Выполняя трассировку пакетов или обнюхивая и захватывая пакеты из сети, результатом обычно является создание файла захвата .cap. Этот файл захвата пакета .cap, pcap или wcap создается независимо от того, что вы используете для обнюхивания сети, довольно общей задачи среди сетевых администраторов и специалистов по безопасности. Возможно, самый простой способ открыть, прочитать и интерпретировать файл .cap использует встроенную утилиту tcpdump на компьютере Mac или Linux.
Предполагая, что вы уже захватили трассировку пакетов для сетевого подключения и создали созданный захваченный пакетный файл с расширением .cap, .pcap или .wcap из tcpdump, wirehark, airport, Wireless Diagnostics Sniffer tool или любой другой сетевой утилиты, которую вы , Все, что вам нужно сделать для просмотра файла .cap, запускает Terminal в OS X *, а затем вводит следующую командную строку, при необходимости настраивая синтаксис:
tcpdump -r /path/to/packetfile.cap
В большинстве случаев файл .cap достаточно велик, поэтому лучше всего трассировать файл .cap меньше или больше для сканирования, мы будем использовать меньше:
tcpdump -r /path/to/packetfile.cap | Меньше
Например, скажем, файл захвата, расположенный в файле /tmp/airportSniff8471xEG.cap, который был создан при мониторинге локальной сети wi-fi с помощью фантастической утилиты командной строки аэропорта, синтаксис будет выглядеть следующим образом:
tcpdump -r /tmp/airportSniff8471xEG.cap | Меньше
Файл можно легко сканировать, интерпретировать, читать, перемещать, искать или что-то еще, что вы хотите сделать с ним. Мы не будем подробно описывать тип данных, содержащихся в файлах .cap, и что делать с ним в этом пошаговом руководстве, но даже если вы не находитесь в системах или администрировании сети, это может быть проницательный, если не интересный опыт.
Если вы когда-либо пытались использовать кошку в файле .cap, вы знаете, что это приводит к кучей тарабарщины, которая приведет к тому, что Терминал часто требует перезагрузки терминала, чтобы очистить тарабарщину на экране.
Хотя есть много сторонних приложений для интерпретации и чтения файлов .cap, с возможностью сделать это изначально встроенным в командную строку, как правило, нет оснований для получения другого приложения для просто сканирования захваченного пакетного файла.
* Мы, очевидно, фокусируемся на чтении файлов .cap в Mac OS X здесь, но команда tcpdump существует практически для каждой версии Linux, что делает ее почти универсальной утилитой командной строки для многих разновидностей unix. Просто нужно иметь в виду.