はじめに Dunkheadはタイムスタンプ付きのテキストデータ(アクセスログなど)を手軽に可視化するためのソフトウェアです。Hadoop上で動作するため、データのサイズが大きい、いわゆるビッグデータの場合にも使用することができます。 今回は、ハッカーの祭典として知られるDefconで行われた電脳模擬戦(Defcon 8 CTF)のログをDunkheadで可視化し、ポートスキャンやホストスキャンの様子を観察してみます。 PCAP形式のデータをtsharkでテキストデータに変換する 可視化の対象とするデータは、tcpdumpによって収集された、いわゆるPCAP形式のファイル(パケットダンプ)となります。このデータはバイナリデータであり、通常はWiresharkというGUIのツールで開いたり、tcpdumpの-rオプションなどを使って読んだりします。今回はDunkheadを使って解析するため、タ
