5)。

# 60 秒 (1分) ごとにファイルを分割する
editcap -i 60 large_capture.pcapng split_capture_by_time.pcapng

こちらも -c と同様に、連番とタイムスタンプが付与されたファイル名で出力されます。

⚠️ 注意: -c と -i オプションは同時に使用できません。

時間範囲指定

-A <開始時刻>: 指定時刻以降のパケットを抽出

-B <終了時刻>: 指定時刻以前のパケットを抽出

特定の期間のパケットだけを抽出したい場合に、これらのオプションを組み合わせて使用します。時刻のフォーマットは YYYY-MM-DD HH:MM:SS または ISO 8601形式 (YYYY-MM-DDTHH:MM:SS[.nnnnnnnnn][Z|+-hh:mm])、もしくは Unix エポックタイムスタンプ (秒[.ナノ秒]) で指定します。

# 2025年3月30日 10:00:00 から 10:05:00 までのパケットを抽出
editcap -A "2025-03-30 10:00:00" -B "2025-03-30 10:05:00" input.pcapng output_ช่วงเวลา.pcapng

# Unixエポックタイムスタンプで指定 (例: 1743136800 = 2025-03-30 10:00:00 UTC)
# Unixエポックタイムスタンプで指定 (例: 1743137100 = 2025-03-30 10:05:00 UTC)
editcap -A 1743136800 -B 1743137100 input.pcapng output_epoch.pcapng

-A は指定時刻以降 (指定時刻を含む)、-B は指定時刻以前 (指定時刻を含まない) のパケットが対象となります。

💡 ヒント: capinfos -a -e <ファイル名> コマンドでキャプチャファイルの開始・終了時刻を確認できます。タイムゾーンに注意してください。Unixエポックタイムスタンプは常にUTCです。

パケット番号指定

-r: 指定したパケット番号のみを保持 (他を削除)

コマンドの末尾に指定したパケット番号や範囲を、デフォルトでは除外しますが、-r オプションをつけると逆に、指定したパケットのみを保持します。

# パケット番号 100 から 200 までを抽出する
editcap -r input.pcapng output_range.pcapng 100-200

# パケット番号 1, 5, および 10 から 20 までを抽出する
editcap -r input.pcapng output_selected.pcapng 1 5 10-20

(オプションなし): 指定したパケット番号を除外

-r をつけずにパケット番号を指定すると、それらのパケットが出力ファイルから除外されます。

# パケット番号 1000 を削除する
editcap input.pcapng output_deleted.pcapng 1000

# パケット番号 1, 5, および 10 から 20 までを削除する
editcap input.pcapng output_excluded.pcapng 1 5 10-20

重複パケット削除

ネットワーク上で同じパケットが複数回収集されることがあります (例: SPANポートの構成ミス)。重複パケットは解析のノイズになるため、削除すると便利です。

-d: 直近の4パケットと比較して重複削除

現在のパケットの長さとMD5ハッシュを、直前の4パケットと比較し、一致すれば現在のパケットを削除します。-D 5 と同等です。

editcap -d input_with_duplicates.pcapng output_dedup.pcapng

-D <比較ウィンドウサイズ>: 指定した数の直近パケットと比較

-d よりも多くのパケットと比較したい場合に、ウィンドウサイズを指定します (0〜1,000,000)。ウィンドウサイズが大きいほど、より多くの重複を検出できる可能性がありますが、処理時間とメモリ使用量が増加します。

# 直近 100 パケットと比較して重複削除
editcap -D 101 input_with_duplicates.pcapng output_dedup_large_window.pcapng

⚠️ 注意: -D 0 -V (冗長表示) と組み合わせると、各パケットのMD5ハッシュを表示できます。これは重複検出のデバッグやスクリプトでの利用に役立ちますが、実際の出力ファイルは生成されません（出力ファイルに /dev/null や NUL を指定）。

-w <比較時間ウィンドウ(秒)>: 指定した時間内のパケットと比較

時間ベースで重複を比較します。現在のパケットのタイムスタンプから指定した秒数前までのパケットと比較し、重複があれば削除します。非常に短い時間間隔での重複検出に有効です。秒数は小数点 (例: 0.000001) で指定します。

# 0.1 秒以内に同じパケットがあれば削除
editcap -w 0.1 input_with_duplicates.pcapng output_dedup_time_window.pcapng

🚨 重要: -w オプションは、パケットが時系列順に並んでいることを前提としています。順序がバラバラの場合、正しく重複を検出できない可能性があります。また、大きなファイルや長い時間ウィンドウを指定すると、処理に非常に時間がかかる場合があります。重複削除オプション (-d, -D, -w) は、-V (冗長表示) 以外のオプション、特に -r, -t, -S と組み合わせると期待通りに動作しない可能性が高いです。

-I <無視するバイト数>: 先頭Nバイトを無視して比較

重複比較 (MD5ハッシュ計算) の際に、パケットの先頭から指定したバイト数を無視します。例えば、異なるルーターでキャプチャした場合など、MACアドレスだけが異なるような重複パケットを削除するのに役立ちます。

# Ethernetヘッダ(14バイト)を除外して重複比較
editcap -d -I 14 input_diff_mac.pcapng output_dedup_ignore_mac.pcapng

--skip-radiotap-header: Radiotapヘッダを無視して比較

無線LANキャプチャで、複数の無線インターフェースが同じチャネルのパケットをキャプチャした場合、Radiotapヘッダの内容が異なるだけで実質的に同じパケットが重複して記録されることがあります。このオプションを使うと、Radiotapヘッダを除外して重複比較を行います。

editcap -d --skip-radiotap-header input_wifi_dup.pcapng output_dedup_no_radiotap.pcapng

ファイル形式変換

-F <出力ファイル形式>: 出力形式を指定

出力するキャプチャファイルの形式を指定します。デフォルトは pcapng です。

# Sun snoop 形式で出力する
editcap -F snoop input.pcapng output.snoop

# 利用可能な形式を表示
editcap -F

-T <カプセル化タイプ>: 出力のカプセル化タイプを指定

出力ファイルのリンク層ヘッダタイプ（カプセル化タイプ）を指定します。デフォルトは入力ファイルと同じです。例えば、Linux SLL (cooked capture) 形式から Ethernet 形式に変換したい場合などに使用します。

# Ethernet (EN10MB) 形式で出力する
editcap -T ether input_linux_sll.pcapng output_ethernet.pcapng

# 利用可能なタイプを表示
editcap -T

パケット操作

-s <スナップ長>: パケットを指定サイズで切り詰める (Snaplen)

各パケットを指定したバイト数 (スナップ長) で切り詰めます。ヘッダ情報だけが必要で、ペイロードデータが不要な場合や、ファイルサイズを削減したい場合に便利です。

# 各パケットを先頭 64 バイトに切り詰める
editcap -s 64 input.pcapng output_snaplen64.pcapng

0 を指定すると、デフォルトの大きな値 (例: 65535 や 262144) が使用され、事実上パケット全体をキャプチャします。

-C [オフセット:]<切り捨て長>: パケットの先頭または末尾を切り捨てる (Chop)

各パケットの先頭または末尾から指定したバイト数を切り捨てます。正の値は先頭から、負の値は末尾からのバイト数を示します。オフセットを指定すると、その位置からの切り捨てになります。

# 各パケットの先頭 14 バイト (Ethernetヘッダ) を切り捨てる
editcap -C 14 input.pcapng output_chopped_header.pcapng

# 各パケットの末尾 4 バイト (FCSなど) を切り捨てる
editcap -C -4 input.pcapng output_chopped_trailer.pcapng

このオプションは、トンネリングヘッダの削除や、VLANタグの除去、ファイル形式変換時に末尾に付加される不要データの削除などに使えます。一度の実行で、正の値と負の値をそれぞれ指定することで、最大2箇所の切り捨ても可能です。

-L: 切り捨て/切り詰め時にフレーム長を調整

-s や -C でパケットデータを変更した場合に、pcapヘッダに記録されているフレーム長（Packet Length）も実際のデータ長に合わせて調整します。

-t <時間調整値(秒)>: タイムスタンプを調整

選択されたすべてのパケットのタイムスタンプを指定した秒数だけずらします。正の値で未来へ、負の値で過去へ調整します。秒数は小数点も指定可能です。

# 全パケットのタイムスタンプを 3600 秒 (1時間) 進める
editcap -t 3600 input.pcapng output_time_adjusted.pcapng

# 全パケットのタイムスタンプを 0.5 秒戻す
editcap -t -0.5 input.pcapng output_time_adjusted_back.pcapng

-S <厳密な時間調整値(秒)>: タイムスタンプを厳密な昇順にする

パケットのタイムスタンプが前のパケットより古い（時系列が逆転している）場合に、タイムスタンプを調整して厳密な昇順にします。調整値には通常 0 または非常に小さい正の値 (0.000001 など) を指定します。0 を指定すると、前のパケットと同じタイムスタンプになります。負の値を指定すると、各パケット間の時間差が指定値の絶対値になるように調整されます。-0 を指定すると、すべてのパケットが最初のパケットと同じタイムスタンプになります。

# タイムスタンプが逆転している場合、前のパケットと同じ時刻にする
editcap -S 0 input_disordered_time.pcapng output_strict_time.pcapng

-E <エラー発生確率>: パケットデータにランダムエラーを注入

出力ファイルの各データバイトを、指定した確率 (0.0 〜 1.0) でランダムに変更します。プロトコルディセクタのファズテスト（異常系テスト）などに使用します。

# 各バイトに 2% の確率でエラーを発生させる
editcap -E 0.02 input.pcapng output_fuzzed.pcapng

その他

-v: 冗長表示 (Verbose)

処理の進行状況や、重複パケット削除時のMD5ハッシュなどを標準エラー出力に表示します。

-h: ヘルプ表示

オプションの一覧と簡単な説明を表示します。

-V: バージョン表示

editcap のバージョン情報を表示します。

--capture-comment <コメント>: キャプチャファイルにコメントを追加

出力ファイル全体にコメントを追加します（ファイル形式が対応している場合、pcapngなど）。

--discard-capture-comment: 入力ファイルのキャプチャコメントを破棄

入力ファイルに付与されているキャプチャコメントを出力ファイルに引き継がないようにします。

-a <フレーム番号>:<コメント>: 特定のパケットにコメントを追加/置換

指定したフレーム番号のパケットにコメントを追加または置換します。スペースを含むコメントは引用符で囲みます。複数指定可能です。

editcap -a 100:"This is an important packet" input.pcapng output_commented.pcapng

--discard-packet-comments: 入力ファイルの全パケットコメントを破棄

入力ファイル内のすべてのパケットコメントを出力ファイルに引き継ぎません。

--preserve-packet-comments: 既存のパケットコメントを保持して追加

-a で新しいコメントを追加する際に、指定したフレーム番号に既に存在するコメントを破棄せず、保持した上で追加します。

ユースケースと実践例 💡

理論を学んだところで、次は editcap が実際にどのような場面で役立つのか、具体的なユースケースとコマンド例を見ていきましょう。

ケース1：巨大なキャプチャファイルを時間で分割する

シナリオ: 夜間に取得した 10GB のキャプチャファイル。そのまま開くのは困難なため、1時間ごとに分割したい。

# 3600 秒 (1時間) ごとにファイルを分割
editcap -i 3600 huge_capture.pcapng hourly_split.pcapng

➡️ これにより、hourly_split_00000_YYYYMMDDHHMMSS.pcapng, hourly_split_00001_YYYYMMDDHHMMSS.pcapng … といったファイルが生成され、特定の時間帯のファイルを個別に開いて解析できるようになります。

ケース2：サーバー障害発生前後の10分間のパケットだけを抽出する

シナリオ: サーバー障害が 2025年3月30日 15:30 頃に発生。原因調査のため、15:25 から 15:35 までのパケットを抽出したい。

editcap -A "2025-03-30 15:25:00" -B "2025-03-30 15:35:00" full_capture.pcapng incident_period.pcapng

➡️ 障害発生時間帯のパケットのみを含むファイルが得られ、効率的な解析が可能になります。

ケース3：重複パケットを削除して解析しやすくする

シナリオ: ミラーポートの設定ミスで、同じパケットが大量に重複してキャプチャされてしまった。これらを削除して、実際の通信量やシーケンスを正確に把握したい。

# 直近 4 パケットと比較して重複を削除
editcap -d duplicated_capture.pcapng cleaned_capture.pcapng

➡️ ノイズとなる重複パケットが除去され、よりクリーンなデータで解析を進められます。

ケース4：特定のツールで扱えるようにファイル形式を変換する

シナリオ: 最新の Wireshark で取得した pcapng ファイルを、古い pcap 形式しかサポートしていない解析ツールで読み込みたい。

editcap -F pcap input.pcapng output_legacy.pcap

➡️ 古いツールでも扱える形式に変換できます。逆に、古い pcap ファイルを pcapng に変換することも可能です (-F pcapng)。

ケース5：ペイロードを除去してファイルサイズを削減する

シナリオ: プロトコルヘッダの解析が目的で、大容量のペイロードデータは不要。ファイルサイズを小さくして扱いやすくしたい。

# 各パケットを先頭 128 バイトに切り詰める (スナップ長を設定)
# 必要に応じて -L オプションでフレーム長も調整
editcap -s 128 -L full_capture.pcapng header_only.pcapng

➡️ ファイルサイズが大幅に削減され、転送や読み込みが高速になります。

ケース6：シェルスクリプトで大量のファイルを一括処理する

シナリオ: 複数のディレクトリに分割保存された大量の pcap ファイルから、特定の期間のデータだけを抽出して、別のディレクトリにまとめたい。

#!/bin/bash

INPUT_DIR="/path/to/raw_captures"
OUTPUT_DIR="/path/to/extracted_captures"
START_TIME="2025-03-30 09:00:00"
STOP_TIME="2025-03-30 17:00:00"

mkdir -p "$OUTPUT_DIR"

find "$INPUT_DIR" -name "*.pcap" -o -name "*.pcapng" | while read infile; do
  filename=$(basename "$infile")
  outfile="$OUTPUT_DIR/extracted_$filename"
  echo "Processing $infile -> $outfile"
  editcap -A "$START_TIME" -B "$STOP_TIME" "$infile" "$outfile"
done

echo "Extraction complete."

➡️ このようなスクリプトを使えば、手作業では大変な大量ファイルの処理も自動化できます。

注意点とヒント ⚠️💡

オプションの組み合わせ: いくつかのオプションは互いに排他的 (例: -c と -i) であったり、組み合わせると予期しない動作をする可能性 (例: 重複削除オプションと -r, -t, -S) があります。man ページやヘルプ (editcap -h) で確認しましょう。
大文字/小文字の区別: オプションは大文字と小文字が区別されます (例: -v は冗長表示、-V はバージョン表示)。
ファイル名: 入力ファイルと出力ファイルには異なる名前を指定する必要があります。
時刻指定: -A, -B で時刻を指定する際は、キャプチャファイルのタイムスタンプのタイムゾーンに注意が必要です。capinfos -a -e <ファイル名> で確認できます。Unixエポックタイムスタンプは常にUTC基準です。
パフォーマンス: 巨大なファイルや複雑なオプション (特に -D や -w で大きなウィンドウを指定した場合) を使用すると、処理に時間がかかり、大量のメモリを消費することがあります。
エラーメッセージ: 何か問題が発生した場合、editcap はエラーメッセージを出力します。メッセージをよく読んで、原因を特定しましょう。-v オプションで詳細な情報を得ることも有効です。
pcap vs pcapng: pcapng はコメント機能や複数インターフェースのサポートなど、pcap よりも高機能です。可能であれば pcapng を使用し、互換性が必要な場合にのみ pcap に変換するのがおすすめです。ただし、pcapng のすべての情報を pcap に変換できるわけではありません。
パケット内容の編集は不可: editcap はファイル構造やメタデータ、パケットの選択・削除・切り詰めなどは行えますが、パケット内部のデータ（IPアドレスやポート番号など）を直接書き換えることはできません。そのような編集には tcprewrite (tcpreplay スイートの一部) や Ostinato などのツールが必要です。

👍 おすすめのワークフロー: まず capinfos でファイルの概要（期間、パケット数など）を確認し、次に editcap で必要な部分を抽出し、最後に Wireshark GUI や tshark で詳細な解析を行う、という流れが効率的です。

まとめ 🏁

editcap は、一見地味ながらも、パケットキャプチャファイルの操作において非常に強力で便利なコマンドラインツールです。ファイル分割、時間抽出、重複削除、フォーマット変換など、日常的な解析作業を大幅に効率化してくれます。

特に、巨大なキャプチャファイルを扱う際には、GUIツールだけでは限界があるため、editcap のような CUI ツールの活用が不可欠です。この記事で紹介したオプションやユースケースを参考に、ぜひ editcap を日々の業務に取り入れてみてください。

最初はオプションが多くて戸惑うかもしれませんが、よく使う機能をいくつか覚えておくだけでも、作業効率は格段に向上するはずです。💪

参考情報

より詳細な情報については、以下の公式ドキュメント等を参照してください。

Editcap Manual Page (Wireshark 公式): https://www.wireshark.org/docs/man-pages/editcap.html
Kali Linux Tools – wireshark: https://www.kali.org/tools/wireshark/ (editcap を含む Wireshark スイートのツール紹介)