Bez obzira radi li se o praćenju paketa ili njuškanju i hvatanju paketa s mreže, rezultat je obično stvaranje .cap datoteke za hvatanje. Ta .cap, pcap ili wcap datoteka za snimanje paketa stvara se bez obzira na to što koristite za njuškanje mreže, što je prilično uobičajen zadatak među mrežnim administratorima i stručnjacima za sigurnost. Možda je najlakši način za otvaranje, čitanje i tumačenje .cap datoteka koristi ugrađeni uslužni program tcpdump na Mac ili Linux stroju.

Pod pretpostavkom da ste već snimili trag paketa za mrežnu vezu i stvorili stvorenu snimljenu paketnu datoteku s ekstenzijom .cap, .pcap ili .wcap iz tcpdump, wireshark, airport, Wireless Diagnostics Sniffer ili bilo koji drugi mrežni uslužni program koji koristite, sve što trebate učiniti da biste vidjeli .cap datoteku je pokrenuti Terminal u OS Xi zatim upisati sljedeći naredbeni niz, prilagođavajući sintaksu prema potrebi:

tcpdump -r /path/to/packetfile.cap

Većinu vremena .cap datoteka je prilično velika pa je najbolje da .cap datoteku usmjerite u manje ili više za skeniranje, koristit ćemo manje:

tcpdump -r /path/to/packetfile.cap | manje

Na primjer, recimo da postoji datoteka za snimanje koja se nalazi na /tmp/airportSniff8471xEG.cap koja je generirana praćenjem lokalne wi-fi mreže pomoću fantastičnog uslužnog programa naredbenog retka zračne luke, sintaksa bi bila:

tcpdump -r /tmp/airportSniff8471xEG.cap | manje

Datoteka se može lako skenirati, tumačiti, čitati, premještati, pretraživati ​​ili bilo što drugo što želite učiniti s njom. U ovom vodiču nećemo pokriti pojedinosti o vrsti podataka sadržanih u .cap datotekama i što učiniti s njima, ali čak i ako niste u administraciji sustava ili mreže, to može biti pronicljivo, ako ne i zanimljivo iskustvo.

Ako ste ikada pokušali upotrijebiti cat na .cap datoteci, znate da to rezultira hrpom besmislica koje će opteretiti Terminal i često je potrebno resetirati Terminal da bi se izbrisale besmislice na ekranu. Iako postoje mnoge aplikacije trećih strana za tumačenje i čitanje .cap datoteka, s mogućnošću da to učinite izvorno ugrađenom u naredbeni redak, općenito nema razloga za nabavu druge aplikacije za jednostavno skeniranje snimljene datoteke paketa.

Ovdje se očito fokusiramo na čitanje .cap datoteka u Mac OS X-u, ali naredba tcpdump također postoji na skoro svakoj verziji Linuxa, što ovo čini gotovo univerzalnim uslužnim programom naredbenog retka za mnoge varijante unixa. Samo nešto što treba imati na umu.