TL
ネットワーク

パケットキャプチャ

実際に流れている通信を捕まえて中身を観察する手法です。tcpdumpやWiresharkを使い、トラブル調査やセキュリティ分析にどう役立てるかを解説します。

中級パケットキャプチャtcpdumpWireshark最終更新: 2026-06-06
TL;DR要点だけ先に
  • 1.パケットキャプチャ は流れる通信を捕捉して中身を観察し、推測ではなく事実で原因を突き止める手法。
  • 2.定番は CLIの tcpdump と GUIの Wireshark。tcpdumpで採取し、Wiresharkで詳細に解析する流れが王道。
  • 3.フィルタ で対象を絞るのが必須。暗号化通信は中身が見えず、取り扱いには権限・プライバシーの配慮が要る。

パケットキャプチャとは

パケットキャプチャ は、ネットワークを実際に流れているパケットを捕まえ、その中身を1つずつ観察する手法です。ログやアプリの挙動だけでは分からない「実際に何が送受信されたか」を、生のデータとして確認できます。

トラブルの原因を推測で当てるのではなく、事実そのものを見る のが最大の価値です。

  • どんなパケットが、いつ、どの順で流れたかを記録できる
  • 再送・遅延・リセットなど、表面に出ない挙動が見える
  • アプリのログと突き合わせて原因を確定できる

主なツール

代表的な道具は2つで、役割を分担して使うのが一般的です。

ツール形態得意なこと
tcpdumpCLIサーバ上で軽量に採取・保存、自動化に強い
WiresharkGUI詳細な解析・可視化・プロトコルの読み解き
tsharkCLIWiresharkの解析機能をコマンドで使う

実務では 「サーバで tcpdump して .pcap に保存 → 手元の Wireshark で開いて解析」 という流れがよく使われます。GUIを直接サーバに入れずに済むためです。

フィルタで絞り込む

何も指定せずキャプチャすると、膨大なパケットに埋もれて目的のものが見つかりません。フィルタ で対象を絞るのが必須です。フィルタには2種類あります。

  • キャプチャフィルタ … 採取する段階で対象を限定する(量を減らす)
  • 表示フィルタ … 採取済みデータから見たいものだけ表示する(Wiresharkで強力)
# 443番ポート宛/発の通信だけを採取し、ファイルに保存
tcpdump -i eth0 'tcp port 443' -w capture.pcap

# 特定ホストとの通信だけを画面に表示
tcpdump -n host 203.0.113.10

Wiresharkの表示フィルタでは httptcp.port == 443ip.addr == 203.0.113.10 のように、後から自在に絞り込めます。

まず採取、解析は後で

本番環境では「とりあえずファイルに保存(-w)し、解析は別マシンでじっくり」が安全です。画面表示の処理が重いと採取側に負荷がかかり、取りこぼす原因にもなります。採取と解析を分けるのがコツです。

トラブル調査での使いどころ

「アプリのログ上は正常なのに、なぜか遅い・つながらない」という場面で威力を発揮します。

  • 接続が確立しているか … 3ウェイハンドシェイク(SYN/SYN-ACK/ACK)が成立しているかを確認
  • どこで止まったか … 突然のRST(リセット)やタイムアウトの有無を見る
  • 再送が多くないか … パケットロスや経路の不調を再送回数から推測
  • どちらが遅いか … リクエストから応答までの時間差で、サーバ側か経路かを切り分け

ログでは「失敗した」しか分からないことが、キャプチャでは「SYNは送ったが応答が来ていない」など、原因の場所まで特定できます。

セキュリティでの使いどころ

セキュリティ分野でも重要な道具です。

  • 不審な通信の検知 … 想定外の宛先・ポートへの通信や、異常な量のトラフィックを発見
  • インシデント調査 … 侵害の痕跡(不正な外部通信やデータ持ち出し)を事後に追跡
  • プロトコルの検証 … 暗号化やヘッダが意図どおり設定されているかを実データで確認
他人の通信の取得は権限とプライバシーに配慮

パケットキャプチャは通信の中身を見られる強力な手段です。自分の管理外のネットワークや他人の通信を無断で採取するのは、プライバシー侵害や法令違反になり得ます。必ず正当な権限の範囲で、対象を限定して行います。

つまずきポイント

  • 暗号化通信は中身が見えない … TLS(HTTPS)では本文は暗号化される。見えるのは宛先・タイミング・サイズなどメタ情報が中心
  • 採取権限が要る … 生のパケットを取るには管理者権限が必要なことが多い
  • 量に圧倒される … フィルタを使わないと解析不能。先に「何を確かめたいか」を決めてから採取する

「推測する前に、まず流れているものを見る」。この習慣が身につくと、見えなかった原因が一気に見えるようになります。

ネットワーク Article

パケットキャプチャを実務で読む

TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。

解決すること

パケットキャプチャ

比較で見る軸

難易度: intermediate / カテゴリ: ネットワーク / タグ数: 3

導入後に効く点

定番は CLIの tcpdump と GUIの Wireshark。tcpdumpで採取し、Wiresharkで詳細に解析する流れが王道。

先に潰すリスク

用語だけ覚えても、設計・実装・運用でどこに効くかを確認しないと判断を誤る。

数字・仕様の読み方
難易度
intermediate
カテゴリ
ネットワーク
タグ数
3

判断チェックリスト

  • 自社の用途が「パケットキャプチャ / tcpdump」に近いか確認する。
  • 強みである「パケットキャプチャ は流れる通信を捕捉して中身を観察し、推測ではなく事実で原因を突き止める手法。」が本当に評価軸になるか確認する。
  • 注意点の「用語だけ覚えても、設計・実装・運用でどこに効くかを確認しないと判断を誤る。」を運用で吸収できるか確認する。
  • 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
  • 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
  • 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。

次に確認する観点

パケットキャプチャtcpdumpWiresharkパケットキャプチャtcpdumpWireshark
参考: 公式情報