Незалежно від того, чи виконується трасування пакетів, чи аналізується та перехоплюється пакети з мережі, результатом зазвичай є створення файлу захоплення .cap. Цей файл захоплення пакетів .cap, pcap або wcap створюється незалежно від того, що ви використовуєте для аналізу мережі, що є досить поширеним завданням для мережевих адміністраторів і спеціалістів із безпеки. Можливо, це найпростіший спосіб відкрити, прочитати та інтерпретувати .cap використовує вбудовану утиліту tcpdump на комп’ютері Mac або Linux.

Припускаємо, що ви вже зафіксували трасування пакета для мережевого з’єднання та створили створений файл захопленого пакета з розширенням .cap, .pcap або .wcap із tcpdump, wireshark, airport, Wireless Diagnostics Sniffer або будь-яку іншу мережеву утиліту, яку ви використовуєте, все, що вам потрібно зробити, щоб переглянути файл .cap, це запустити термінал в OS X , а потім ввести наступний командний рядок, налаштувавши за потреби синтаксис:

tcpdump -r /path/to/packetfile.cap

Здебільшого файл .cap є досить великим, тому найкраще передати файл .cap у менше або більше для сканування, ми будемо використовувати менше:

tcpdump -r /path/to/packetfile.cap | менше

Наприклад, скажімо, є файл захоплення, розташований за адресою /tmp/airportSniff8471xEG.cap, який було створено під час моніторингу локальної мережі Wi-Fi за допомогою фантастичної утиліти командного рядка аеропорту, синтаксис буде таким:

tcpdump -r /tmp/airportSniff8471xEG.cap | менше

Файл можна легко сканувати, інтерпретувати, читати, переміщувати, шукати чи робити з ним будь-які інші дії. У цьому покроковому керівництві ми не будемо розповідати про типи даних, які містяться у файлах .cap, і про те, що з ними робити, але навіть якщо ви не займаєтеся системним або мережевим адмініструванням, це все одно може бути корисним, якщо не цікавим.

Якщо ви коли-небудь намагалися використати cat у файлі .cap, ви знаєте, що це призведе до купи тарабарщини, яка заважає терміналу, і часто потрібно скинути термінал, щоб очистити тарабарщину на екрані. Хоча існує багато програм сторонніх розробників для інтерпретації та читання файлів .cap, оскільки можливість робити це вбудовано в командний рядок, як правило, мало причин купувати іншу програму для простого сканування захопленого пакетного файлу.

Очевидно, що тут ми зосереджуємося на читанні файлів .cap у Mac OS X, але команда tcpdump також існує практично в кожній версії Linux, що робить її майже універсальною утилітою командного рядка для багатьох різновиди unix. Про що варто пам’ятати.