Ja sigui realitzant un rastreig de paquets o rastrejant i capturant paquets d'una xarxa, el resultat sol ser la creació d'un fitxer de captura .cap. Aquest fitxer de captura de paquets .cap, pcap o wcap es crea independentment del que utilitzeu per ensumar una xarxa, una tasca força habitual entre els administradors de xarxa i els professionals de la seguretat. Potser la manera més fàcil d'obrir, llegir i interpretar un .El fitxer cap utilitza la utilitat tcpdump integrada en una màquina Mac o Linux.

Suposant que ja heu capturat un rastre de paquets per a una connexió de xarxa i que heu creat un fitxer de paquets capturat amb una extensió .cap, .pcap o .wcap des de tcpdump, wireshark, airport, Wireless Diagnostics Sniffer o qualsevol altra utilitat de xarxa que utilitzeu, tot el que heu de fer per veure el fitxer .cap és iniciar Terminal a OS Xi, a continuació, escriure la següent cadena d'ordres, ajustant la sintaxi segons sigui necessari:

tcpdump -r /path/to/packetfile.cap

La majoria de les vegades, un fitxer .cap és bastant gran, així que el millor és canalitzar el fitxer .cap a menys o més per escanejar, utilitzarem menys:

tcpdump -r /path/to/packetfile.cap | menys

Per exemple, suposem que hi ha un fitxer de captura situat a /tmp/airportSniff8471xEG.cap que es va generar a partir de la supervisió d'una xarxa wi-fi local amb la fantàstica utilitat de línia d'ordres de l'aeroport, la sintaxi seria:

tcpdump -r /tmp/airportSniff8471xEG.cap | menys

El fitxer es pot escanejar, interpretar, llegir, moure's, cercar o qualsevol altra cosa que vulgueu fer amb ell. No tractarem detalls sobre el tipus de dades que contenen els fitxers .cap i què fer-hi en aquest tutorial, però fins i tot si no esteu a l'administració de sistemes o de xarxa, pot ser una experiència perspicaç, si no interessant.

Si alguna vegada heu provat d'utilitzar cat en un fitxer .cap, sabeu que es tradueix en un munt de galimatismes que arruïnaran el terminal, sovint requerint un restabliment del terminal per esborrar el galimat a la pantalla. Tot i que hi ha moltes aplicacions de tercers per interpretar i llegir fitxers .cap, amb la possibilitat de fer-ho de forma nativa a la línia d'ordres, generalment hi ha poques raons per obtenir una altra aplicació per escanejar simplement un fitxer de paquet capturat.

Òbviament ens centrem a llegir fitxers .cap a Mac OS X aquí, però l'ordre tcpdump també existeix a gairebé totes les versions de Linux que hi ha, la qual cosa la converteix en una utilitat de línia d'ordres gairebé universal per a molts. varietats d'unix. Només una cosa a tenir en compte.