Seja executando um rastreamento de pacote ou cheirando e capturando pacotes de uma rede, o resultado geralmente é a criação de um arquivo de captura .cap. Esse arquivo de captura de pacote .cap, pcap ou wcap é criado independentemente do que você está usando para farejar uma rede, uma tarefa bastante comum entre administradores de rede e profissionais de segurança. Talvez a maneira mais fácil de abrir, ler e interpretar um arquivo .cap está usando o utilitário interno tcpdump em uma máquina Mac ou Linux.

Supondo que você já tenha capturado um rastreamento de pacote para uma conexão de rede e criado um arquivo de pacote capturado com uma extensão .cap, .pcap ou .wcap de tcpdump, wireshark, airport, Wireless Diagnostics Sniffer ferramenta ou qualquer outro utilitário de rede que você esteja usando, tudo o que você precisa fazer para visualizar o arquivo .cap é iniciar o Terminal no OS Xe digitar a seguinte string de comando, ajustando a sintaxe conforme necessário:

tcpdump -r /path/to/packetfile.cap

Na maioria das vezes, um arquivo .cap é muito grande, então é melhor canalizar o arquivo .cap para menos ou mais para verificação, usaremos menos:

tcpdump -r /caminho/para/packetfile.cap | menos

Por exemplo, digamos que há um arquivo de captura localizado em /tmp/airportSniff8471xEG.cap que foi gerado a partir do monitoramento de uma rede wi-fi local com o fantástico utilitário de linha de comando do aeroporto, a sintaxe seria:

tcpdump -r /tmp/airportSniff8471xEG.cap | menos

O arquivo pode ser facilmente digitalizado, interpretado, lido, movido, pesquisado ou qualquer outra coisa que você queira fazer com ele. Não cobriremos detalhes sobre o tipo de dados contidos nos arquivos .cap e o que fazer com eles neste passo a passo, mas mesmo se você não estiver em sistemas ou administração de rede, ainda pode ser uma experiência perspicaz, se não interessante.

Se você já tentou usar cat em um arquivo .cap, sabe que isso resulta em um monte de rabiscos que atrapalharão o Terminal, muitas vezes exigindo uma reinicialização do Terminal para limpar o rabisco na tela. Embora existam muitos aplicativos de terceiros para interpretar e ler arquivos .cap, com a capacidade de fazer isso incorporada nativamente na linha de comando, geralmente há poucos motivos para obter outro aplicativo para simplesmente digitalizar um arquivo de pacote capturado.

Obviamente, estamos nos concentrando na leitura de arquivos .cap no Mac OS X aqui, mas o comando tcpdump também existe em quase todas as versões do Linux, tornando-o um utilitário de linha de comando quase universal para muitos variedades de unix. Apenas algo para ter em mente.