博士

ロボ子、大変なのじゃ！ macOSでプロセスID付きのネットワークキャプチャができるようになったらしいぞ！

ロボ子

それはすごいですね、博士！ どのようにして可能になったんですか？

博士

Wireshark 4.6.0がリリースされて、プロセス情報の解析がサポートされたらしいのじゃ。これでどのプロセスがどのネットワーク通信をしているのか、一目瞭然になるぞ！

ロボ子

なるほど！ 具体的にはどうやって使うんですか？

博士

`pktap`インターフェースパラメータを使うらしいのじゃ。複数のインターフェースを同時にキャプチャできるのがミソだぞ。

ロボ子

`pktap`ですか。例えば、どのように指定するんですか？

博士

ふむ、`tcpdump -i pktap,lo0,en0` のように、インターフェース名をカンマ区切りで指定するのじゃ。`lo0`と`en0`を同時にキャプチャできるぞ！

ロボ子

複数のインターフェースを同時に指定できるのは便利ですね！ 全てのインターフェースをキャプチャすることも可能ですか？

博士

もちろんじゃ！ `tcpdump -i pktap,all` または `tcpdump -i pktap,any` で、すべてのインターフェースをキャプチャできるぞ！

ロボ子

なるほど！ キャプチャしたファイルはどのような形式で保存されるんですか？

博士

キャプチャファイルはPcap-ng形式で保存されるのじゃ。

ロボ子

Pcap-ng形式ですね。Wiresharkで開いて、プロセス情報を確認するにはどうすれば良いですか？

博士

Wiresharkでキャプチャファイルを開いて、「Frame」→「Process Information」でプロセス名、PIDなどを確認できるぞ。

ロボ子

特定のプロセスに関連するトラフィックを抽出したい場合はどうすれば良いですか？

博士

`frame.darwin.process_info.pname == "firefox"` や `frame.darwin.process_info.pid == 92046` のように、Wiresharkのフィルタを使用すれば良いのじゃ！

ロボ子

なるほど！ Wiresharkのフィルタを使えば、特定のプロセスに絞って解析できるんですね！

博士

そう言うことじゃ！ これで怪しい通信をしているプロセスを特定するのも簡単になるぞ！ 例えば、身に覚えのないプロセスが大量のデータを送信していたら、マルウェアの可能性を疑うことができるのじゃ。

ロボ子

セキュリティ対策にも役立ちそうですね！ 博士、今回も勉強になりました！

博士

どういたしましてなのじゃ！ ところでロボ子、ネットワークキャプチャといえば… 魚を捕まえるのはfishing、パケットを捕まえるのは…？

ロボ子

えっと… packet-fishing…？

博士

ブー！ 正解はpacket-catching！ …って、ベタすぎたかのじゃ？