今だけ人気マンガ100円レンタル特集♪

pcap形式のデータ(tcpdump)から、必要とするデータ部位(BtyeSize等)を取り出し
テキストに書き出す方法・ソフト(Free・英語可)をご存知の方がいらっしゃいましたら
教えてください。宜しくお願い致します。
※OS:WindowsXPの環境です。

追記:
『Ethereal』というソフトを用いて、pcapファイルを
読み込むことを試したのですが、途中でエラーが発生して読み込むことができませんでした。

このQ&Aに関連する最新のQ&A

A 回答 (1件)

Ethereal と共にインストールされる tethereal を利用すると、


pcap 形式のデータをテキスト出力することができます。

tethereal
http://www.ethereal.com/docs/man-pages/tethereal …
※Ethereal インストールディレクトリの tethereal.exe です

下記のように -r オプションで pcap 形式データを指定し、
-n -T text -V といったオプションをつけて実行すると、
各パケットの詳細情報をテキスト出力できます。
※ファイルにリダイレクトし、テキストエディタで閲覧するとよいです

$>tethereal.exe -r <pcap-file> -n -T text -V

他にも Chaosreader といった Perl スクリプトを利用して、
HTML で出力するのもよいかもしれません。OS が Windows との
ことですので、実行するためには ActivePerl をインストール
する必要があります。

Chaosreader
http://chaosreader.sourceforge.net/

必要とするデータ部位の二次利用を想定していた場合は、
WinPcap 等を利用して独自のプログラムなり、スクリプトを
作成するのも一つの手です。

>『Ethereal』というソフトを用いて、pcapファイルを
>読み込むことを試したのですが、途中でエラーが発生して読み込むことができませんでした。

pcap 形式のデータサイズが大きいとフリーズしてしまうことが
あります。その場合、pcap ファイルを適当なサイズに分割すると
読み込めるかもしれません。Ethereal 付属の editcap を利用すれば
パケット数毎にファイルを分割できます。詳細は下記のマニュアルを
ご参照ください。

editcap
http://www.ethereal.com/docs/man-pages/editcap.1 …
    • good
    • 0
この回答へのお礼

ご丁寧にありがとうございます。

>Ethereal と共にインストールされる tethereal を利用すると、
>pcap 形式のデータをテキスト出力することができます

この方法は把握していたのですが、ファイルを読み込む段階で
断念していため、実行まで至りませんでした。
実行までの細かい手解きは大変参考になります。

お気遣いの通り、データ部位の2次利用を考えていたため
上記ソフト等を参考にさせて頂き、検討していきたいと思います。


>pcap 形式のデータサイズが大きいとフリーズしてしまうことが
>あります。その場合、pcap ファイルを適当なサイズに分割すると
>読み込めるかもしれません。Ethereal 付属の editcap を利用すれば
>パケット数毎にファイルを分割できます。詳細は下記のマニュアルを
>ご参照ください。

データサイズが大きすぎるというのは発想の外でした。ご指摘の通り
対象のファイルサイズがおよそ300Mあり、フリーズが生じていました。
pcapファイルが破損、もしくはファイル内データが対応してない等の
懸念があったのですが、早速editcapを用いて試してみます。

言葉のお礼だけでは足りないものを感じますが
細やかなご回答ありがとうございました。

お礼日時:2007/01/15 00:26

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Q.pcapファイルをテキストファイルとして表示

.pcapファイルをテキストファイルとして表示したいです。
.pcapファイルを開けるアプリケーションがなく.pcapファイルは手元にあります。
インストールするソフトとやり方を教えてください。

OSはwindows7 と CentOSがあります。
どちらでも構いません。教えてください

Aベストアンサー

>.pcapファイルをテキストファイルとして表示したいです。

これに文字通り答えるなら、メモ帳ウィンドウにドロップすれば良いのですが、意味ないですね。
おそらくやりたいことは、pcapファイルの中身を見たいと言うことだと思うので、WireSharkをインストールして、pcapファイルを開いてください。

http://www.wireshark.org/

QwiresharkでパケットモニタするとRetransmissionが多発しているという意味は?

現在、自分で作成したパケット送信クライアントプログラムをテストしており、3秒に1回のタイミングでインターネット上にあるサーバのグローバルipアドレスに対し、TCPパケットを発信させて受信するというテストを行っています。
しかし、3秒に一回データを送っているはずなのに、その間隔10秒とか20秒とか間隔が開いてしまう時があります。

wiresharkというパケットモニタソフトで送信側、受信側共にパケットモニタを行ってみたところ、”Retransmission”が多発しているということがわかりました。(tcp.analysis.retransmissionというフィルタ設定で検索)この現象はある時とない時があります。テストして10日ぐらい経つのですが、このパケットが確認されるのはお昼の12時頃と夕方の6時頃が多いのですが、このことからどのようなことが起こっていると考えられますか?

わかる方いらっしゃいましたらご教授よろしくお願いいたします。

Aベストアンサー

簡単に言うと「トラフィック過多によるパケットの再送が多発している」です。

噛み砕いて言えば「回線が混雑していて、送信したパケットが、他の誰かが送信したパケットと衝突(コリジョンが発生)してパケットが消えた。なので、もう一度、送り直した」と言う事。

>このパケットが確認されるのはお昼の12時頃と夕方の6時頃が多いのですが、このことからどのようなことが起こっていると考えられますか?

「お昼休み、終業時間の6時になると、みんな、メールをチェックしたり、個人的にインターネットを閲覧し、トラフィック過多が起き、回線が異常に混雑する」と言う事が起きていると考えられます。

解消するには以下の方法があります。
・「休み時間も、終業時間後も、プライベートでネットを使うな!」と言う「通達」を全社に出す
・社内LANを、トラフィック過多によるコリジョンが起きないよう高速で帯域のあるネットワークカード、LANハブ、ルーターに変える
・受信側と送信側を、社内LANから(電気的、アドレス的に)独立した別のLANにする

要は「混んでる時間帯なので仕方が無い」って事です。

簡単に言うと「トラフィック過多によるパケットの再送が多発している」です。

噛み砕いて言えば「回線が混雑していて、送信したパケットが、他の誰かが送信したパケットと衝突(コリジョンが発生)してパケットが消えた。なので、もう一度、送り直した」と言う事。

>このパケットが確認されるのはお昼の12時頃と夕方の6時頃が多いのですが、このことからどのようなことが起こっていると考えられますか?

「お昼休み、終業時間の6時になると、みんな、メールをチェックしたり、個人的にインターネットを...続きを読む

QWiresharkのパケットの詳細のテキストコピー

Windows7のWireshark1.8.2の質問です。
画面キャプチャ
http://sourceforge.jp/projects/wireshark/images?id=62

上記の画面での、上から二ペイン目(「Frame 11~」や、「Ethernet ~」,protocolなどが表示されている部分)に表示されているテキストを全部コピーしたいのですが、一行ずつしかコピーできません。

一ペイン目でエクスポートしたいパケットを選択して、
File->Export Objectを選ぼうとしてみても、Export Objectがグレーになっていて選択できません。

二ペイン目に表示されているテキストをそのまま全部コピーする方法はありませんか?
よろしくお願いします。

Aベストアンサー

ANo.1は旧版のWiresharkだったようです,失礼しました。

ANo.1の「File→Export→File と進み,」を
「File →Print と進み,Output to file で出力ファイル名を指定,」
に置き換えてください。

Qsedの置換文字に変数を使用したいのですが・・・

あるファイルの特定の文字を変換し、上書きをする処理を行いたいのですが、sedの置換文字に変数が渡せなくて困っています。

例:
X="a"
Y="b"
echo test.txt | sed 's/${X}/${Y/g}' >test.txt

sedでは置換文字に${X}といった変数を使用することはできないのでしょうか?

Aベストアンサー

' ・・・' で囲まれた中の$はそのままドルマークです。変数展開をするなら、'・・・'で囲んではいけません。

何も囲まないか、"・・・"で囲むかです。

QNTPで同期が始まらない

こんにちは。
度々すみません、NTPの設定をしましたがどうも同期が始まりません。

「ntpdate 130.69.251.23」と手動同期は成功します。
しかしntpデーモンを起動し1時間以上放置しても同期されません。
※外部タイムサーバー参照としてます

ntp.confは下記のとおりです。
---------------------------------------------------
server 133.100.9.2 # clock.nc.fukuoka-u.ac.jp
server 130.69.251.23
driftfile /var/lib/ntp/drift
---------------------------------------------------

でntpq -pの結果は下記となります。

remote refid st t when poll reach delay offset jitter
==============================================================================
133.100.9.2 .INIT. 16 u - 64 0 0.000 0.000 4000.00
130.69.251.23 .GPS. 1 u 27 64 377 8.015 -99970. 17262.6

同期ができれば「remote」列に「*」が表示されると思っています。
何か設定が足りないでしょうか?。
尚、「/vat/log/message」をtailしてますが特にエラーは無さそうです。

よろしくお願いします。

こんにちは。
度々すみません、NTPの設定をしましたがどうも同期が始まりません。

「ntpdate 130.69.251.23」と手動同期は成功します。
しかしntpデーモンを起動し1時間以上放置しても同期されません。
※外部タイムサーバー参照としてます

ntp.confは下記のとおりです。
---------------------------------------------------
server 133.100.9.2 # clock.nc.fukuoka-u.ac.jp
server 130.69.251.23
driftfile /var/lib/ntp/drift
---------------------------------------------------

でntp...続きを読む

Aベストアンサー

#4のqaaqです。

○ntp.conf 関連
server 行に "iburst" を付けておきましょう。
server ntp.nict.jp iburst <--こんな感じになります。

ntp サーバ起動時の時刻調整の収束時間が早くなります。
http://www.jp.freebsd.org/cgi/mroff.cgi?subdir=man&lc=1&cmd=&man=ntp.conf&dir=jpman-5.4.0%2Fman&sect=0

○ntpdate での時刻調整
ntpdate -b -u [サーバ名] を複数回実行して、"offset の値が0.1以下"になるまで、強制的に時刻調整して下さい。

○ハードウエアclockの修正
hwclock -w コマンドでハードウエアclockを合わせます。
http://www.linux.or.jp/JM/html/util-linux/man8/hwclock.8.html

○ntpdの動作
ntpによる時刻調整は、調整幅が通常128mSと小さいので、1時間は様子をましょう。
2時間程度経過しても、時刻修正の兆候が見られない場合ハードウェアの不良も考えられます。

時刻調整の兆候としては、
・logファイルに 一時間毎に調整したメッセージが書かれる。
Jan 7 21:57:40 ntpd[91145]: offset 0.000994 sec freq -190.802 ppm error 0.000076 poll 8
・ntpq -p の出力の最初の桁に"*,+"が付く。また、reach が377になる。
% ntpq -np
remote refid st t when poll reach delay offset jitter
+192.168.0.102 GPS_NMEA(0) 2 u 3 32 377 0.926 -0.330 0.023
*192.168.0.192 GPS_NMEA(1) 2 u 10 32 377 0.747 -0.336 0.023
192.168.0.9 PPS(1) 2 u 3 32 377 0.757 6.559 0.161


○その他
・PC起動時には、システムクロックを計測してその後の動作の基準にしていますが、
CMOSバッテリ不足やハードウェアに何らかの異常があるととんでもない時刻を示すことがあります。(要修理です)
・BIOSの時計も起動時の初期時刻として使われてしまうので、ある程度合わせておいた方がいいです。

#4のqaaqです。

○ntp.conf 関連
server 行に "iburst" を付けておきましょう。
server ntp.nict.jp iburst <--こんな感じになります。

ntp サーバ起動時の時刻調整の収束時間が早くなります。
http://www.jp.freebsd.org/cgi/mroff.cgi?subdir=man&lc=1&cmd=&man=ntp.conf&dir=jpman-5.4.0%2Fman&sect=0

○ntpdate での時刻調整
ntpdate -b -u [サーバ名] を複数回実行して、"offset の値が0.1以下"になるまで、強制的に時刻調整して下さい。

○ハードウエアclockの修正
hwclock -w コマンドでハ...続きを読む

QWiresharkでみるときの、1回のパケット

Wiresharkでみるときの、1回のパケットを追う方法を探してます。

TCP通信にて、通信確立後にデータのやり取りをしている通信を数時間tcpdumpにて取得し、
Wiresharkで流れをみています。そのときに、1回のデータのやり取りと見るために方法を教えてください。


クライアントからのリクエストとサーバからのレスポンスで、

1回目クライアントからデータ送信し、
複数かいやり取りして、終了(200 OKを返却して)

2回目クライアントからデータ送信し、
複数かいやり取りして、終了(200 OKを返却して)

という動作を繰り返してますが、

この1回目がここからここまでのパケット、2回目がここからここまでのパケットと知りたいのです。

なんとなくみると、ストリームNoなどもありますが、
ストリームNoが1回の通信後とのNoかとおもったら、
ストリームNoでフィルタしたら、
1回目5回目8回目・・と複数回のものが同じストリームNoであり、
どうゆうことだとうと疑問になってます。

詳しい方よろしくお願いします。

Aベストアンサー

No1です。
>TCPストリーム単位でも複数のやりとりがあるのか?わからなくて悩んでます。

昔のHTTP/0.9というプロトコルでは、リクエストに対してレスポンスがあればそれでストリームを終わらせてましたが、現在のHTTP/1.1では1つのTCPストリームで複数のリクエストーレスポンスを行うのが普通です。
また、レスポンスを待たずに複数のレスポンスを続けて投げることも可能です。

Qレッドハットのバージョン確認方法

自分のサーバで使用しているREDHATのバージョン確認はどうすればいいのでしょうか?

more /etc/issue
とやっても英文しか出てきませんでした。

uname -all
でもカーネルのバージョンは出るのですが、REDHATのバージョンは出ませんでした。

Aベストアンサー

> more /etc/issue
> とやっても英文しか出てきませんでした。

その英文にはRedHatのバージョンは書いてなかったのですか?
書いていなかったとしたら、管理者により編集されている可能性
がありますね。

cat /etc/redhat-release

ではいかがでしょう?
やっぱり英文ですけど。

rpm -q redhat-release

でもいいかも

Q「いずれか」と「いづれか」どっちが正しい!?

教えて下さいっ!
”どちらか”と言う意味の「いずれか」のかな表記として
「いずれか」と「いづれか」のどちらが正しいのでしょう???

私は「いずれか」だと思うんですが、辞書に「いずれか・いづ--。」と書いてあり、???になってしまいました。
どちらでもいいってことでしょうか?

Aベストアンサー

「いずれか」が正しいです.
「いづれ」は「いずれ」の歴史的かな遣いですので,昔は「いづれ」が使われていましたが,現代では「いずれ」で統一することになっていますので,「いずれ」が正しいです.

QLinuxのgccのインクルードパス?

Linuxのgccで、インクルードファイルやライブラリのパスを設定する方法が知りたいのですが、gccについて詳しい書籍やサイトがありましたら、教えてください。

gccとccの違いも知りたいです。

例)
#include "example.h"

このままだと、example.hが無いと表示されます。

Aベストアンサー

標準ライブラリのパスは、gccのインストール時に指定して、Cプリプロセッサの中に組み込まれます。

#include "example.h"
は、まずカレントディレクトリを探し、次に gccコマンドラインの -I オプションで指定したディレクトリを探し、最後に標準ライブラリが探されます。

#include <example.h>
は、カレントディレクトリを探さない点が異なります。

ccも基本的には同じですが、Unixの種類によって機能が異なる可能性があります。Linuxの場合はcc=gccです。

QUbuntu・・・ユーザ名を変更したい

Ubuntuはインストール時に設定したアカウント名が適当すぎたのでユーザ名を変更したいのですが可能でしょうか?

Aベストアンサー

usermodコマンドを使用すればできるはずです。
root権限が必要です。

参考URL:http://www.atmarkit.co.jp/flinux/rensai/linuxtips/031adduser.html


人気Q&Aランキング