Sådan læses .cap Packet Capture File på Mac OS X med tcpdump

Uanset om der udføres en pakkesporing eller sniffing og indfangning af pakker fra et netværk, er resultatet som regel oprettelsen af ​​en .cap capture-fil. At .cap, pcap eller wcap pakkefangstfilen oprettes, uanset hvad du bruger til at snuse et netværk, en temmelig almindelig opgave blandt netværksadministratorer og sikkerhedspersonale. Måske er den nemmeste måde at åbne, læse og fortolke en .cap-fil ved hjælp af det indbyggede tcpdump-værktøj på en Mac eller Linux-maskine.


Hvis du antager, at du allerede har fanget et pakkespor til en netværksforbindelse og oprettet en oprettet pakkede fil med en .cap, .pcap eller .wcap-udvidelse fra tcpdump, wireshark, lufthavn, Wireless Diagnostics Sniffer-værktøj eller hvad som helst andet netværksværktøj du 'bruger, alt hvad du skal gøre for at se .cap-filen er start-terminal i OS X *, og skriv derefter følgende kommandostreng, og juster syntaxen efter behov:

tcpdump -r /path/to/packetfile.cap

Det meste af tiden er en .cap-fil ret stor, så det er bedst at røre .cap-filen i mindre eller mere for scanning, vi bruger mindre:

tcpdump -r /path/to/packetfile.cap | less

Lad os f.eks. Sige, at der er en capture-fil placeret på /tmp/airportSniff8471xEG.cap, som blev genereret fra at overvåge et lokalt Wi-Fi-netværk med den fantastiske lufthavnskommandolinje, syntaxen ville være:

tcpdump -r /tmp/airportSniff8471xEG.cap | less

Filen kan let scannes, tolkes, læses, flyttes rundt i, søges eller hvad du ellers vil gøre med det. Vi dækker ikke specifikationer om typen af ​​data, der er indeholdt i .cap-filerne, og hvad de skal gøre med det i dette gennemgang, men selvom du ikke er i systemer eller netværksadministration, kan det stadig være en indsigt, hvis ikke interessant oplevelse.

Hvis du nogensinde har forsøgt at bruge kat på en .cap-fil, du ved det, resulterer det i en flok gibberish, som vil bork op Terminal, der ofte kræver en Terminal reset for at rydde gibberish på skærmen.
Selv om der er mange tredjeparts apps til at fortolke og læse .cap filer, med evnen til at gøre det så indbygget ind i kommandolinjen, er der generelt ikke grund til at få en anden app til blot at scanne en indfanget pakkefil.

* Vi lægger tydeligvis vægt på at læse .cap-filer i Mac OS X her, men tcpdump-kommandoen findes på næsten alle versioner af Linux derude, hvilket gør dette til et næsten universelt kommandolinjeværktøj til mange varianter af unix. Bare noget at huske på.