Of het nu gaat om het traceren van pakketten of het snuiven en vastleggen van pakketten van een netwerk, het resultaat is meestal het maken van een .cap-capture-bestand. Dat .cap-, pcap- of wcap-pakketopnamebestand wordt gemaakt, ongeacht wat u gebruikt om aan een netwerk te snuffelen, een vrij veel voorkomende taak onder netwerkbeheerders en beveiligingsprofessionals. Misschien wel de gemakkelijkste manier om een ​​.cap gebruikt het ingebouwde tcpdump-hulpprogramma op een Mac- of Linux-computer.

Ervan uitgaande dat u al een pakkettracering voor een netwerkverbinding hebt vastgelegd en een vastgelegd pakketbestand hebt gemaakt met de extensie .cap, .pcap of .wcap van tcpdump, wireshark, airport, Wireless Diagnostics Sniffer tool of welk ander netwerkhulpprogramma u ook gebruikt, het enige wat u hoeft te doen om het .cap-bestand te bekijken, is Terminal starten in OS Xen vervolgens de volgende opdrachtreeks typen, waarbij u de syntaxis indien nodig aanpast:

tcpdump -r /path/to/packetfile.cap

Meestal is een .cap-bestand vrij groot, dus het is het beste om het .cap-bestand naar minder of meer door te pipen om te scannen, we gebruiken minder:

tcpdump -r /path/to/packetfile.cap | minder

Laten we bijvoorbeeld zeggen dat er een opnamebestand is in /tmp/airportSniff8471xEG.cap dat is gegenereerd door het monitoren van een lokaal wifi-netwerk met het fantastische opdrachtregelhulpprogramma van de luchthaven, de syntaxis zou zijn:

tcpdump -r /tmp/airportSniff8471xEG.cap | minder

Het bestand kan eenvoudig worden gescand, geïnterpreteerd, gelezen, erin worden verplaatst, doorzocht of wat u er ook mee wilt doen. We zullen in deze walkthrough geen details bespreken over het type gegevens in de .cap-bestanden en wat u ermee kunt doen, maar zelfs als u niet in systeem- of netwerkbeheer zit, kan het toch een verhelderende, zo niet interessante ervaring zijn.

Als je ooit hebt geprobeerd cat op een .cap-bestand te gebruiken, weet je dat dit resulteert in een hoop gebrabbel dat de Terminal zal doen opborrelen en vaak een Terminal-reset vereist om het gebrabbel op het scherm te wissen. Hoewel er veel apps van derden zijn om .cap-bestanden te interpreteren en te lezen, is er, met de mogelijkheid om dit standaard in de opdrachtregel te doen, over het algemeen weinig reden om een ​​andere app aan te schaffen om simpelweg een vastgelegd pakketbestand te scannen.

We richten ons hier duidelijk op het lezen van .cap-bestanden in Mac OS X, maar de opdracht tcpdump bestaat ook op zowat elke versie van Linux, waardoor dit voor velen een bijna universeel hulpprogramma voor de opdrachtregel is varianten van unix. Gewoon iets om in gedachten te houden.