rawshark入門：巨大pcapファイルを光速処理！

ネットワーク分析の定番ツールといえばWiresharkですが、ギガバイト、テラバイト級の巨大なパケットキャプチャファイル（pcapファイル）を扱う際、その動作の重さに悩まされたことはありませんか？そんな時、Kali Linuxに標準搭載されている「rawshark」があなたの救世主になるかもしれません！💪 この記事では、rawsharkの基本的な使い方から、具体的な活用例、Wireshark/tsharkとの違いまで、詳しく解説していきます。

はじめに：rawsharkとは？ 🤔

rawsharkは、Wiresharkスイートの一部として提供されているコマンドラインユーティリティです。その名前が示す通り、pcapファイルを「生（raw）」に近い状態で、つまり最小限のプロトコル解析（デコード）のみを行いながら高速に読み込むことを目的としています。

WiresharkやそのCUI版であるtsharkは、パケットの詳細な情報を解析・表示するために多くの処理を行いますが、これが巨大なファイルでは大きなオーバーヘッドとなります。一方、rawsharkは、特定のパケットをフィルタリングして抽出する、あるいは特定の情報だけを抜き出すといったタスクに特化しており、プロトコルツリーの完全な構築などをスキップすることで、驚異的な処理速度を実現します💨。

主な役割は、巨大なpcapファイルに対する「前処理」です。rawsharkを使って必要なパケットだけを素早く絞り込み、その結果をより小さなpcapファイルとして出力したり、パイプでtsharkに渡してさらに詳細な分析を行ったりする、といった連携が強力です。Kali Linuxには標準で含まれているため、ペネトレーションテストやネットワークフォレンジックの現場で、大量のログデータと格闘する際に非常に役立ちます。

ポイント： rawsharkはWireshark/tsharkと同じ表示フィルタ構文を利用できるため、Wiresharkに慣れているユーザーであれば、比較的容易に使い始めることができます。

なぜrawsharkを使うのか？ ✨ パフォーマンスの優位性

rawsharkを選択する最大の理由は、その圧倒的なパフォーマンスです。具体的には、以下の点でWiresharkやtsharkに対する優位性があります。

処理速度: rawsharkは、pcapファイルを読み込む際に、指定されたフィルター条件に合致するかどうかを判断するために必要最低限のデコードしか行いません。完全なプロトコル解析やGUIの描画処理がないため、特に巨大なファイルに対して、tsharkと比較しても数倍から数十倍高速に動作することがあります。例えば、特定のIPアドレス間の通信だけを1TBのpcapファイルから抽出したい場合、tsharkでは数時間かかる処理が、rawsharkなら数分で完了する可能性もあります。これは、インシデントレスポンスなど、一刻を争う状況では決定的な差となり得ます。
メモリ効率: Wiresharkやtsharkは、パケットの詳細情報をメモリ上に保持しようとするため、巨大なファイルを扱うと大量のメモリを消費し、場合によってはメモリ不足で処理が失敗することもあります。rawsharkは、パケットデータをストリーム的に処理し、必要最低限の情報しかメモリ上に保持しないため、メモリ使用量を大幅に抑えることができます。メモリリソースが限られた環境や、非常に大きなファイルを扱う場合に特に有効です。
スクリプティングとの親和性: rawsharkはコマンドラインツールであるため、シェルスクリプトなどと容易に組み合わせることができます。特定の条件に合致するパケットを抽出し、その結果を別のツールで処理する、といった一連のワークフローを自動化する際に非常に便利です。例えば、毎日生成される巨大なログファイルから、特定の種類のトラフィックだけを定期的に抽出してレポートを作成する、といったタスクを自動化できます。

もちろん、rawsharkは万能ではありません。詳細なプロトコル解析や、インタラクティブなパケット探索にはWiresharkやtsharkが適しています。rawsharkは、あくまで「高速フィルタリング」に特化したツールとして、適切な場面で活用することが重要です。

rawsharkの基本的な使い方 🚀

rawsharkの基本的なコマンド構文は以下の通りです。

rawshark [オプション] -r <入力ファイル>

最も重要なオプションは、読み込むpcapファイルを指定する -r <入力ファイル> です。これに加えて、フィルタリングや出力に関する様々なオプションを指定します。

主要なオプション

以下に、よく使われる主要なオプションを表にまとめます。

オプション	説明	例
`-r <ファイル名>`	読み込む入力pcap/pcapngファイルを指定します。必須オプションです。	`rawshark -r capture.pcap`
`-R <表示フィルタ>`	読み込むパケットに適用する表示フィルタを指定します。Wiresharkと同じ構文が使えます。このフィルタに一致したパケットだけが処理対象となります。	`rawshark -R "ip.addr == 192.168.1.100"`
`-n`	ネットワークオブジェクトの名前解決（例: IPアドレスからホスト名、ポート番号からサービス名）を行いません。これにより処理が高速化される場合があります。	`rawshark -n -r capture.pcap`
`-d <レイヤタイプ==セレクタ,レイヤタイプ==セレクタ,...>`	特定のプロトコルをどのようにデコードするかを指定します。例えば、特定のTCPポートをHTTPとして強制的にデコードさせたい場合などに使用します。tsharkの `-d` オプションと同様です。	`rawshark -d tcp.port==8080,http`
`-F <出力フォーマット>`	出力するパケットのフォーマットを指定します。指定しない場合、各パケットのフレーム番号とフィルタにマッチしたかどうかが表示されます。`pcap` を指定すると、フィルタにマッチしたパケットをpcap形式で出力できます（通常 `-w` と併用）。`pdml` や `psml` など、tsharkと同様の形式も一部サポートされていますが、rawsharkの主目的は高速フィルタリングのため、pcap形式での出力が一般的です。	`rawshark -F pcap -w filtered.pcap`
`-w <出力ファイル>`	処理結果（通常はフィルタリングされたパケット）を指定されたファイルに書き出します。`-F pcap` と組み合わせて使うことが多いです。`-` を指定すると標準出力に書き出します。	`rawshark -w filtered.pcap`
`-c <数値>`	指定された数のパケットを処理した後に停止します。	`rawshark -c 1000 -r capture.pcap`
`-V`	処理中の詳細情報を表示します（Verboseモード）。デバッグなどに役立ちます。	`rawshark -V -r capture.pcap`
`-h`	ヘルプメッセージを表示して終了します。利用可能な全てのオプションを確認できます。	`rawshark -h`

これらのオプションを組み合わせることで、目的に応じた柔軟なパケット処理が可能になります。特に -R オプションによるフィルタリングがrawsharkの核となる機能です。

実践！rawshark活用テクニック 💡

ここでは、具体的なシナリオに基づいてrawsharkの活用例をいくつか紹介します。

例1: 特定のプロトコル（例: DNS）のパケットだけを抽出する

巨大なキャプチャファイルから、DNSクエリと応答に関連するパケットだけを抽出したい場合を考えます。

rawshark -r huge_capture.pcapng -R "dns" -F pcap -w dns_packets.pcap

解説：

-r huge_capture.pcapng: 入力ファイルとして huge_capture.pcapng を指定します。
-R "dns": Wiresharkの表示フィルタ構文で、プロトコルがDNSであるパケットを指定します。rawsharkはこの条件に合致するかどうかを高速に判定します。
-F pcap: 出力フォーマットとしてpcap形式を指定します。
-w dns_packets.pcap: フィルタリングされたDNSパケットを dns_packets.pcap という名前のファイルに保存します。

このコマンドにより、元の巨大なファイルからDNS関連パケットだけを含む比較的小さなpcapファイルが生成され、その後の詳細な分析（例えば、Wiresharkで開いて確認する）が容易になります。😊

例2: 特定のIPアドレス間の通信を抽出する

特定のクライアント（例: 192.168.1.50）と特定のサーバー（例: 10.0.0.80）間の通信だけを抽出したい場合です。

rawshark -r network_traffic.pcap -R "ip.addr == 192.168.1.50 && ip.addr == 10.0.0.80" -F pcap -w specific_comm.pcap

解説：

-R "ip.addr == 192.168.1.50 && ip.addr == 10.0.0.80": 送信元または宛先IPアドレスが 192.168.1.50 であり、かつ、送信元または宛先IPアドレスが 10.0.0.80 であるパケット、つまりこの2つのIPアドレス間の通信のみを抽出します。
その他のオプションは例1と同様です。

特定のホスト間の通信に問題が発生している場合など、関連するパケットだけを効率的に抜き出すのに役立ちます。🕵️‍♀️

例3: PDML形式で特定のパケットの詳細情報を限定的に出力する

rawsharkは主にpcap形式での出力に使われますが、-F オプションで他の形式を指定することも可能です。例えば、HTTPリクエストパケットの詳細情報をPDML（Packet Details Markup Language – XMLベースの詳細形式）で出力したい場合を考えます。ただし、rawsharkは完全なデコードを行わないため、tsharkほど詳細な情報は得られない可能性があります。

rawshark -r web_traffic.pcap -R "http.request" -F pdml -w http_requests.pdml

解説：

-R "http.request": HTTPリクエストを含むパケットをフィルタリングします。
-F pdml: 出力フォーマットとしてPDMLを指定します。
-w http_requests.pdml: 結果を http_requests.pdml に保存します。

PDML形式はXMLベースなので、プログラムで処理しやすいという利点があります。ただし、前述の通り、rawsharkの主目的は高速フィルタリングであり、詳細なフィールド抽出にはtsharkの方が適している場合が多いです。rawsharkでPDMLを出力する際は、期待する情報が含まれているか確認が必要です。

例4: tsharkとの連携（パイプライン処理）

rawsharkの真価は、他のツール、特にtsharkと組み合わせることで発揮されます。巨大なファイルからrawsharkで高速に必要なパケットを絞り込み、その結果をパイプ (|) を使ってtsharkに渡し、詳細な情報抽出や整形を行う、という流れが非常に強力です。

例として、巨大なキャプチャファイルからHTTPリクエストを抽出し、そのホスト名とURIだけをリスト表示してみます。

rawshark -r massive_log.pcap -R "http.request" -F pcap -w - | tshark -r - -T fields -e http.host -e http.request.uri

解説：

rawshark -r massive_log.pcap -R "http.request" -F pcap -w -:
- massive_log.pcap からHTTPリクエストパケットをフィルタリングします (-R "http.request")。
- 出力形式はpcap (-F pcap)。
- 出力先として - を指定し、結果を標準出力にpcap形式で書き出します。
|: パイプ。rawsharkの標準出力を次のコマンド（tshark）の標準入力に渡します。
tshark -r - -T fields -e http.host -e http.request.uri:
- -r -: 標準入力からpcapデータを読み込みます。
- -T fields: 出力形式をフィールド指定モードにします。
- -e http.host: HTTPホストヘッダの値を抽出します。
- -e http.request.uri: HTTPリクエストURIの値を抽出します。

このパイプライン処理により、まずrawsharkが巨大なファイルから関連パケットを高速に絞り込み、その小さなデータセットをtsharkが効率的に処理して目的の情報（ホスト名とURI）だけを抽出・表示します。これにより、全データをtsharkで直接処理するよりもはるかに高速かつ省メモリで結果を得ることができます。⚡️

Wireshark/tsharkとの比較 📊

rawshark, tshark, Wiresharkは同じWiresharkスイートのツールですが、それぞれ得意なこと、不得意なことがあります。使い分けるための比較表を以下に示します。

項目	rawshark	tshark	Wireshark
インターフェース	CUI (コマンドライン)	CUI (コマンドライン)	GUI (グラフィカル)
主な目的	巨大ファイルの高速フィルタリング	CUIでの詳細解析、フィールド抽出、統計情報	インタラクティブな詳細解析、視覚的探索
処理速度 (巨大ファイル)	最速 🚀	中速〜低速	低速 (GUI描画負荷大)
メモリ使用量 (巨大ファイル)	最小 🌱	中程度〜高	高 (GUIと内部状態保持)
プロトコル解析能力	限定的 (フィルタリングに必要な最低限)	完全 ✨	完全 ✨
フィルタリング機能	表示フィルタ (`-R`) のみ	表示フィルタ (`-R`), キャプチャフィルタ (`-f`)	表示フィルタ, キャプチャフィルタ
出力形式	pcap (主), PDML/PSML (限定的)	pcap, PDML, PSML, JSON, CSV, Ek, etc. (多彩)	pcap, テキスト, CSV, etc. (GUI経由)
スクリプティング親和性	高 👍	高 👍	低 (限定的なCLIオプションあり)
得意な場面	数GB〜TB級ファイルの事前フィルタリング、tshark/Wiresharkへの入力データ準備	自動化された解析、特定フィールドの抽出、統計処理、CUI環境での解析	詳細なパケット調査、プロトコルの挙動学習、教育、プレゼンテーション

このように、それぞれのツールには明確な役割分担があります。巨大なpcapファイルを扱う場合は、まずrawsharkで対象を絞り込み、その結果をtsharkやWiresharkで分析するという流れが、最も効率的なアプローチと言えるでしょう。

注意点とTips ⚠️

rawsharkを効果的に使うために、いくつか注意点とTipsがあります。

メモリ使用量には依然注意: rawsharkはメモリ効率が良いとはいえ、扱うファイルサイズやフィルタの複雑さによっては、それなりのメモリを消費します。特に、非常に複雑なフィルタや、多数の状態を追跡する必要があるフィルタ（例: TCPストリーム全体を追跡するようなもの）を使用する場合、メモリ使用量が増加する可能性があります。処理が遅い、あるいは失敗する場合は、システムのメモリ状況を確認しましょう。
フィルタ構文の理解: rawsharkのパワーは -R オプションによるフィルタリングにあります。Wireshark/tsharkで使える豊富な表示フィルタ構文を習得することが、rawsharkを使いこなす鍵となります。よく使うフィルタはメモしておくと良いでしょう。WiresharkのGUIでフィルタを試してから、rawsharkのコマンドラインに適用するのも有効な方法です。
巨大すぎるファイルへの対応: 数百GBやTBを超えるような、単一の巨大pcapファイルをrawsharkで直接処理するのも困難な場合があります。そのような場合は、editcap コマンド（これもWiresharkスイートの一部です）を使って、ファイルを時間やサイズで分割してから、分割後のファイルに対してrawsharkを並列実行するなどの工夫が必要になることもあります。
```
# 例：capture.pcapを600秒（10分）ごとに分割
editcap -i 600 capture.pcap split_
```
上記コマンドは `split_YYYYMMDDHHMMSS.pcap` という形式でファイルを分割します。その後、分割されたファイルに対してループでrawsharkを実行できます。
エラーメッセージの確認: コマンドが期待通りに動作しない場合、rawsharkが出力するエラーメッセージを確認しましょう。フィルタの構文エラー、ファイルアクセス権の問題、ディスク容量不足など、原因究明の手がかりが得られます。-V オプションで詳細情報を表示させるのも有効です。
rawsharkの限界を知る: rawsharkは高速フィルタリングには非常に強力ですが、パケットの「内容」に基づいた複雑なフィルタリング（例: 特定のペイロードパターンを含むパケット）は苦手、あるいは不可能な場合があります。これは、rawsharkが必要最低限のデコードしか行わないためです。そのような場合は、tsharkを使うか、あるいはrawsharkで大まかに絞り込んだ後に、より詳細な解析が可能なツール（tsharkや自作スクリプトなど）を組み合わせる必要があります。
バージョンを確認する: Wiresharkスイートは活発に開発されており、rawsharkの機能やパフォーマンスもバージョンによって改善されている可能性があります。rawshark -v コマンドでバージョンを確認し、必要であれば最新版を利用することを検討しましょう。

覚えておこう： rawsharkは魔法の杖ではありません🧙‍♂️。あくまで高速フィルタリングツールであり、その特性を理解して適切な場面で使うことが重要です。

まとめ 🎉

rawsharkは、Wireshark/tsharkの影に隠れがちですが、特に巨大なpcapファイルを扱う際のパフォーマンス問題を解決するための強力なツールです。最小限のデコードで高速にフィルタリングを実行できるため、大量のネットワークデータから必要な情報を効率的に抽出するための「前処理」として非常に役立ちます。

この記事では、rawsharkの基本的な使い方、具体的な活用例、そしてtsharkやWiresharkとの連携方法について解説しました。

✅ 巨大pcapファイルの高速フィルタリングに特化
✅ Wireshark/tsharkと同じ表示フィルタ構文が利用可能
✅ tsharkとのパイプライン連携が強力
✅ メモリ効率が良い
✅ Kali Linuxに標準搭載

ネットワーク分析、セキュリティインシデント対応、大規模システムのトラブルシューティングなど、大量のパケットデータと向き合う必要がある場面で、ぜひrawsharkの活用を検討してみてください。きっとあなたの作業効率を大幅に向上させてくれるはずです！🚀

参考情報

より詳細な情報については、以下の公式ドキュメント等を参照してください。

Kali Linux Tools – rawshark: Kali Linuxにおけるrawsharkのページです。簡単な説明と使い方が記載されています。
https://www.kali.org/tools/wireshark/#rawshark
Wireshark Documentation – rawshark: Wireshark公式のrawsharkマニュアルページです。利用可能な全てのオプションについて詳細な説明があります。
https://www.wireshark.org/docs/man-pages/rawshark.html
Wireshark Wiki – Display Filters: rawsharkの -R オプションで使用する表示フィルタの構文に関する詳細情報です。
https://wiki.wireshark.org/DisplayFilters