Packet Capture Analysis pcap / pcapng を読んで、全体像の把握、IP の意味付け、PNG 可視化、Markdown レポート化まで進めるための skill。 When To Use - や を渡されて、まず何が起きているか把握したいとき - 主要通信先、主要会話、プロトコル構成を短時間で掴みたいとき - DNS、HTTP Host、TLS SNI、RDAP を使って IP に根拠付きラベルを付けたいとき - PNG グラフや Markdown レポートまで一緒に作りたいとき - 暗号化通信が多く、本文ではなく行動特性から説明したいとき - セキュリティ調査と運用調査のどちらにも使いたいとき Core Principles - まずキャプチャ品質を見る 。snaplen、時系列、件数、期間に問題があれば結論の強さを下げる。 - 最初の 3 手は固定 。 → → で全体像を作る。 - IP は生のまま並べない 。 の順で意味付けする。 - 証拠源は混ぜない 。 と のような別種の根拠は分けて持つ。 - Expert Information は入口であって結論ではない 。前後の会話量、方向、再送、再組立てを見直す。 - 暗号化通信は本文ではなく行動特性で説明する 。相手先、方向、量、時間帯、継続時間で語る。 - 一次集計は CLI、派生集計は Pyt…