Hoe .cap Packet Capture File op Mac OS X met tcpdump lezen

Of het nu gaat om het uitvoeren van een pakkettracering of het snuiven en vastleggen van pakketten van een netwerk, het resultaat is meestal het maken van een .cap-capture-bestand. Dat .cap-, pcap- of wcap-pakketopnamebestand wordt gemaakt, ongeacht wat u gebruikt om een ​​netwerk op te sporen, een vrij veel voorkomende taak bij netwerkbeheerders en beveiligingsprofessionals. Misschien is de gemakkelijkste manier om een ​​.cap-bestand te openen, lezen en interpreteren, het gebruik van het ingebouwde tcpdump-hulpprogramma op een Mac- of Linux-computer.


Ervan uitgaande dat u al een pakkettracé voor een netwerkverbinding hebt vastgelegd en een gecreeerd pakketbestand hebt gemaakt met een .cap-, .pcap- of .wcap-extensie van tcpdump, wireshark, airport, Wireless Diagnostics Sniffer-tool of welk ander netwerkhulpprogramma dan ook gebruiken, alles wat u hoeft te doen om het .cap-bestand te bekijken, is Terminal gestart in OS X * en typ vervolgens de volgende opdrachtreeks, waarbij u de syntaxis naar wens aanpast:

tcpdump -r /path/to/packetfile.cap

Meestal is een .cap-bestand vrij groot, dus het is het beste om het .cap-bestand naar minder of meer te pipen om te scannen, we zullen minder gebruiken:

tcpdump -r /path/to/packetfile.cap | less

Laten we bijvoorbeeld zeggen dat er een capture-bestand is op /tmp/airportSniff8471xEG.cap dat werd gegenereerd door het monitoren van een lokaal wifi-netwerk met het fantastische opdrachtregelprogramma op de luchthaven, de syntaxis zou zijn:

tcpdump -r /tmp/airportSniff8471xEG.cap | less

Het bestand kan eenvoudig worden gescand, geïnterpreteerd, gelezen, verplaatst in, gezocht of wat je er verder nog mee wilt doen. We zullen niet ingaan op details over het type gegevens in de .cap-bestanden en wat ermee te doen is in deze walkthrough, maar zelfs als u zich niet in systemen of netwerkbeheer bevindt, kan het nog steeds een inzichtelijke, zo niet interessante, ervaring zijn.

Als je ooit hebt geprobeerd om kat te gebruiken op een .cap-bestand, dan weet je dat het resulteert in een hoop brabbel dat de terminal zal verlaten en vaak een Terminal-reset vereist om de wartaal op het scherm te wissen.
Hoewel er veel apps van derden zijn om .cap-bestanden te interpreteren en lezen, met de mogelijkheid om dit in de commandoregel ingebouwd te doen, is er over het algemeen weinig reden om een ​​andere app te krijgen voor het eenvoudig scannen van een vastgelegd pakketbestand.

* We focussen duidelijk op het lezen van .cap-bestanden in Mac OS X hier, maar de tcpdump-opdracht bestaat ook op zowat elke versie van Linux, waardoor dit een bijna universeel hulpprogramma voor de commandoregel is voor vele varianten van Unix. Gewoon iets om in gedachten te houden.