Suoritapa pakettijäljitys tai haistelemalla ja sieppaamalla paketteja verkosta, tuloksena on yleensä .cap-kaappaustiedoston luominen. Tämä .cap-, pcap- tai wcap-pakettien sieppaustiedosto luodaan riippumatta siitä, mitä käytät verkon haistelemiseen, mikä on melko yleinen tehtävä verkonvalvojien ja tietoturva-ammattilaisten keskuudessa. Ehkä helpoin tapa avata, lukea ja tulkita .cap-tiedosto käyttää sisäänrakennettua tcpdump-apuohjelmaa Mac- tai Linux-koneessa.

Olettaen, että olet jo kaapannut verkkoyhteyden pakettijäljen ja luonut kaapatun pakettitiedoston, jonka laajennus on .cap, .pcap tai .wcap tcpdump, wireshark, airport, Wireless Diagnostics Sniffer -sovelluksesta työkalua tai mitä tahansa muuta käyttämääsi verkkoapuohjelmaa, sinun tarvitsee vain tarkastella .cap-tiedostoa, käynnistää Terminal OS X:ssäja kirjoittaa sitten seuraava komentomerkkijono säätämällä syntaksia tarpeen mukaan:

tcpdump -r /polku/pakettitiedostoon.cap

Useimmiten .cap-tiedosto on melko suuri, joten on parasta yhdistää .cap-tiedosto pienemmäksi tai suuremmaksi skannausta varten. Käytämme vähemmän:

tcpdump -r /path/to/packetfile.cap | Vähemmän

Oletetaan esimerkiksi, että osoitteessa /tmp/airportSniff8471xEG.cap on kaappaustiedosto, joka on luotu valvomalla paikallista Wi-Fi-verkkoa fantastisella lentokentän komentorivityökalulla , syntaksi olisi:

tcpdump -r /tmp/airportSniff8471xEG.cap | Vähemmän

Tiedosto voidaan helposti skannata, tulkita, lukea, siirtää, etsiä tai mitä tahansa muuta, mitä haluat tehdä sen kanssa. Emme käsittele tässä esittelyssä yksityiskohtia .cap-tiedostojen sisältämien tietojen tyypeistä ja siitä, mitä niille tehdään, mutta vaikka et olisikaan järjestelmien tai verkonhallinnan parissa, se voi silti olla oiv altava ellei mielenkiintoinen kokemus.

Jos olet joskus yrittänyt käyttää kissaa .cap-tiedostossa, tiedät, että se johtaa joukkoon hölynpölyä, joka nostaa päätteen ja vaatii usein päätteen nollauksen näytöllä näkyvän sotkun poistamiseksi. Vaikka on olemassa monia kolmannen osapuolen sovelluksia .cap-tiedostojen tulkitsemiseen ja lukemiseen, kun se on sisäänrakennettu komentoriville, ei yleensä ole mitään syytä hankkia toista sovellusta vain siepatun pakettitiedoston skannaamiseksi.

Keskitymme tässä luonnollisesti .cap-tiedostojen lukemiseen Mac OS X:ssä, mutta tcpdump-komento on olemassa lähes jokaisessa Linux-versiossa, mikä tekee siitä lähes universaalin komentorivityökalun monille. unixin lajikkeet. Jotain pitää mielessä.