Sia che si tratti di eseguire una traccia di pacchetti o di sniffare e catturare pacchetti da una rete, il risultato è solitamente la creazione di un file di cattura .cap. Quel file di cattura del pacchetto .cap, pcap o wcap viene creato indipendentemente da ciò che si sta usando per annusare una rete, un compito abbastanza comune tra amministratori di rete e professionisti della sicurezza. Forse il modo più semplice per aprire, leggere e interpretare un file .cap è l’utilizzo dell’utilità tcpdump integrata su un computer Mac o Linux.
Supponendo che tu abbia già acquisito una traccia di pacchetto per una connessione di rete e creato un file di pacchetto acquisito con un’estensione .cap, .pcap o .wcap da tcpdump, wireshark, aeroporto, strumento di diagnostica wireless Sniffer o qualsiasi altra utilità di rete tu , “Usa”, tutto ciò che devi fare per vedere il file .cap è avviare Terminal in OS X * e poi digitare la seguente stringa di comando, regolando la sintassi come necessario:
tcpdump -r /path/to/packetfile.cap
Il più delle volte un file .cap è abbastanza grande, quindi è meglio inserire il file .cap in meno o più per la scansione, useremo di meno:
tcpdump -r /path/to/packetfile.cap | Di meno
Ad esempio, diciamo che c’è un file di cattura situato in /tmp/airportSniff8471xEG.cap che è stato generato dal monitoraggio di una rete wi-fi locale con la fantastica utility da riga di comando dell’aeroporto, la sintassi sarebbe:
tcpdump -r /tmp/airportSniff8471xEG.cap | Di meno
Il file può essere facilmente scansionato, interpretato, letto, spostato, cercato o qualsiasi altra cosa tu voglia fare con esso. Non copriremo dettagli specifici sul tipo di dati contenuti nei file .cap e su come utilizzarli in questa procedura, ma anche se non si utilizza l’amministrazione di sistemi o di rete, può comunque essere un’esperienza interessante se non interessante.
Se hai mai provato a usare cat su un file .cap, sai che risulta in un mucchio di parole incomprensibili che faranno comparire il Terminale spesso richiedendo un reset del Terminale per cancellare il messaggio senza senso sullo schermo.
Mentre ci sono molte app di terze parti per interpretare e leggere i file .cap, con la possibilità di farlo in modo nativo incorporato nella riga di comando, ci sono generalmente pochi motivi per ottenere un’altra app semplicemente per la scansione di un file di pacchetto catturato.
* Ovviamente ci stiamo concentrando sulla lettura di file .cap in Mac OS X, ma il comando tcpdump esiste praticamente su tutte le versioni di Linux, rendendo questa utility quasi a linea di comando per molte varietà di Unix. Solo qualcosa da tenere a mente.