Niezależnie od tego, czy wykonujesz śledzenie pakietów, czy też sniffujesz i przechwytujesz pakiety z sieci, zazwyczaj wynikiem jest utworzenie pliku przechwytywania .cap. Ten plik przechwytywania pakietów .cap, pcap lub wcap jest tworzony niezależnie od tego, czego używasz do wąchania sieci, co jest dość powszechnym zadaniem wśród administratorów sieci i specjalistów ds. Bezpieczeństwa. Być może najłatwiejszy sposób otwierania, czytania i interpretowania pliku .cap korzysta z wbudowanego narzędzia tcpdump na komputerze z systemem Mac lub Linux.

Zakładając, że przechwyciłeś już ślad pakietu dla połączenia sieciowego i utworzyłeś utworzony plik przechwyconego pakietu z rozszerzeniem .cap, .pcap lub .wcap z tcpdump, wireshark, airport, Wireless Diagnostics Sniffer lub jakiekolwiek inne narzędzie sieciowe, którego używasz, wszystko, co musisz zrobić, aby wyświetlić plik .cap, to uruchomić Terminal w systemie OS X , a następnie wpisać następujący ciąg poleceń, dostosowując składnię w razie potrzeby:

tcpdump -r /ścieżka/do/packetfile.cap

Przeważnie plik .cap jest dość duży, więc najlepiej jest potokować plik .cap do mniej lub więcej do skanowania, zużyjemy mniej:

tcpdump -r /ścieżka/do/plikupakietu.cap | mniej

Załóżmy na przykład, że plik przechwytywania znajduje się w /tmp/airportSniff8471xEG.cap, który został wygenerowany podczas monitorowania lokalnej sieci Wi-Fi za pomocą fantastycznego narzędzia wiersza poleceń lotniska , składnia będzie następująca:

tcpdump -r /tmp/airportSniff8471xEG.cap | mniej

Plik można łatwo skanować, interpretować, czytać, przenosić, przeszukiwać i robić z nim cokolwiek innego. W tym przewodniku nie będziemy omawiać szczegółów dotyczących typu danych zawartych w plikach .cap ani tego, co z nimi zrobić, ale nawet jeśli nie zajmujesz się administrowaniem systemami lub siecią, może to być wnikliwe, jeśli nie interesujące doświadczenie.

Jeśli kiedykolwiek próbowałeś użyć cat w pliku .cap, wiesz, że skutkuje to bełkotem, który zaśmieca terminal, często wymagając resetu terminala, aby usunąć bełkot na ekranie. Chociaż istnieje wiele aplikacji innych firm do interpretowania i odczytywania plików .cap, z możliwością robienia tego natywnie wbudowaną w wiersz poleceń, generalnie nie ma powodu, aby pobierać inną aplikację do zwykłego skanowania przechwyconego pliku pakietu.

Oczywiście koncentrujemy się tutaj na odczytywaniu plików .cap w systemie Mac OS X, ale polecenie tcpdump istnieje również w prawie każdej wersji Linuksa, co sprawia, że ​​jest to niemal uniwersalne narzędzie wiersza poleceń dla wielu odmiany unixa. Tylko coś do zapamiętania.