Sia che si esegua una traccia dei pacchetti o lo sniffing e l'acquisizione di pacchetti da una rete, il risultato è in genere la creazione di un file di acquisizione .cap. Quel file di acquisizione di pacchetti .cap, pcap o wcap viene creato indipendentemente da ciò che stai utilizzando per sniffare una rete, un'attività abbastanza comune tra gli amministratori di rete e i professionisti della sicurezza. Forse il modo più semplice per aprire, leggere e interpretare un file .cap utilizza l'utility tcpdump integrata su un computer Mac o Linux.

Supponendo che tu abbia già acquisito una traccia di pacchetto per una connessione di rete e creato un file di pacchetto acquisito con estensione .cap, .pcap o .wcap da tcpdump, wireshark, airport, Wireless Diagnostics Sniffer tool o qualsiasi altra utility di rete che stai utilizzando, tutto ciò che devi fare per visualizzare il file .cap è avviare Terminal in OS Xe quindi digitare la seguente stringa di comando, regolando la sintassi come necessario:

tcpdump -r /path/to/packetfile.cap

La maggior parte delle volte un file .cap è abbastanza grande, quindi è meglio convogliare il file .cap in less o more per la scansione, useremo less:

tcpdump -r /path/to/packetfile.cap | meno

Ad esempio, diciamo che c'è un file di acquisizione situato in /tmp/airportSniff8471xEG.cap che è stato generato dal monitoraggio di una rete Wi-Fi locale con la fantastica utility della riga di comando dell'aeroporto, la sintassi sarebbe:

tcpdump -r /tmp/airportSniff8471xEG.cap | meno

Il file può essere facilmente scansionato, interpretato, letto, spostato, cercato o qualsiasi altra cosa tu stia cercando di fare con esso. Non tratteremo le specifiche sul tipo di dati contenuti nei file .cap e su cosa farne in questa procedura dettagliata, ma anche se non sei un amministratore di sistemi o di rete può comunque essere un'esperienza perspicace se non interessante.

Se hai mai provato a usare cat su un file .cap, sai che il risultato è un mucchio di parole senza senso che bloccheranno il terminale spesso richiedendo un ripristino del terminale per cancellare le parole senza senso sullo schermo. Sebbene esistano molte app di terze parti per interpretare e leggere i file .cap, con la possibilità di farlo nativamente integrata nella riga di comando, in genere non ci sono motivi per ottenere un' altra app semplicemente per la scansione di un file pacchetto acquisito.

Ci stiamo ovviamente concentrando sulla lettura dei file .cap in Mac OS X qui, ma il comando tcpdump esiste anche su quasi tutte le versioni di Linux là fuori, rendendola un'utilità a riga di comando quasi universale per molti varietà di unix. Solo qualcosa da tenere a mente.