سواء كنت تقوم بتتبع الحزمة أو استنشاق الحزم والتقاطها من شبكة ، تكون النتيجة عادةً إنشاء ملف التقاط .cap. يتم إنشاء ملف التقاط حزمة .cap أو pcap أو wcap بغض النظر عن ما تستخدمه للتعرف على الشبكة ، وهي مهمة شائعة إلى حد ما بين مسؤولي الشبكة ومحترفي الأمان. ربما تكون أسهل طريقة لفتح وقراءة وتفسير ملف.ملف. cap يستخدم الأداة المساعدة المضمنة tcpdump على جهاز Mac أو Linux.

بافتراض أنك قد التقطت بالفعل تتبع حزمة لاتصال شبكة وأنشأت ملف حزمة تم التقاطه بامتداد .cap أو .pcap أو .wcap من tcpdump أو wireshark أو airport أو Wireless Diagnostics Sniffer أداة ، أو أي أداة أخرى للشبكة تستخدمها ، كل ما عليك فعله لعرض ملف .cap هو تشغيل Terminal في OS Xثم اكتب سلسلة الأوامر التالية ، وضبط بناء الجملة حسب الضرورة:

tcpdump -r /path/to/packetfile.cap

في معظم الأحيان يكون ملف .cap كبير جدًا لذا من الأفضل توجيه ملف .cap إلى أقل أو أكثر للمسح ، وسنستخدم أقل:

tcpdump -r /path/to/packetfile.cap | أقل

على سبيل المثال ، دعنا نقول أن هناك ملف التقاط موجود في /tmp/airportSniff8471xEG.cap والذي تم إنشاؤه من مراقبة شبكة wi-fi محلية باستخدام أداة سطر أوامر المطار الرائعة ، سيكون التركيب كما يلي:

tcpdump -r /tmp/airportSniff8471xEG.cap | أقل

يمكن بسهولة مسح الملف أو تفسيره أو قراءته أو نقله أو البحث عنه أو أي شيء آخر تريد القيام به به. لن نغطي تفاصيل محددة حول نوع البيانات الموجودة في ملفات .cap وماذا تفعل بها في هذه الإرشادات التفصيلية ، ولكن حتى لو لم تكن في إدارة الأنظمة أو الشبكة ، فقد تظل تجربة ثاقبة إن لم تكن مثيرة للاهتمام.

إذا سبق لك أن حاولت استخدام cat على ملف .cap ، فأنت تعلم أنه ينتج عنه مجموعة من الهراء التي ستؤدي غالبًا إلى إعادة تعيين المحطة الطرفية لمسح gibberish على الشاشة. في حين أن هناك العديد من تطبيقات الطرف الثالث لتفسير وقراءة ملفات .cap ، مع القدرة على القيام بذلك بشكل أصلي في سطر الأوامر ، لا يوجد سبب وجيه للحصول على تطبيق آخر لمجرد مسح ملف الحزمة الملتقط.

من الواضح أننا نركز على قراءة ملفات .cap في نظام التشغيل Mac OS X هنا ، لكن الأمر tcpdump موجود تقريبًا في كل إصدار من Linux ، مما يجعل هذا أداة سطر أوامر عالمية تقريبًا للكثيرين أصناف يونكس. مجرد شيء يجب مراعاته.