Så läser .cap Packet Capture File på Mac OS X med tcpdump

Oavsett om ett paket spårar eller sniffar och tar emot paket från ett nätverk, är resultatet vanligtvis skapandet av en .cap-fångfil. Den .cap, pcap eller wcap-paketinspelningsfilen skapas oavsett vad du använder för att sniffa ett nätverk, en ganska vanlig uppgift bland nätverksadministratörer och säkerhetspersonal. Kanske är det enklaste sättet att öppna, läsa och tolka en .cap-fil använda det inbyggda tcpdump-verktyget på en Mac eller Linux-maskin.


Om du antar att du redan har tagit ett paketspår för en nätverksanslutning och skapat en skapad en fångad paketfil med en .cap, .pcap eller .wcap-förlängning från tcpdump, wireshark, airport, Wireless Diagnostics Sniffer-verktyg eller något annat nätverktyg du använder, allt du behöver göra för att visa .cap-filen är starta Terminal i OS X * och skriv sedan följande kommandorad, justera syntaxen efter behov:

tcpdump -r /path/to/packetfile.cap

För det mesta är en .cap-fil ganska stor så det är bäst att pipa .cap-filen till mindre eller mer för skanning, vi använder mindre:

tcpdump -r /path/to/packetfile.cap | less

Till exempel, låt oss säga att det finns en infångningsfil som ligger på /tmp/airportSniff8471xEG.cap som genererades från att övervaka ett lokalt Wi-Fi-nätverk med den fantastiska flygplatsens kommandoradsverktyg, skulle syntaxen vara:

tcpdump -r /tmp/airportSniff8471xEG.cap | less

Filen kan enkelt skannas, tolkas, läsas, flyttas runt, sökas eller vad som helst du vill göra med det. Vi kommer inte att täcka specifika uppgifter om typen av data som finns i .cap-filerna och vad vi ska göra med det här genomgången, men även om du inte befinner dig i system eller nätverksadministration kan det fortfarande vara en insikt om inte intressant upplevelse.

Om du någonsin har försökt att använda katt på en .cap-fil du vet vet det att det resulterar i en massa gibberish som kommer att borka upp terminalen, vilket ofta kräver en terminalåterställning för att rensa gibberishen på skärmen.
Medan det finns många tredjepartsprogram för att tolka och läsa .cap-filer, med möjligheten att göra det så inbyggt i kommandoraden finns det generellt lite anledning att få en annan app för att bara skanna en fångad paketfil.

* Vi har självklart fokus på att läsa .cap-filer i Mac OS X här, men kommandot tcpdump finns på nästan alla versioner av Linux där ute, vilket gör det till ett nästan universellt kommandoradsverktyg för många olika typer av unix. Bara något att tänka på.