Sama ada melakukan surih paket atau menghidu dan menangkap paket daripada rangkaian, hasilnya biasanya menghasilkan fail tangkapan .cap. Fail tangkapan paket .cap, pcap atau wcap itu dibuat tanpa mengira apa yang anda gunakan untuk menghidu rangkaian, tugas yang agak biasa dalam kalangan pentadbir rangkaian dan profesional keselamatan. Mungkin cara paling mudah untuk membuka, membaca dan mentafsir a .cap fail menggunakan utiliti tcpdump terbina dalam pada mesin Mac atau Linux.

Dengan mengandaikan anda telah menangkap jejak paket untuk sambungan rangkaian dan mencipta fail paket yang ditangkap dengan sambungan .cap, .pcap atau .wcap daripada tcpdump, wireshark, lapangan terbang, Wireless Diagnostics Sniffer alat, atau apa sahaja utiliti rangkaian lain yang anda gunakan, semua yang anda perlu lakukan untuk melihat fail .cap ialah melancarkan Terminal dalam OS Xdan kemudian taip rentetan arahan berikut, melaraskan sintaks yang perlu:

tcpdump -r /path/to/packetfile.cap

Kebanyakan masa fail .cap agak besar jadi sebaiknya masukkan fail .cap ke dalam kurang atau lebih untuk mengimbas, kami akan menggunakan kurang:

tcpdump -r /path/to/packetfile.cap | kurang

Sebagai contoh, katakan terdapat fail tangkapan terletak di /tmp/airportSniff8471xEG.cap yang dijana daripada memantau rangkaian wi-fi tempatan dengan utiliti baris arahan lapangan terbang yang hebat, sintaksnya ialah:

tcpdump -r /tmp/airportSniff8471xEG.cap | kurang

Fail boleh diimbas dengan mudah, ditafsir, dibaca, dialihkan masuk, dicari atau apa sahaja yang anda ingin lakukan dengannya. Kami tidak akan membincangkan secara spesifik tentang jenis data yang terkandung dalam fail .cap dan perkara yang perlu dilakukan dengannya dalam panduan ini, tetapi walaupun anda tidak berada dalam sistem atau pentadbiran rangkaian, ia masih boleh menjadi pengalaman yang mendalam atau menarik.

Jika anda pernah cuba menggunakan cat pada fail .cap, anda tahu ia mengakibatkan sekumpulan omong kosong yang akan menyebabkan Terminal sering memerlukan tetapan semula Terminal untuk mengosongkan omong kosong pada skrin. Walaupun terdapat banyak apl pihak ketiga untuk mentafsir dan membaca fail .cap, dengan keupayaan untuk melakukannya secara asli terbina dalam baris arahan, secara amnya terdapat sedikit sebab untuk mendapatkan apl lain hanya dengan mengimbas fail paket yang ditangkap.

Kami jelas memfokuskan pada membaca fail .cap dalam Mac OS X di sini, tetapi arahan tcpdump wujud pada hampir setiap versi Linux di luar sana juga, menjadikan ini utiliti baris arahan yang hampir universal untuk kebanyakan orang. jenis unix. Hanya sesuatu yang perlu diingat.