Oavsett om du utför en paketspårning eller sniffar och hämtar paket från ett nätverk, blir resultatet vanligtvis skapandet av en .cap-fångstfil. Den där .cap-, pcap- eller wcap-paketinsamlingsfilen skapas oavsett vad du använder för att sniffa ett nätverk, en ganska vanlig uppgift bland nätverksadministratörer och säkerhetsexperter. Kanske det enklaste sättet att öppna, läsa och tolka en .cap-filen använder det inbyggda tcpdump-verktyget på en Mac- eller Linux-maskin.

… verktyg, eller vilket annat nätverksverktyg du än använder, allt du behöver göra för att se .cap-filen är att starta Terminal i OS Xoch sedan skriva följande kommandosträng och justera syntaxen efter behov:

tcpdump -r /path/to/packetfile.cap

För det mesta är en .cap-fil ganska stor så det är bäst att överföra .cap-filen till mindre eller fler för skanning, vi kommer att använda mindre:

tcpdump -r /path/to/packetfile.cap | mindre

Till exempel, låt oss säga att det finns en fångstfil på /tmp/airportSniff8471xEG.cap som genererades från övervakning av ett lok alt wi-fi-nätverk med det fantastiska kommandoradsverktyget för flygplatsen, syntaxen skulle vara:

tcpdump -r /tmp/airportSniff8471xEG.cap | mindre

Filen kan enkelt skannas, tolkas, läsas, flyttas runt i, sökas igenom eller vad du nu vill göra med den. Vi kommer inte att täcka detaljer om vilken typ av data som finns i .cap-filerna och vad man ska göra med den i den här genomgången, men även om du inte är i system- eller nätverksadministration kan det fortfarande vara en insiktsfull om inte intressant upplevelse.

Om du någonsin har försökt använda cat på en .cap-fil vet du att det resulterar i ett gäng struntprat som tar upp terminalen, vilket ofta kräver en terminalåterställning för att rensa bort floskler på skärmen. Även om det finns många tredjepartsappar för att tolka och läsa .cap-filer, med möjligheten att göra det inbyggt i kommandoraden finns det i allmänhet ingen anledning att skaffa en annan app för att helt enkelt skanna en inhämtad paketfil.

Vi fokuserar uppenbarligen på att läsa .cap-filer i Mac OS X här, men kommandot tcpdump finns på nästan alla versioner av Linux där ute också, vilket gör detta till ett nästan universellt kommandoradsverktyg för många varianter av unix. Bara något att tänka på.