Ať se provádí trasování paketů nebo sniffování a zachycování paketů ze sítě, výsledkem je obvykle vytvoření souboru pro zachycení .cap. Tento soubor pro zachycení paketů .cap, pcap nebo wcap je vytvořen bez ohledu na to, co používáte k prohledávání sítě, což je poměrně běžný úkol mezi správci sítí a bezpečnostními profesionály. Snad nejjednodušší způsob, jak otevřít, přečíst a interpretovat soubor .cap používá vestavěný nástroj tcpdump na počítači Mac nebo Linux.

Za předpokladu, že jste již zachytili trasování paketů pro síťové připojení a vytvořili vytvořený soubor zachycených paketů s příponou .cap, .pcap nebo .wcap z tcpdump, wireshark, airport, Wireless Diagnostics Sniffer nástroj nebo jakýkoli jiný síťový nástroj, který používáte, vše, co potřebujete k zobrazení souboru .cap udělat, je spustit Terminál v OS Xa poté zadat následující příkazový řetězec a podle potřeby upravit syntaxi:

tcpdump -r /cesta/k/packetfile.cap

Většinou je soubor .cap poměrně velký, takže je nejlepší soubor .cap pro skenování rozdělit na méně nebo více, my použijeme méně:

tcpdump -r /cesta/k/packetfile.cap | méně

Například řekněme, že se na adrese /tmp/airportSniff8471xEG.cap nachází soubor zachycení, který byl vygenerován z monitorování místní wi-fi sítě pomocí fantastického nástroje příkazového řádku letiště, syntaxe by byla:

tcpdump -r /tmp/airportSniff8471xEG.cap | méně

Soubor lze snadno skenovat, interpretovat, číst, přesouvat, prohledávat nebo cokoli jiného, ​​co s ním chcete dělat. V tomto návodu se nebudeme zabývat podrobnostmi o typu dat obsažených v souborech .cap a o tom, co s nimi dělat, ale i když nejste v administraci systémů nebo sítě, může to být zajímavá, ne-li zajímavá zkušenost.

Pokud jste někdy zkusili použít cat v souboru .cap, víte, že to má za následek hromadu nesmyslů, které zanesou Terminál, což často vyžaduje resetování terminálu, aby se vymazal nesmysl na obrazovce. I když existuje mnoho aplikací třetích stran pro interpretaci a čtení souborů .cap, s možností tak učinit nativně zabudovanou do příkazového řádku je obecně málo důvodů pořizovat si jinou aplikaci pro pouhé skenování zachyceného souboru paketů.

Samozřejmě se zde zaměřujeme na čtení souborů .cap v Mac OS X, ale příkaz tcpdump existuje téměř ve všech verzích Linuxu, což z něj dělá téměř univerzální nástroj příkazového řádku pro mnohé odrůdy unixu. Jen něco, co je třeba mít na paměti.