Είτε εκτελείτε ένα ίχνος πακέτων είτε ανιχνεύετε και καταγράφετε πακέτα από ένα δίκτυο, το αποτέλεσμα είναι συνήθως η δημιουργία ενός αρχείου καταγραφής .cap. Αυτό το αρχείο καταγραφής πακέτων .cap, pcap ή wcap δημιουργείται ανεξάρτητα από το τι χρησιμοποιείτε για να μυρίσετε ένα δίκτυο, μια αρκετά κοινή εργασία μεταξύ των διαχειριστών δικτύου και των επαγγελματιών ασφαλείας. Ίσως ο ευκολότερος τρόπος για να ανοίξετε, να διαβάσετε και να ερμηνεύσετε ένα .cap χρησιμοποιεί το ενσωματωμένο βοηθητικό πρόγραμμα tcpdump σε υπολογιστή Mac ή Linux.

Υποθέτοντας ότι έχετε ήδη καταγράψει ένα ίχνος πακέτου για μια σύνδεση δικτύου και δημιουργήσατε ένα αρχείο καταγεγραμμένου πακέτου με επέκταση .cap, .pcap ή .wcap από tcpdump, wireshark, αεροδρόμιο, Wireless Diagnostics Sniffer εργαλείο ή οποιοδήποτε άλλο βοηθητικό πρόγραμμα δικτύου χρησιμοποιείτε, το μόνο που χρειάζεται να κάνετε για να προβάλετε το αρχείο .cap είναι να εκκινήσετε το Terminal στο OS Xκαι, στη συνέχεια, να πληκτρολογήσετε την ακόλουθη συμβολοσειρά εντολών, προσαρμόζοντας τη σύνταξη όπως απαιτείται:

tcpdump -r /path/to/packetfile.cap

Τις περισσότερες φορές ένα αρχείο .cap είναι αρκετά μεγάλο, επομένως είναι καλύτερο να εισάγετε το αρχείο .cap σε λιγότερα ή περισσότερα για σάρωση, θα χρησιμοποιούμε λιγότερα:

tcpdump -r /path/to/packetfile.cap | πιο λιγο

Για παράδειγμα, ας υποθέσουμε ότι υπάρχει ένα αρχείο καταγραφής που βρίσκεται στο /tmp/airportSniff8471xEG.cap το οποίο δημιουργήθηκε από την παρακολούθηση ενός τοπικού δικτύου Wi-Fi με το φανταστικό βοηθητικό πρόγραμμα γραμμής εντολών αεροδρομίου, η σύνταξη θα είναι:

tcpdump -r /tmp/airportSniff8471xEG.cap | πιο λιγο

Το αρχείο μπορεί εύκολα να σαρωθεί, να ερμηνευτεί, να διαβαστεί, να μετακινηθεί, να αναζητηθεί ή οτιδήποτε άλλο θέλετε να κάνετε με αυτό. Δεν θα καλύψουμε λεπτομέρειες σχετικά με τον τύπο των δεδομένων που περιέχονται στα αρχεία .cap και τι να κάνετε με αυτά σε αυτήν την αναλυτική περιγραφή, αλλά ακόμα κι αν δεν είστε στη διαχείριση συστημάτων ή δικτύου, μπορεί να είναι μια διορατική, αν όχι ενδιαφέρουσα εμπειρία.

Αν έχετε προσπαθήσει ποτέ να χρησιμοποιήσετε το cat σε ένα αρχείο .cap, ξέρετε ότι έχει ως αποτέλεσμα μια δέσμη ασυναρτησιών που θα κολλήσει το Τερματικό, το οποίο συχνά απαιτεί επαναφορά του τερματικού για την εκκαθάριση των ασυναρτησιών στην οθόνη. Ενώ υπάρχουν πολλές εφαρμογές τρίτων για την ερμηνεία και την ανάγνωση αρχείων .cap, με τη δυνατότητα να γίνεται αυτό εγγενώς ενσωματωμένη στη γραμμή εντολών, γενικά δεν υπάρχει λόγος να αποκτήσετε άλλη εφαρμογή για απλή σάρωση ενός αρχείου πακέτων που έχει καταγραφεί.

Εμείς προφανώς εστιάζουμε στην ανάγνωση αρχείων .cap στο Mac OS X εδώ, αλλά η εντολή tcpdump υπάρχει σχεδόν σε κάθε έκδοση του Linux εκεί έξω, καθιστώντας αυτό ένα σχεδόν καθολικό βοηθητικό πρόγραμμα γραμμής εντολών για πολλούς ποικιλίες unix. Απλά κάτι που πρέπει να έχετε κατά νου.