Qu'il s'agisse d'effectuer une trace de paquets ou de renifler et de capturer des paquets à partir d'un réseau, le résultat est généralement la création d'un fichier de capture .cap. Ce fichier de capture de paquets .cap, pcap ou wcap est créé indépendamment de ce que vous utilisez pour renifler un réseau, une tâche assez courante chez les administrateurs réseau et les professionnels de la sécurité. Peut-être le moyen le plus simple d'ouvrir, de lire et d'interpréter un fichier .cap utilise l'utilitaire tcpdump intégré sur une machine Mac ou Linux.

En supposant que vous avez déjà capturé une trace de paquet pour une connexion réseau et créé un fichier de paquet capturé avec une extension .cap, .pcap ou .wcap à partir de tcpdump, wireshark, airport, Wireless Diagnostics Sniffer outil, ou tout autre utilitaire réseau que vous utilisez, tout ce que vous avez à faire pour afficher le fichier .cap est de lancer Terminal sous OS X , puis tapez la chaîne de commande suivante, en ajustant la syntaxe si nécessaire :

tcpdump -r /path/to/packetfile.cap

La plupart du temps, un fichier .cap est assez volumineux, il est donc préférable de diriger le fichier .cap vers moins ou plus pour la numérisation, nous en utiliserons moins :

tcpdump -r /path/to/packetfile.cap | moins

Par exemple, disons qu'il y a un fichier de capture situé à /tmp/airportSniff8471xEG.cap qui a été généré à partir de la surveillance d'un réseau Wi-Fi local avec le fantastique utilitaire de ligne de commande de l'aéroport, la syntaxe serait :

tcpdump -r /tmp/airportSniff8471xEG.cap | moins

Le fichier peut être facilement scanné, interprété, lu, déplacé, recherché ou tout ce que vous cherchez à faire avec. Nous ne couvrirons pas les détails sur le type de données contenues dans les fichiers .cap et ce qu'il faut en faire dans cette procédure pas à pas, mais même si vous n'êtes pas dans l'administration des systèmes ou du réseau, cela peut toujours être une expérience perspicace sinon intéressante.

Si vous avez déjà essayé d'utiliser cat sur un fichier .cap, vous savez qu'il en résulte un tas de charabia qui embrouillera le terminal nécessitant souvent une réinitialisation du terminal pour effacer le charabia à l'écran. Bien qu'il existe de nombreuses applications tierces pour interpréter et lire les fichiers .cap, avec la possibilité de le faire de manière native dans la ligne de commande, il y a généralement peu de raisons d'obtenir une autre application pour simplement analyser un fichier de paquet capturé.

Nous nous concentrons évidemment sur la lecture des fichiers .cap sous Mac OS X ici, mais la commande tcpdump existe également sur à peu près toutes les versions de Linux, ce qui en fait un utilitaire de ligne de commande presque universel pour de nombreux variétés d'unix. Juste quelque chose à garder à l'esprit.