Nesvarbu, ar atliekate paketų sekimą, ar uostydami ir fiksuodami paketus iš tinklo, rezultatas paprastai yra .cap fiksavimo failo sukūrimas. Šis .cap, pcap arba wcap paketų fiksavimo failas sukuriamas neatsižvelgiant į tai, ką naudojate tinklui uostyti, o tai gana įprasta tinklo administratorių ir saugos specialistų užduotis. Galbūt lengviausias būdas atidaryti, perskaityti ir interpretuoti .cap failas naudoja integruotą „tcpdump“ programą „Mac“ arba „Linux“ kompiuteryje.

Darant prielaidą, kad jau užfiksavote tinklo ryšio paketo pėdsaką ir sukūrėte sukurtą užfiksuotą paketo failą su .cap, .pcap arba .wcap plėtiniu iš tcpdump, wireshark, oro uosto, Wireless Diagnostics Sniffer įrankį ar bet kurią kitą naudojamą tinklo priemonę, viskas, ką jums reikia padaryti, kad peržiūrėtumėte .cap failą, tai paleiskite terminalą OS X ir įveskite šią komandų eilutę, jei reikia pakoreguodami sintaksę:

tcpdump -r /path/to/packetfile.cap

Dažniausiai .cap failas yra gana didelis, todėl geriausia nuskaityti .cap failą į mažesnį arba didesnį skaičių, naudosime mažiau:

tcpdump -r /path/to/packetfile.cap | mažiau

Tarkime, /tmp/airportSniff8471xEG.cap yra fiksavimo failas, sukurtas stebint vietinį Wi-Fi tinklą naudojant fantastišką oro uosto komandų eilutės įrankį , sintaksė būtų tokia:

tcpdump -r /tmp/airportSniff8471xEG.cap | mažiau

Failas gali būti lengvai nuskaitomas, interpretuojamas, perskaitomas, perkeliamas, atliekama paieška ar bet kas kita, ko norite su juo daryti. Šioje apžvalgoje neapžvelgsime konkretaus duomenų apie .cap failuose esančių duomenų tipą ir ką su jais daryti, bet net jei nesate sistemos ar tinklo administravimo srityje, tai vis tiek gali būti įžvalgi, o gal ir įdomi patirtis.

Jei kada nors bandėte naudoti katę .cap faile, žinote, kad tai sukelia daugybę nesklandumų, kurie sukels terminalą, todėl dažnai reikia iš naujo nustatyti terminalą, kad būtų pašalintos beprasmybės ekrane. Nors yra daug trečiųjų šalių programų, skirtų .cap failams interpretuoti ir skaityti, tačiau tai yra savaime įtaisyta komandinėje eilutėje, todėl paprastai nėra jokios priežasties įsigyti kitą programą, kad būtų paprasčiausiai nuskaityti užfiksuotą paketo failą.

Akivaizdu, kad čia daugiausia dėmesio skiriame .cap failų skaitymui Mac OS X, tačiau komanda tcpdump taip pat egzistuoja beveik visose Linux versijose, todėl daugeliui tai yra beveik universali komandų eilutės priemonė. unix veislės. Tik ką reikia turėti omenyje.