Enten du utfører en pakkesporing eller snuser og fanger pakker fra et nettverk, er resultatet vanligvis opprettelsen av en .cap-fangstfil. Den .cap-, pcap- eller wcap-pakkefangstfilen opprettes uavhengig av hva du bruker for å snuse et nettverk, en ganske vanlig oppgave blant nettverksadministratorer og sikkerhetseksperter. Kanskje den enkleste måten å åpne, lese og tolke en .cap-filen bruker det innebygde tcpdump-verktøyet på en Mac- eller Linux-maskin.

Forutsatt at du allerede har fanget en pakkesporing for en nettverkstilkobling og opprettet en fanget pakkefil med en .cap, .pcap eller .wcap-utvidelse fra tcpdump, wireshark, airport, Wireless Diagnostics Sniffer verktøyet, eller hvilket som helst annet nettverksverktøy du bruker, alt du trenger å gjøre for å se .cap-filen er å starte Terminal i OS Xog deretter skrive inn følgende kommandostreng, justere syntaksen etter behov:

tcpdump -r /path/to/packetfile.cap

For det meste er en .cap-fil ganske stor, så det er best å overføre .cap-filen til mindre eller flere for skanning, vi bruker mindre:

tcpdump -r /path/to/packetfile.cap | mindre

For eksempel, la oss si at det er en fangstfil på /tmp/airportSniff8471xEG.cap som ble generert fra overvåking av et lok alt wi-fi-nettverk med det fantastiske flyplasskommandolinjeverktøyet , syntaksen vil være:

tcpdump -r /tmp/airportSniff8471xEG.cap | mindre

Filen kan enkelt skannes, tolkes, leses, flyttes rundt i, søkes i eller hva du ellers ønsker å gjøre med den. Vi vil ikke dekke spesifikke opplysninger om typen data som finnes i .cap-filene og hva du skal gjøre med dem i denne gjennomgangen, men selv om du ikke er i system- eller nettverksadministrasjon, kan det fortsatt være en innsiktsfull om ikke interessant opplevelse.

Hvis du noen gang har prøvd å bruke cat på en .cap-fil, vet du at det resulterer i en haug med sludder som vil tråkke opp i terminalen som ofte krever en tilbakestilling av terminal for å fjerne sludder på skjermen. Selv om det er mange tredjepartsapper for å tolke og lese .cap-filer, med muligheten til å gjøre det innebygd i kommandolinjen, er det vanligvis liten grunn til å få en annen app for å skanne en pakkefil som er tatt.

Vi fokuserer åpenbart på å lese .cap-filer i Mac OS X her, men tcpdump-kommandoen finnes på omtrent alle versjoner av Linux der ute også, noe som gjør dette til et nesten universelt kommandolinjeverktøy for mange varianter av unix. Bare noe å huske på.