Macworld San Francisco 2000-The Mac OS X Introduction (Pt.1)
无论是执行数据包跟踪还是嗅探和从网络捕获数据包,结果通常都是创建.cap捕获文件。 无论您使用什么来嗅探网络,都会创建.cap,pcap或wcap数据包捕获文件,这是网络管理员和安全专业人员之间相当常见的任务。 打开,读取和解释.cap文件的最简单方法可能是在Mac或Linux机器上使用内置的tcpdump实用程序。
假设您已经捕获了网络连接的数据包跟踪,并从tcpdump,wireshark,airport,Wireless Diagnostics Sniffer工具或任何其他网络实用程序创建了一个带有.cap,.pcap或.wcap扩展名的捕获数据包文件。 '使用,你需要做的就是查看.cap文件是在OS X *中启动终端然后键入以下命令字符串,根据需要调整语法:
tcpdump -r /path/to/packetfile.cap
大多数情况下.cap文件非常大,所以最好将.cap文件传输到更少或更多的扫描中,我们会少用:
tcpdump -r /path/to/packetfile.cap | less
例如,假设有一个位于/tmp/airportSniff8471xEG.cap的捕获文件,该文件是通过使用梦幻般的机场命令行实用程序监视本地wi-fi网络生成的,语法如下:
tcpdump -r /tmp/airportSniff8471xEG.cap | less
该文件可以轻松扫描,解释,阅读,移动,搜索或其他任何你想要用它做的事情。 我们不会在本演练中介绍.cap文件中包含的数据类型以及如何处理它们的细节,但即使您不在系统或网络管理中,它仍然可以是一个有洞察力的,如果不是有趣的体验。
如果你曾试图在.cap文件上使用cat,你知道它会导致一堆乱码,这将导致终端通常需要终端重置以清除屏幕上的乱码。
虽然有许多第三方应用程序可以解释和读取.cap文件,但是能够在命令行中本地构建这些应用程序,通常没有理由只使用扫描捕获的数据包文件来获取另一个应用程序。
*我们显然专注于在Mac OS X中读取.cap文件,但tcpdump命令几乎存在于每个版本的Linux上,这使得它成为许多unix版本的几乎通用的命令行实用程序。 请记住一些事情。
