Akár csomagkövetést hajt végre, akár csomagokat szippant és rögzít egy hálózatról, az eredmény általában egy .cap capture fájl létrehozása. Ez a .cap, pcap vagy wcap csomagrögzítő fájl attól függetlenül jön létre, hogy mit használ a hálózat szippantására, ami meglehetősen gyakori feladat a hálózati rendszergazdák és a biztonsági szakemberek körében. Talán a legegyszerűbb módja annak megnyitásának, olvasásának és értelmezésének.cap fájl a beépített tcpdump segédprogramot használja Mac vagy Linux gépen.

Feltéve, hogy már rögzítette a hálózati kapcsolathoz tartozó csomagnyomkövetést, és létrehozott egy rögzített csomagfájlt .cap, .pcap vagy .wcap kiterjesztéssel a tcpdump, wireshark, repülőtér, Wireless Diagnostics Sniffer alkalmazásból eszközt vagy bármilyen más hálózati segédprogramot, amelyet használ, a .cap fájl megtekintéséhez mindössze annyit kell tennie, hogy elindítja a Terminált az OS X-ben , majd beírja a következő parancssort, szükség szerint módosítva a szintaxist:

tcpdump -r /path/to/packetfile.cap

A .cap fájl legtöbbször elég nagy, ezért a legjobb, ha a .cap fájlt kisebbre vagy nagyobbra húzzuk be a vizsgálathoz, kevesebbet fogunk használni:

tcpdump -r /útvonala/csomagfájlhoz.cap | Kevésbé

Tegyük fel például, hogy a /tmp/airportSniff8471xEG.cap címen található egy rögzítési fájl, amelyet egy helyi wi-fi hálózat figyelésével hoztak létre a fantasztikus repülőtéri parancssori segédprogrammal , a szintaxis a következő lenne:

tcpdump -r /tmp/airportSniff8471xEG.cap | Kevésbé

A fájl könnyen beolvasható, értelmezhető, olvasható, mozgatható, kereshet, vagy bármi más, amit szeretne vele csinálni. Ebben az áttekintésben nem térünk ki a .cap fájlokban található adatok típusára és a velük való teendőkre vonatkozó részletekre, de még ha nem is foglalkozik rendszerekkel vagy hálózati adminisztrációval, akkor is hasznos, ha nem érdekes tapasztalat lehet.

Ha valaha is megpróbálta a cat kifejezést használni egy .cap fájlon, akkor tudja, hogy az egy csomó halandzsát eredményez, ami felpörgeti a terminált, és gyakran a terminál alaphelyzetbe állítása szükséges a képernyőn megjelenő halandzsa eltüntetéséhez. Bár sok harmadik féltől származó alkalmazás létezik a .cap fájlok értelmezésére és olvasására, a parancssorba natív módon beépített lehetőségnek köszönhetően általában nincs ok arra, hogy egy másik alkalmazást vásároljunk egy rögzített csomagfájl egyszerű beolvasására.

Nyilvánvalóan a .cap fájlok olvasására összpontosítunk a Mac OS X rendszerben, de a tcpdump parancs szinte minden Linux-verzióban létezik, így ez egy szinte univerzális parancssori segédprogram sokak számára. unix fajtái. Csak valami észben tartandó.