randpkt入門：ランダムパケット生成ツールの徹底解説

ネットワークの分析やトラブルシューティングにおいて、Wiresharkは非常に強力で広く使われているツールです。しかし、Wiresharkスイートには、パケットキャプチャや分析だけでなく、ネットワークテストや学習に役立つ様々なユーティリティが含まれていることをご存知でしょうか？その一つが今回ご紹介するrandpktです。

randpktは、その名の通りランダムなパケットを生成するためのコマンドラインユーティリティです。一見すると地味なツールかもしれませんが、ネットワーク機器のストレステスト、侵入検知システム（IDS）や侵入防止システム（IPS）のルールテスト、パケットキャプチャツールの動作確認、あるいはネットワークプロトコルの学習など、様々な場面でその真価を発揮します。

この記事では、randpktの基本的な使い方から、少し応用的な活用方法まで、具体的なコマンド例を交えながら詳しく解説していきます。この記事を読めば、randpktをあなたのネットワークテストや学習の武器の一つとして使いこなせるようになるでしょう。

randpktは、Wiresharkプロジェクトによって開発された、指定された条件に基づいてランダムな内容を持つネットワークパケットを生成し、それらをキャプチャファイル（通常はpcapng形式）として保存するユーティリティです。主な目的は、意図的に「不正」または「予期しない」形式のパケットを生成することにあります。

なぜわざわざ不正なパケットを作るのでしょうか？ それは、ネットワーク機器やセキュリティシステム、パケット解析ツールなどが、予期せぬデータや規格外のパケットに遭遇した際に、どのように振る舞うかをテストするためです。現実のネットワークでは、設定ミス、ソフトウェアのバグ、あるいは悪意のある攻撃によって、標準規格に準拠しないパケットが流れる可能性があります。randpktを使えば、そのような状況を擬似的に作り出し、システムの堅牢性を評価することができるのです。

randpktの仕組み

randpktが特定のタイプのパケット（例えばARPやDNSなど）を生成する際、内部に保持しているそのタイプの「サンプルパケット」をベースにします。これは、ヘッダー情報など、そのプロトコルとして最低限認識されるための基本的な構造を含んでいます。

そして、このサンプルパケットの後ろに、ランダムなバイトデータを指定された最大サイズまで付加します。これにより、プロトコルヘッダーは一見正常に見えるものの、ペイロード部分（データ本体）がランダムな値で埋められた、ある種「壊れた」パケットが生成されます。

+---------------------+--------------------------------+
| サンプルパケット | ランダムなバイトデータ |
| (例: Ethernetヘッダ +| (指定された最大サイズまで付加) |
| ARPヘッダ) | |
+---------------------+--------------------------------+ 

例えば、-t arp オプションを指定してARPパケットを生成する場合、randpktはまずイーサネットヘッダ（タイプフィールドがARPを示す）を持つサンプルパケットを用意します。そして、そのARPヘッダの後に、-bオプションで指定された最大バイト数までのランダムなデータを追加します。この結果、WiresharkなどのツールではARPパケットとして認識されるものの、その内容は意味をなさないランダムなデータとなります。

多くの場合、WiresharkやTsharkをインストールすると、randpktも一緒にシステムに導入されます。特にKali Linuxを使用している場合は、標準でwireshark-commonパッケージに含まれており、すぐに利用できる状態になっているはずです。

ターミナルを開いて以下のコマンドを実行し、randpktが利用可能か、またそのバージョンを確認してみましょう。

randpkt --version 

以下のような出力が表示されれば、randpktは正常にインストールされています（バージョン番号は環境によって異なります）。

Randpkt (Wireshark) 4.x.x (Git Rev Unknown from unknown)
Copyright 1998-202x Gerald Combs <gerald@wireshark.org> and contributors.
License GPLv2+: GNU GPL version 2 or later <https://www.gnu.org/licenses/gpl-2.0.html>
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. 

もしコマンドが見つからない旨のエラーが表示された場合は、お使いのディストリビューションのパッケージマネージャを使用してwireshark-common（またはそれに類する名前のパッケージ）をインストールしてください。

Debian/Ubuntu/Kali Linuxの場合:

sudo apt update
sudo apt install wireshark-common 

Fedora/CentOS/RHELの場合:

sudo dnf install wireshark-cli 

インストール後、再度randpkt --versionを実行して確認してください。

randpktの基本的な構文は非常にシンプルです。

randpkt [オプション] <出力ファイル名> 

最低限必要なのは、生成されたパケットを保存する出力ファイル名です。オプションを指定しない場合、デフォルトの設定でパケットが生成されます。

試しに、オプションを指定せずに実行してみましょう。test_packets.pcapngというファイル名で保存します。

randpkt test_packets.pcapng 

このコマンドを実行すると、カレントディレクトリにtest_packets.pcapngというファイルが作成されます。デフォルトでは以下の設定でパケットが生成されます。

• パケット数 (-c): 1000 パケット
• 最大追加バイト数 (-b): 5000 バイト
• パケットタイプ (-t): Ethernet II フレーム (eth)
• ファイル形式 (-F): pcapng

生成されたtest_packets.pcapngファイルをWiresharkやTsharkで開いてみましょう。

tshark -r test_packets.pcapng | head 

出力を見ると、イーサネットフレームとして認識されているものの、その後に続くデータがランダム（または未解釈）であることが確認できるはずです。WiresharkのGUIで開くと、”Malformed Packet”（不正な形式のパケット）として表示されることもあります。

randpktの動作をカスタマイズするための主要なオプションを見ていきましょう。これらのオプションを組み合わせることで、より目的に合ったランダムパケットファイルを生成できます。

オプションの一覧はrandpkt -hまたはrandpkt --helpで確認できます。

randpkt -h 

以下に代表的なオプションとその意味を解説します。

パケットタイプ (-t) の種類

-tオプションで指定できるパケットタイプは多岐にわたります。以下はその一部です（バージョンによって異なります）。

• arp: Address Resolution Protocol
• bgp: Border Gateway Protocol
• dns: Domain Name Service
• eth: Ethernet II frame
• fddi: Fiber Distributed Data Interface
• icmp: Internet Control Message Protocol
• ip: Internet Protocol (IPv4)
• ipv6: Internet Protocol Version 6
• llc: Logical Link Control
• sctp: Stream Control Transmission Protocol
• tcp: Transmission Control Protocol
• udp: User Datagram Protocol
• usb: Universal Serial Bus
• など多数…

randpkt -hを実行して、お使いの環境で利用可能な全タイプを確認することをお勧めします。

ファイル形式 (-F) の種類

randpkt -Fを実行すると、出力可能なファイル形式のリストが表示されます。代表的なものには以下があります。

• pcapng: 現在の標準的なキャプチャファイル形式。複数のインターフェース情報やコメントなどを格納可能。(デフォルト)
• pcap: 従来のlibpcap形式。広く互換性があるが、pcapngほどの機能はない。
• nokiapcap: Nokia DCT3/DCT4形式
• catapultdct2000: Catapult DCT2000形式
• など…

特別な理由がない限り、デフォルトのpcapng形式を使用するのが一般的です。ただし、古いツールとの互換性のためにpcap形式が必要になる場合もあります。

それでは、これらのオプションを組み合わせた具体的な使用例を見ていきましょう。

例1: 100個のDNSパケットを生成し、最大追加データ100バイトで保存

DNSクエリに対する応答の処理などをテストしたい場合に、ダミーのDNSパケットを生成します。

randpkt -c 100 -b 100 -t dns dns_test.pcapng 

このコマンドは:

• -c 100: 100個のパケットを生成します。
• -b 100: 各パケットのサンプルDNSヘッダの後ろに、最大100バイトのランダムデータを追加します。
• -t dns: パケットタイプとしてDNSを指定します。
• dns_test.pcapng: 生成されたパケットをこのファイル名で保存します。

例2: 50個のICMPパケットをpcap形式で保存

ICMP (Pingなど) に関連する処理やファイアウォールルールをテストする際に利用できます。古いツールとの互換性のため、pcap形式で保存します。

randpkt -c 50 -t icmp -F pcap icmp_test.pcap 

このコマンドは:

• -c 50: 50個のパケットを生成します。
• -t icmp: パケットタイプとしてICMPを指定します。
• -F pcap: 出力ファイル形式としてpcapを指定します。
• icmp_test.pcap: 生成されたパケットをこのファイル名で保存します。

例3: 1000個の様々なタイプのランダムパケットを生成

特定のプロトコルに絞らず、様々な種類の予期せぬパケットに対するシステムの挙動を広範にテストしたい場合に使用します。

randpkt -c 1000 -r random_mix.pcapng 

このコマンドは:

• -c 1000: 1000個のパケットを生成します。
• -r: 各パケットのタイプをランダムに選択します（例: あるパケットはTCP、次のパケットはUDP、その次はARPなど）。
• random_mix.pcapng: 生成されたパケットをこのファイル名で保存します（-rオプションを使うため、pcapng形式が適しています）。

例4: 生成したパケットを直接Tsharkで表示 (ファイル保存なし)

生成したパケットを一時的に確認したいだけで、ファイルに保存する必要がない場合、パイプを使って他のコマンドに渡すことができます。randpktの出力ファイル名に-を指定すると、標準出力に書き出されます。

randpkt -c 10 -t tcp - # 10個のTCPパケットを標準出力へ 

これをパイプでtsharkに渡します。tsharkの入力ファイル名にも-を指定すると、標準入力から読み込みます。

randpkt -c 10 -t tcp - | tshark -r - 

このコマンドは:

• randpkt -c 10 -t tcp -: 10個のTCPパケットを生成し、標準出力にpcapng形式で書き出します。
• |: パイプ。randpktの標準出力を次のコマンドの標準入力に接続します。
• tshark -r -: 標準入力からpcapng形式のデータを読み込み、その内容を表示します。

これにより、ファイルを作成せずに生成されるパケットの概要を素早く確認できます。

Wiresharkスイートには、randpktの機能を利用する別の方法としてrandpktdumpというツールも含まれています。これはExtcap (External Capture) インターフェースとして機能します。

Extcapは、WiresharkやTsharkが標準的なネットワークインターフェース（eth0など）以外からキャプチャを行うための仕組みです。randpktdumpを使うと、あたかも「ランダムパケット生成器」という仮想的なネットワークインターフェースからパケットをキャプチャしているかのように、Wireshark/Tsharkを操作できます。

randpktdumpは主にWireshark/Tsharkの内部から利用されることを想定していますが、コマンドラインから直接使うことも可能です。

randpktdumpの基本的な使い方

randpktdumpはrandpktとは少し異なるオプション体系を持っています。

# 利用可能なExtcapインターフェースを表示
tshark -D
# または
randpktdump --extcap-interfaces 

出力に`randpkt` (Random packet generator) のような表示があれば、randpktdumpが利用可能です。

# randpktdumpインターフェースから直接キャプチャしてファイルに保存
# (Ctrl+Cで停止)
randpktdump --extcap-interface=randpkt --fifo=/tmp/randpkt_dump.pcapng --capture
# Tsharkを使ってrandpktdumpインターフェースからキャプチャ
# (Ctrl+Cで停止)
tshark -i randpkt -w /tmp/tshark_randpkt.pcapng 

randpktdumpは--count（パケット数）、--maxbytes（最大バイト数）、--type（パケットタイプ）、--delay（パケット間遅延）などのオプションを持ち、randpktと同様の制御が可能です。これらのオプションは、tshark -i randpktのようにTshark経由で利用する場合、Wireshark/Tsharkのインターフェース設定ダイアログ（GUI）や、特定のコマンドラインオプション（若干複雑）を通じて設定します。

# randpktdumpのオプションを確認
randpktdump --extcap-interface=randpkt --extcap-config 

randpktdumpの利点は、生成されるパケットをリアルタイムでWireshark GUIに表示したり、Tsharkの強力な表示フィルタや統計機能と直接組み合わせたりできる点にあります。

randpkt（およびrandpktdump）は、そのシンプルさゆえに様々な応用が可能です。以下にいくつかのユースケースを挙げます。

1. ネットワーク機器のストレステスト

ルーター、スイッチ、ファイアウォールなどのネットワーク機器が、大量の予期しない形式のパケットを受信した際に、性能が低下したり、不安定になったりしないかを確認します。

# 大量のランダムタイプ(-r)のパケットを生成 (例: 100万パケット)
randpkt -c 1000000 -r stress_test.pcapng
# 生成したファイルを tcpreplay などでネットワークに送信
# (注意: テスト環境以外では絶対に行わないこと！)
# tcpreplay -i ethX stress_test.pcapng 

注意: 生成したパケットを実際のネットワークに送信する際は、必ず閉じたテスト環境で行い、他のシステムに影響を与えないように細心の注意を払ってください。

2. IDS/IPSのテスト

侵入検知システム(IDS)や侵入防止システム(IPS)が、不正な形式のパケットや予期しないプロトコルデータを正しく検知・防御できるかを確認します。

# 特定のプロトコル(例: TCP)のランダムパケットを生成
randpkt -c 5000 -t tcp -b 200 tcp_fuzz.pcapng
# このファイルをIDS/IPSの監視対象セグメントに流し、
# アラートやログが期待通りに生成されるか確認する。 

様々な-tオプションや-bオプションを試すことで、IDS/IPSルールの網羅性をテストするのに役立ちます。

3. パケットキャプチャツール/ライブラリの動作検証

自作のパケット処理ツールや、libpcapなどのライブラリを利用したアプリケーションが、規格外のパケットや破損した可能性のあるパケットを適切に扱えるか（クラッシュしないか、エラー処理が機能するかなど）をテストします。

# 様々なサイズのランダムEthernetフレームを生成
randpkt -c 1000 -t eth -b 1500 eth_malformed.pcapng
randpkt -c 1000 -t eth -b 10 eth_small.pcapng # 小さいフレーム
# 生成したファイルを開発中のツールで読み込ませてみる
# ./my_packet_processor eth_malformed.pcapng
# ./my_packet_processor eth_small.pcapng 

4. ネットワークプロトコルの学習・教育

特定のプロトコル（例: ARP）の基本的な構造を持つパケットを生成し、Wiresharkで観察することで、そのプロトコルのヘッダ形式などを視覚的に学ぶことができます。

# ARPパケットを少量生成
randpkt -c 5 -t arp arp_study.pcapng
# Wiresharkでarp_study.pcapngを開き、パケット構造を確認する
# wireshark arp_study.pcapng 

randpktが生成するパケットはペイロードがランダムですが、ヘッダ部分はサンプルに基づいているため、プロトコルヘッダの学習には役立ちます。「正常な」パケットと比較することで、どの部分が固定で、どの部分が可変なのかを理解する助けにもなります。

5. キャプチャファイルのダミーデータ生成

何らかの理由で、特定のプロトコルが含まれるが内容はダミーで良い、というキャプチャファイルが必要な場合に利用できます。例えば、デモンストレーション用に大量のパケットが必要だが、実際の通信データは見せられない、といった状況です。

# 大量のUDPダミーパケットを生成
randpkt -c 10000 -t udp dummy_udp_traffic.pcapng 

randpktは便利なツールですが、利用にあたっては以下の点に注意が必要です。

• 真の「不正パケット」ではない: randpktは基本的にサンプルパケットにランダムなデータを付加するだけです。特定の脆弱性を狙うような、巧妙に細工された（Crafted）パケットを生成するわけではありません。ファジング（Fuzzing）の初期段階や、単純な異常系テストには有効ですが、高度なセキュリティテストには専用のファジングツール（例: Scapy, Sulley, AFLなど）の方が適している場合があります。
• 意味のある通信シーケンスではない: 生成されるパケットは個々に独立しており、TCPの接続確立やHTTPリクエスト/レスポンスのような、意味のある一連の通信フローを形成しません。ステートフルな通信をシミュレートすることはできません。
• サンプルパケットへの依存: 生成されるパケットのベースは内部のサンプルパケットに依存します。そのため、非常にマイナーなプロトコルや、特定のベンダー独自のプロトコルのランダムパケットを生成することはできない場合があります。
• テスト環境での利用: 生成されたパケット、特に大量のパケットをネットワークに送信する場合は、必ず隔離されたテスト環境で実施してください。本番環境や共有ネットワークで無闇に実行すると、ネットワークの輻輳や、他の機器の予期せぬ動作を引き起こす可能性があります。

これらの特性を理解した上で、randpktを適切な目的に利用することが重要です。

randpktは、Wiresharkスイートに含まれる、シンプルながらも強力なランダムパケット生成ツールです。基本的な使い方から応用的なユースケースまで、その活用場面は多岐にわたります。

• 特定のプロトコルやランダムなタイプのパケットを指定して生成できる。
• パケット数や最大サイズを細かく制御できる。
• 生成したパケットはpcapngやpcap形式で保存できる。
• ネットワーク機器のストレステスト、IDS/IPSのテスト、ツールの動作検証、プロトコル学習などに活用できる。
• randpktdumpを使えば、Wireshark/Tsharkからライブキャプチャのように扱える。

ただし、生成されるパケットはあくまでランダムデータが付加されたものであり、巧妙に細工された攻撃パケットや意味のある通信シーケンスではない点には注意が必要です。

この記事を参考に、ぜひrandpktをあなたのツールボックスに加え、ネットワークのテストや学習に役立ててみてください！ Happy packet crafting!

より詳細な情報や公式ドキュメントは以下のリンクから参照できます。

• randpkt Man Page (Wireshark 公式):
  https://www.wireshark.org/docs/man-pages/randpkt.html
• randpktdump Man Page (Wireshark 公式):
  https://www.wireshark.org/docs/man-pages/randpktdump.html
• Kali Linux Tools – wireshark (randpktを含む):
  https://www.kali.org/tools/wireshark/