pcap形式データをテキストへ抽出

pcap形式のデータ(tcpdump)から、必要とするデータ部位(BtyeSize等)を取り出し
テキストに書き出す方法・ソフト(Free・英語可)をご存知の方がいらっしゃいましたら
教えてください。宜しくお願い致します。
※OS：WindowsXPの環境です。

追記：
『Ethereal』というソフトを用いて、pcapファイルを
読み込むことを試したのですが、途中でエラーが発生して読み込むことができませんでした。

No.1 回答者： kaito834 回答日時： 2007/01/13 01:41

Ethereal と共にインストールされる tethereal を利用すると、

pcap 形式のデータをテキスト出力することができます。

tethereal
http://www.ethereal.com/docs/man-pages/tethereal …
※Ethereal インストールディレクトリの tethereal.exe です

下記のように -r オプションで pcap 形式データを指定し、
-n -T text -V といったオプションをつけて実行すると、
各パケットの詳細情報をテキスト出力できます。
※ファイルにリダイレクトし、テキストエディタで閲覧するとよいです

$>tethereal.exe -r <pcap-file> -n -T text -V

他にも Chaosreader といった Perl スクリプトを利用して、
HTML で出力するのもよいかもしれません。OS が Windows との
ことですので、実行するためには ActivePerl をインストール
する必要があります。

Chaosreader
http://chaosreader.sourceforge.net/

必要とするデータ部位の二次利用を想定していた場合は、
WinPcap 等を利用して独自のプログラムなり、スクリプトを
作成するのも一つの手です。

＞『Ethereal』というソフトを用いて、pcapファイルを
＞読み込むことを試したのですが、途中でエラーが発生して読み込むことができませんでした。

pcap 形式のデータサイズが大きいとフリーズしてしまうことが
あります。その場合、pcap ファイルを適当なサイズに分割すると
読み込めるかもしれません。Ethereal 付属の editcap を利用すれば
パケット数毎にファイルを分割できます。詳細は下記のマニュアルを
ご参照ください。

editcap
http://www.ethereal.com/docs/man-pages/editcap.1 …

この回答へのお礼

ご丁寧にありがとうございます。

>Ethereal と共にインストールされる tethereal を利用すると、
>pcap 形式のデータをテキスト出力することができます

この方法は把握していたのですが、ファイルを読み込む段階で
断念していため、実行まで至りませんでした。
実行までの細かい手解きは大変参考になります。

お気遣いの通り、データ部位の2次利用を考えていたため
上記ソフト等を参考にさせて頂き、検討していきたいと思います。


>pcap 形式のデータサイズが大きいとフリーズしてしまうことが
>あります。その場合、pcap ファイルを適当なサイズに分割すると
>読み込めるかもしれません。Ethereal 付属の editcap を利用すれば
>パケット数毎にファイルを分割できます。詳細は下記のマニュアルを
>ご参照ください。

データサイズが大きすぎるというのは発想の外でした。ご指摘の通り
対象のファイルサイズがおよそ300Mあり、フリーズが生じていました。
pcapファイルが破損、もしくはファイル内データが対応してない等の
懸念があったのですが、早速editcapを用いて試してみます。

言葉のお礼だけでは足りないものを感じますが
細やかなご回答ありがとうございました。

お礼日時：2007/01/15 00:26