Uanset om der udføres en pakkesporing eller sniffning og indfangning af pakker fra et netværk, er resultatet norm alt oprettelsen af ​​en .cap capture-fil. Den .cap-, pcap- eller wcap-pakkefangstfil oprettes uanset hvad du bruger til at opsnuse et netværk, en ret almindelig opgave blandt netværksadministratorer og sikkerhedsprofessionelle. Måske den nemmeste måde at åbne, læse og fortolke en .cap-filen bruger det indbyggede tcpdump-værktøj på en Mac- eller Linux-maskine.

Forudsat at du allerede har fanget et pakkespor til en netværksforbindelse og oprettet en fanget pakkefil med en .cap, .pcap eller .wcap filtypenavn fra tcpdump, wireshark, lufthavn, Wireless Diagnostics Sniffer værktøj, eller hvilket som helst andet netværksværktøj du bruger, alt hvad du skal gøre for at se .cap-filen er at starte Terminal i OS Xog derefter skrive følgende kommandostreng, justere syntaksen efter behov:

tcpdump -r /path/to/packetfile.cap

Det meste af tiden er en .cap-fil ret stor, så det er bedst at overføre .cap-filen til mindre eller mere til scanning, vi bruger mindre:

tcpdump -r /path/to/packetfile.cap | mindre

For eksempel, lad os sige, at der er en optagelsesfil placeret på /tmp/airportSniff8471xEG.cap, som blev genereret fra overvågning af et lok alt wi-fi-netværk med det fantastiske lufthavnskommandolinjeværktøj, syntaksen ville være:

tcpdump -r /tmp/airportSniff8471xEG.cap | mindre

Filen kan nemt scannes, fortolkes, læses, flyttes rundt i, søges i eller hvad du nu ellers vil lave med den. Vi vil ikke dække detaljer om typen af ​​data, der er indeholdt i .cap-filerne, og hvad man skal gøre med dem i denne gennemgang, men selvom du ikke er i system- eller netværksadministration, kan det stadig være en indsigtsfuld, hvis ikke interessant oplevelse.

Hvis du nogensinde har prøvet at bruge cat på en .cap-fil, ved du, at det resulterer i en masse sludder, som vil spolere terminalen, hvilket ofte kræver en Terminal-nulstilling for at rydde sludderet på skærmen. Selvom der er mange tredjepartsapps til at fortolke og læse .cap-filer, med muligheden for at gøre det indbygget i kommandolinjen, er der generelt ringe grund til at få en anden app til blot at scanne en optaget pakkefil.

Vi fokuserer naturligvis på at læse .cap-filer i Mac OS X her, men tcpdump-kommandoen findes på stort set alle versioner af Linux derude også, hvilket gør dette til et næsten universelt kommandolinjeværktøj for mange varianter af unix. Bare noget at huske på.