Независимо дали извършвате проследяване на пакети или подслушване и улавяне на пакети от мрежа, резултатът обикновено е създаването на .cap файл за улавяне. Този файл за улавяне на пакети .cap, pcap или wcap се създава независимо от това какво използвате за надушване на мрежа, доста често срещана задача сред мрежовите администратори и професионалистите по сигурността. Може би най-лесният начин да отворите, прочетете и интерпретирате .cap файл използва вградената помощна програма tcpdump на Mac или Linux машина.

Ако приемем, че вече сте уловили проследяване на пакет за мрежова връзка и сте създали създаден файл с уловен пакет с разширение .cap, .pcap или .wcap от tcpdump, wireshark, airport, Wireless Diagnostics Sniffer или каквато и да е друга мрежова помощна програма, която използвате, всичко, което трябва да направите, за да видите .cap файла, е да стартирате Terminal в OS Xи след това да въведете следния команден низ, като коригирате синтаксиса според нуждите:

tcpdump -r /path/to/packetfile.cap

През повечето време .cap файлът е доста голям, така че е най-добре да насочите .cap файла към по-малко или повече за сканиране, ще използваме по-малко:

tcpdump -r /path/to/packetfile.cap | по-малко

Например, да кажем, че има файл за заснемане, намиращ се в /tmp/airportSniff8471xEG.cap, който е генериран от наблюдение на локална wi-fi мрежа с фантастичната програма за команден ред на летището, синтаксисът ще бъде:

tcpdump -r /tmp/airportSniff8471xEG.cap | по-малко

Файлът може лесно да бъде сканиран, интерпретиран, прочетен, преместван, търсен или каквото друго искате да правите с него. Ние няма да покриваме подробности относно типа данни, съдържащи се в .cap файловете и какво да правите с тях в това ръководство, но дори и да не сте в системите или мрежовата администрация, това пак може да бъде проницателно, ако не и интересно изживяване.

Ако някога сте се опитвали да използвате cat върху .cap файл, знаете, че това води до куп безсмислици, които ще натрупат терминала, често изисквайки нулиране на терминала, за да изчистите безсмислиците на екрана. Въпреки че има много приложения на трети страни за интерпретиране и четене на .cap файлове, с възможността за това, вградена в командния ред, обикновено няма голяма причина да получите друго приложение просто за сканиране на заснет пакетен файл.

Очевидно се фокусираме върху четенето на .cap файлове в Mac OS X тук, но командата tcpdump съществува и в почти всяка версия на Linux, което я прави почти универсална помощна програма за командния ред за мнозина разновидности на unix. Просто нещо, което трябва да имате предвид.