Выполняется ли трассировка пакетов или анализ и захват пакетов из сети, результатом обычно является создание файла захвата .cap. Этот файл захвата пакетов .cap, pcap или wcap создается независимо от того, что вы используете для прослушивания сети, что является довольно распространенной задачей среди сетевых администраторов и специалистов по безопасности. Возможно, самый простой способ открыть, прочитать и интерпретировать файл .cap использует встроенную утилиту tcpdump на компьютере Mac или Linux.

Предположим, что вы уже захватили трассировку пакета для сетевого подключения и создали созданный файл перехваченного пакета с расширением .cap, .pcap или .wcap из tcpdump, wireshark, airport, Wireless Diagnostics Sniffer инструмент или любую другую сетевую утилиту, которую вы используете, все, что вам нужно сделать для просмотра файла .cap, — это запустить Терминал в OS X , а затем ввести следующую командную строку, при необходимости изменив синтаксис:

tcpdump -r /path/to/packetfile.cap

В большинстве случаев файл .cap довольно большой, поэтому для сканирования лучше передать файл .cap в меньше или больше, мы будем использовать меньше:

tcpdump -r /path/to/packetfile.cap | меньше

Например, предположим, что есть файл захвата, расположенный в /tmp/airportSniff8471xEG.cap, который был создан в результате мониторинга локальной сети Wi-Fi с помощью фантастической утилиты командной строки аэропорта, синтаксис будет следующим:

tcpdump -r /tmp/airportSniff8471xEG.cap | меньше

Файл можно легко сканировать, интерпретировать, читать, перемещать, искать или делать с ним любые другие действия. В этом пошаговом руководстве мы не будем подробно рассказывать о типах данных, содержащихся в файлах .cap, и о том, что с ними делать, но даже если вы не занимаетесь системным или сетевым администрированием, это все равно может быть полезным, если не интересным опытом.

Если вы когда-либо пытались использовать cat в файле .cap, вы знаете, что это приводит к куче тарабарщины, которая приводит к перегрузке терминала, часто требуя перезагрузки терминала, чтобы очистить тарабарщину на экране. Несмотря на то, что существует множество сторонних приложений для интерпретации и чтения файлов .cap, с возможностью сделать это, встроенной в командную строку, как правило, мало причин для получения другого приложения для простого сканирования захваченного пакетного файла.

Мы, очевидно, сосредоточены здесь на чтении файлов .cap в Mac OS X, но команда tcpdump существует почти во всех версиях Linux, что делает ее практически универсальной утилитой командной строки для многих разновидности юникс. Просто кое-что, что нужно иметь в виду.