Ob Sie eine Paketverfolgung durchführen oder Pakete von einem Netzwerk ausspionieren und erfassen, das Ergebnis ist normalerweise die Erstellung einer .cap-Erfassungsdatei. Diese .cap-, pcap- oder wcap-Paketerfassungsdatei wird unabhängig davon erstellt, was Sie zum Sniffen eines Netzwerks verwenden, eine ziemlich häufige Aufgabe unter Netzwerkadministratoren und Sicherheitsexperten. Vielleicht der einfachste Weg, eine .cap-Datei verwendet das integrierte tcpdump-Dienstprogramm auf einem Mac- oder Linux-Computer.

Angenommen, Sie haben bereits eine Paketverfolgung für eine Netzwerkverbindung erfasst und eine erfasste Paketdatei mit der Erweiterung .cap, .pcap oder .wcap von tcpdump, Wireshark, Airport, Wireless Diagnostics Sniffer erstellt Tool oder welches andere Netzwerkdienstprogramm Sie auch verwenden, alles, was Sie tun müssen, um die .cap-Datei anzuzeigen, ist Terminal in OS Xzu starten und dann die folgende Befehlszeichenfolge einzugeben und die Syntax nach Bedarf anzupassen:

tcpdump -r /path/to/packetfile.cap

Meistens ist eine .cap-Datei ziemlich groß, daher ist es am besten, die .cap-Datei zum Scannen in weniger oder mehr zu leiten, wir verwenden weniger:

tcpdump -r /path/to/packetfile.cap | weniger

Nehmen wir zum Beispiel an, es gibt eine Erfassungsdatei unter /tmp/airportSniff8471xEG.cap, die durch die Überwachung eines lokalen Wi-Fi-Netzwerks mit dem fantastischen Befehlszeilenprogramm für Flughäfen generiert wurde. Die Syntax wäre:

tcpdump -r /tmp/airportSniff8471xEG.cap | weniger

Die Datei kann einfach gescannt, interpretiert, gelesen, darin verschoben, durchsucht oder was auch immer Sie damit machen möchten. Wir werden in dieser exemplarischen Vorgehensweise keine Einzelheiten über die Art der in den .cap-Dateien enth altenen Daten und was damit zu tun ist, aber selbst wenn Sie nicht in der System- oder Netzwerkverw altung tätig sind, kann es dennoch eine aufschlussreiche, wenn nicht interessante Erfahrung sein.

Wenn Sie jemals versucht haben, cat für eine .cap-Datei zu verwenden, wissen Sie, dass dies zu einem Haufen Kauderwelsch führt, der das Terminal aufbläht, was häufig einen Terminal-Reset erfordert, um den Kauderwelsch auf dem Bildschirm zu löschen. Während es viele Apps von Drittanbietern gibt, um .cap-Dateien zu interpretieren und zu lesen, gibt es angesichts der Möglichkeit, dies nativ in die Befehlszeile zu integrieren, im Allgemeinen wenig Grund, eine andere App zu erwerben, um einfach nur eine erfasste Paketdatei zu scannen.

Wir konzentrieren uns hier offensichtlich auf das Lesen von .cap-Dateien in Mac OS X, aber der tcpdump-Befehl existiert auch in fast jeder Version von Linux, was ihn für viele zu einem nahezu universellen Befehlszeilenprogramm macht Sorten von Unix. Nur etwas, das man im Hinterkopf beh alten sollte.