pcapng・とは？初心者に伝えるネットワークパケットの基礎入門共起語・同意語・対義語も併せて解説！

この記事を書いた人

高岡智則

年齢：33歳性別：男性職業：Webディレクター（兼ライティング・SNS運用担当）居住地：東京都杉並区・永福町の1LDKマンション出身地：神奈川県川崎市身長：176cm 体系：細身〜普通（最近ちょっとお腹が気になる）血液型：A型誕生日：1992年11月20日最終学歴：明治大学・情報コミュニケーション学部卒通勤：京王井の頭線で渋谷まで（通勤20分）家族構成：一人暮らし、実家には両親と2歳下の妹恋愛事情：独身。彼女は2年いない（本人は「忙しいだけ」と言い張る）

pcapngとは何か

pcapngは PCAP Next Generation の略で、ネットワークのパケットデータを保存する新しい形式です。昔から使われてきた pcap の後継として設計され、より多くの情報を柔軟に格納できるようになっています。Wiresharkや tshark などの解析ツールで読み込んで、ネットワークの動きや不具合を調べるときに使われます。

ざっくり言うと、pcapngは「パケットのデータだけでなく、解析に役立つメタ情報」も一緒に保存できるファイル形式です。パケットがどのインターフェースから取得されたのか、キャプチャの日時やタイムスタンプの精度、解析の際のオプションなどを、ファイル内に整理して記録します。

pcapngの特徴

pcapngの大きな特徴は、ブロックと呼ばれる構造体を複数組み合わせてファイルを作る点です。ブロックには「インターフェース情報を格納するブロック」「パケットデータを格納するブロック」「処理情報を格納するブロック」などがあり、必要に応じて追加・削除できます。これにより、同じファイル内に複数のインターフェースからのデータを混在させたり、解析時の設定情報を詳しく残したりすることが可能になります。

PCAPNGとPCAPの違い

古い形式の PCAP はシンプルで扱いやすい反面、拡張性に限界があります。たとえば、複数のインターフェースの情報を同じファイル内で管理するのが難しかったり、後から解析情報を追加するのが大変だったりします。一方、pcapngは複数のブロックを組み合わせることで、インターフェース情報、パケットデータ、解析メモ、コメントなどを自由に追加・整理できます。結果として、後で別のツールや別の解析者が見ても内容が分かりやすく、トラブルシュートがしやすくなります。

使い方の基本

pcapngファイルは、パケットキャプチャを行うツールで作成されます。代表的なツールには Wireshark、tshark、tcpdump があります。使い方の基本は「キャプチャを開始して、必要なインターフェースを選んでファイルとして保存する」だけです。保存時に pcapng形式を選ぶと、後から解析時に豊富なメタ情報を活用できます。解析の際はツールを使ってファイルを開き、パケットの内容や重要なタイムスタンプ、インターフェースの情報を確認します。初心者の方はまずWiresharkのGUIでファイルを開くところから始めると理解が進みやすいでしょう。

ファイル構造のイメージ

pcapngは「ブロック」という部品を順番につなげてファイルを作ります。代表的なブロックには以下のようなものがあります。

インターフェース説明ブロック：どのインターフェースからデータが取得されたかを説明します。

Enhanced Packet Block：実際のパケットデータを格納します。従来のPCAPと同様にパケットデータを保持しますが、タイムスタンプの精度や追加情報を含めることができます。

オプションブロック：ファイル全体に対するメタ情報やキャプチャ条件を追加で記録します。

表で見るPCAPNGとPCAPの違い

項目	PCAP	PCAPNG
ファイル構造	単一のデータストリーム	複数ブロックの組み合わせ
メタ情報の扱い	限定的	豊富なメタ情報を追加可能
複数インターフェース対応	難しい	容易に対応可能
拡張性	低い	高い

実務でのポイント

学習用には pcapng形式を覚えておくと、将来のトラブルシュートやセキュリティ調査で役立ちます。ファイルの拡張子は通常 .pcapng となり、ツールによっては自動的にこの形式で保存されます。解析時には、どのブロックが使われているか、どのインターフェースからデータを取得しているかを確認することが大切です。また、パケットデータは秘匿情報を含むことがあるため、扱いには注意しましょう。

まとめ

pcapngは従来のPCAPを置き換える“次世代”のパケット保存形式です。複数のブロックを組み合わせて、インターフェース情報やパケットデータ、解析用の情報を一つのファイルに整理して保存できます。そのため、ネットワークの学習やトラブル解決、セキュリティ調査の際にとても便利です。初心者の方はまずWiresharkでpcapngファイルを開く体験から始め、ブロックの役割を少しずつ覚えていくと良いでしょう。

pcapngの同意語

PCAP Next Generation: pcapng の正式名称。従来の PCAP 形式の後継ファイルフォーマットで、複数のインターフェイス情報やメタデータブロックを格納できる仕様です。Wireshark や tcpdump などのツールで広くサポートされています。
pcap-ng: pcapng の別表記。ハイフンのある表記で同じフォーマットを指します。
pcapngファイル: pcapng 形式のファイル。パケットキャプチャのデータと関連メタデータを格納するためのファイルタイプです。
pcapngフォーマット: pcapng のファイル構造・規格を指す表現。フォーマット名として使われます。
PCAPNG: 大文字表記の略称。意味は同じく、Next Generation の PCAP ファイルフォーマットを指します。
パケットキャプチャネクストジェネレーション形式: 日本語での表現。次世代のパケットキャプチャ形式という意味で pcapng を指します。

pcapngの対義語・反対語

旧式PCAPフォーマット: pcapngの対義語として使われることが多い、従来のPCAPフォーマット。機能は制限され、拡張性が低い。
テキストキャプチャ形式: pcapngは主にバイナリ形式で保存されるのに対し、テキストキャプチャ形式はキャプチャデータをテキストで表現するタイプ。読みやすい反面ファイルサイズが大きくなり、解析ツールの対応が限られることがある。
非PCAPNGフォーマット: pcapng以外のフォーマット全般を指す広義の対義語。PCAPや他のキャプチャデータ形式が含まれる。
ヘックスダンプ（生データのテキスト表現）: バイナリデータを16進数と文字で人が読める形に表示する形式。pcapngの構造化・解釈とは別に、原始データの表示として用いられる。
生データ表現（バイナリを直接表示する形式）: pcapngのように構造化されたフォーマットではなく、バイナリデータをそのまま連続表示・保存する形式。解析には別のツールや解釈が必要になることが多い。

pcapngの共起語

PCAP: 従来のパケットキャプチャファイル形式。pcapngの前身で、古いツールとの互換性の話題でよく登場する用語です。
pcap: PCAPは従来形式の略称。pcapngの前身で、ツール間の互換性を語る際に頻出します。
Wireshark: ネットワーク解析ツールの定番。pcapngを読み書きでき、詳細な解析が可能です。
tcpdump: コマンドラインのパケットキャプチャツール。pcap/pcapngファイルへ保存するのに広く使われます。
tshark: Wiresharkのコマンドライン版。pcapngの解析・データ抽出を自動化できます。
libpcap: パケットキャプチャ用の基盤ライブラリ。tcpdumpやWiresharkなどがこれを利用してデータを扱います。
Npcap: Windows向けのキャプチャドライバ。pcapngの読み書きをサポートします。
ブロック: pcapngファイルを構成する基本的な単位。複数のブロックが組み合わさってファイル全体を形作ります。
セクションヘッダーブロック: pcapng全体の開始点となるブロック。エンディアン情報やバージョン情報を含みます。
インターフェース説明ブロック: キャプチャ対象インターフェースの情報を格納するブロック。リンク層タイプやスナップレングスなどを含みます。
拡張パケットブロック: パケットデータと関連メタデータを格納する主力ブロックの一種です。
シンプルパケットブロック: パケットデータを格納する簡易なブロックです。
パケットブロック: パケットデータを格納するブロックの総称。EPBやSPBなどを含みます。
オプション: ブロックに追加情報を付与するための任意情報。補足データとして使われます。
オプションブロック: 特定のブロックに対して追加情報を格納するブロック形式です。
スナップレングス: キャプチャ時に取り込む最大データ長の設定。パケット全体ではなく取得データ量を制限します。
リンク層タイプ: パケットがどのデータリンク層でキャプチャされたかを示す指標です。
DLT: Data Link Type の略。pcapngで使われるリンク層の種類を表現します。
データリンクタイプ: リンク層の種類を指す表現です（例: Ethernet、802.11 など）。
Ethernet: 最も一般的なデータリンク層タイプ。LANの基盤となる規格です。
802.11: Wi-Fiのデータリンク層タイプ。無線通信のキャプチャで使われます。
タイムスタンプ: パケットをキャプチャした時刻情報。解析の基準になります。
タイムスタンプ精度: 時刻情報の解像度（秒、ミリ秒、マイクロ秒、ナノ秒など）です。
エンディアン: バイト順。セクションヘッダーブロックの情報として決定されます。
名前解決ブロック: ホスト名とIPアドレスの対応など、名前解決情報を格納するブロックです。
パディング: ブロック長を32ビット境界に揃えるための余白です。
アラインメント: データを適切な境界に揃える処理。読み取り性能と正確性に影響します。
キャプチャファイル: 実際にパケットをキャプチャして保存したファイルの総称です。pcapng形式が一般的です。
フォーマット互換性: pcapngと従来のpcap形式との互換性・変換の話題です。
ネットワーク解析: トラフィックを分析・可視化する作業全般を指します。pcapngはそのデータ元になります。
パケットデータ: 各パケットの生データ。pcapngファイル内で格納・再現されます。

pcapngの関連用語

pcapng: 次世代のパケットキャプチャファイルフォーマット。ブロックと呼ばれる小さなデータ箱を組み合わせて、パケットデータやメタ情報を柔軟に格納します。複数インターフェースのキャプチャや拡張機能をサポートします。
pcap: 従来のパケットキャプチャファイルフォーマット。pcapngより古く、広く互換性がありますが拡張性は限定的です。
libpcap: パケットキャプチャを扱う共通ライブラリ。Unix系環境で広く使われ、pcap/pcapngの読み書きを提供します。
Npcap: Windows向けの現代的なキャプチャライブラリ。WinPcap互換機能と高速性を提供します。
WinPcap: Windows向けの旧式キャプチャライブラリ。現在はNpcapなどに置き換えられつつあります。
Wireshark: ネットワーク解析ツール。pcap/pcapngファイルを開いて、パケットの内容を可視化・解析します。
tshark: Wiresharkのコマンドライン版。スクリプトや自動化で解析結果を得るのに便利です。
Block: pcapngの基本単位。Block TypeとBlock Lengthを持ち、データやメタ情報を格納します。
Section Header Block: pcapngの最初のブロック。エンディアンの指定、バージョン、Section Lengthなどを定義します。
Interface Description Block: キャプチャを行ったインターフェースの情報を格納。リンク層タイプとスナップ長を含みます。
Enhanced Packet Block: 実際のパケットデータを格納する主要ブロック。タイムスタンプ、インターフェースID、キャプチャ長、元データ長を含みます。
Simple Packet Block: 単一パケットを格納する簡易ブロック。旧形式のpcap互換性を目的として使われることがあります。
Name Resolution Block: 名前解決情報を格納。ホスト名とIPアドレスの対応などを記録します。
Interface Statistics Block: インターフェースごとの統計情報（受信/送信パケット数、ドロップ数など）を格納します。
Custom Block: ユーザー定義のデータや拡張情報を格納できるブロック。
Option: ブロックに追加情報を付与する仕組み。オプションはタイプ・長さ・値の形式でメタデータを格納します。
Time Stamp Resolution: タイムスタンプの時間単位を表します。秒、ミリ秒、マイクロ秒、ナノ秒などを設定できます。
Byte Order Magic: セクションのエンディアンを示す魔法値。0x1A2B3C4D はリトルエンディアン、0x4D3C2B1A はビッグエンディアンを意味します。
Section Length: Section Header Block 内のセクション長。未知の場合は -1（0xFFFFFFFF）で表されます。
Block Total Length: 各ブロックの全長を示す32bit値。ブロックのヘッダとボディを合計した長さです。
LinkType: データリンク層の種類を識別します。Ethernet や IEEE 802.11 などを区別します。
SnapLen: キャプチャ時に保存する最大バイト数。パケットが大きくてもこの長さまでしか保存されません。
End of File Block: ファイルの終端を示すブロック。ファイルの終了を明示します。