Come leggere il file .cap Packet Capture su Mac OS X con tcpdump

Sia che si tratti di eseguire una traccia di pacchetti o di sniffare e catturare pacchetti da una rete, il risultato è solitamente la creazione di un file di cattura .cap. Quel file di cattura del pacchetto .cap, pcap o wcap viene creato indipendentemente da ciò che si sta usando per annusare una rete, un compito abbastanza comune tra amministratori di rete e professionisti della sicurezza. Forse il modo più semplice per aprire, leggere e interpretare un file .cap è l'utilizzo dell'utilità tcpdump integrata su un computer Mac o Linux.


Supponendo che tu abbia già acquisito una traccia di pacchetto per una connessione di rete e creato un file di pacchetto acquisito con un'estensione .cap, .pcap o .wcap da tcpdump, wireshark, aeroporto, strumento di diagnostica wireless Sniffer o qualsiasi altra utilità di rete tu stai usando, tutto ciò che devi fare per visualizzare il file .cap è avviare Terminal in OS X * e quindi digitare la seguente stringa di comando, regolando la sintassi come necessario:

tcpdump -r /path/to/packetfile.cap

Il più delle volte un file .cap è abbastanza grande, quindi è meglio inserire il file .cap in meno o più per la scansione, useremo meno:

tcpdump -r /path/to/packetfile.cap | less

Per esempio, diciamo che c'è un file di cattura situato in /tmp/airportSniff8471xEG.cap che è stato generato dal monitoraggio di una rete wi-fi locale con la fantastica utility da riga di comando dell'aeroporto, la sintassi sarebbe:

tcpdump -r /tmp/airportSniff8471xEG.cap | less

Il file può essere facilmente scansionato, interpretato, letto, spostato, cercato o qualsiasi altra cosa tu voglia fare con esso. Non copriremo dettagli specifici sul tipo di dati contenuti nei file .cap e su cosa fare con esso in questa procedura dettagliata, ma anche se non si è nei sistemi o nell'amministrazione di rete, può comunque essere un'esperienza interessante se non interessante.

Se hai mai provato a usare cat su un file .cap, sai che si traduce in un sacco di parole senza senso che faranno comparire il Terminale spesso richiedendo un reset del Terminale per cancellare il messaggio senza senso sullo schermo.
Mentre ci sono molte app di terze parti per interpretare e leggere i file .cap, con la possibilità di farlo in modo nativo incorporato nella riga di comando, ci sono generalmente pochi motivi per ottenere un'altra app semplicemente per la scansione di un file di pacchetto catturato.

* Ci stiamo ovviamente concentrando sulla lettura di file .cap in Mac OS X qui, ma il comando tcpdump esiste praticamente su ogni versione di Linux, rendendo questa utility quasi a linea di comando per molte varietà di Unix. Solo qualcosa da tenere a mente.