Fie că se efectuează o urmărire a unui pachet sau se adulmecă și se captează pachete dintr-o rețea, rezultatul este de obicei crearea unui fișier de captură .cap. Fișierul de captură de pachete .cap, pcap sau wcap este creat indiferent de ceea ce utilizați pentru a detecta o rețea, o sarcină destul de comună printre administratorii de rețea și profesioniștii în securitate. Poate cel mai simplu mod de a deschide, citi și interpreta un .fișierul cap folosește utilitarul tcpdump încorporat pe o mașină Mac sau Linux.

Presumând că ați capturat deja o urmă de pachet pentru o conexiune de rețea și ați creat un fișier de pachet capturat cu o extensie .cap, .pcap sau .wcap de la tcpdump, wireshark, aeroport, Wireless Diagnostics Sniffer instrument sau orice alt utilitar de rețea pe care îl utilizați, tot ce trebuie să faceți pentru a vizualiza fișierul .cap este să lansați Terminalul în OS Xși apoi să tastați următorul șir de comandă, ajustând sintaxa după cum este necesar:

tcpdump -r /path/to/packetfile.cap

De cele mai multe ori un fișier .cap este destul de mare, așa că cel mai bine este să direcționați fișierul .cap în mai puțin sau mai mult pentru scanare, vom folosi mai puțin:

tcpdump -r /path/to/packetfile.cap | Mai puțin

De exemplu, să presupunem că există un fișier de captură situat la /tmp/airportSniff8471xEG.cap care a fost generat din monitorizarea unei rețele wi-fi locale cu ajutorul fantasticului utilitar de linie de comandă pentru aeroport, sintaxa ar fi:

tcpdump -r /tmp/airportSniff8471xEG.cap | Mai puțin

Fișierul poate fi ușor scanat, interpretat, citit, mutat, căutat sau orice altceva doriți să faceți cu el. Nu vom acoperi detalii despre tipul de date conținute în fișierele .cap și ce să facem cu ele în acest tutorial, dar chiar dacă nu sunteți în administrarea sistemelor sau a rețelei, poate fi totuși o experiență perspicace, dacă nu interesantă.

Dacă ați încercat vreodată să utilizați cat într-un fișier .cap, știți că are ca rezultat o grămadă de farfurii care vor distruge terminalul, necesitând adesea o resetare a terminalului pentru a șterge galimatia de pe ecran. Deși există multe aplicații terțe pentru interpretarea și citirea fișierelor .cap, cu capacitatea de a face acest lucru integrată nativ în linia de comandă, în general, există puține motive pentru a obține o altă aplicație pentru doar scanarea unui fișier pachet capturat.

Ne concentrăm, evident, pe citirea fișierelor .cap în Mac OS X aici, dar comanda tcpdump există și pe aproape orice versiune de Linux, ceea ce face din acesta un utilitar de linie de comandă aproape universal pentru mulți. varietăți de Unix. Doar ceva de reținut.