Slik leser .cap Packet Capture File på Mac OS X med tcpdump

Uansett om en pakke sporer eller sniffer og fanger pakker fra et nettverk, er resultatet vanligvis opprettelsen av en .cap-fangstfil. At .cap, pcap eller wcap pakkeoppfangingsfil opprettes uansett hva du bruker til å snuse et nettverk, en ganske vanlig oppgave blant nettverksadministratorer og sikkerhetsprofessorer. Kanskje den enkleste måten å åpne, lese og tolke en .cap-fil bruker, er det innebygde tcpdump-verktøyet på en Mac eller Linux-maskin.


Forutsatt at du allerede har tatt et pakkespor for en nettverkstilkobling, og opprettet en opprettet pakkefil med en .cap-, .pcap- eller .wcap-utvidelse fra tcpdump, wireshark, airport, Wireless Diagnostics Sniffer-verktøyet eller hvilket annet nettverksverktøy du bruker, alt du trenger å gjøre for å vise .cap-filen er startet Terminal i OS X * og skriv deretter følgende kommandostreng, juster syntaxen etter behov:

tcpdump -r /path/to/packetfile.cap

Mesteparten av tiden en .cap-fil er ganske stor, så det er best å pipe .cap-filen til mindre eller mer for skanning, vi vil bruke mindre:

tcpdump -r /path/to/packetfile.cap | less

For eksempel, la oss si at det er en fangstfil som ligger på /tmp/airportSniff8471xEG.cap, som ble generert fra å overvåke et lokalt Wi-Fi-nettverk med den fantastiske flyplassen kommandolinjeverktøyet, vil syntaksen være:

tcpdump -r /tmp/airportSniff8471xEG.cap | less

Filen kan enkelt skannes, tolkes, leses, flyttes rundt, søkte eller hva annet du vil gjøre med det. Vi vil ikke dekke detaljer om typen data som finnes i .cap-filene og hva de skal gjøre med det i dette gjennomgangen, men selv om du ikke er i system eller nettverksadministrasjon, kan det fortsatt være en innsikt hvis ikke interessant opplevelse.

Hvis du noen gang har prøvd å bruke katt på en .cap-fil du vet, resulterer det i en gjeng med gibberish som vil bork opp Terminal, og krever ofte en terminal reset for å fjerne gibberish på skjermen.
Mens det er mange tredjepartsprogrammer for å tolke og lese .cap-filer, med muligheten til å gjøre det så naturlig innbygget i kommandolinjen, er det generelt lite grunn til å få en annen app for bare å skanne en fangstpakkefil.

* Vi har åpenbart fokus på å lese .cap-filer i Mac OS X her, men tcpdump-kommandoen eksisterer på omtrent alle versjoner av Linux der ute, noe som gjør dette til en nesten universell kommandolinjeverktøy for mange varianter av unix. Bare noe å huske på.