Cómo leer el archivo de captura de paquetes .cap en Mac OS X con tcpdump
Ya sea que esté rastreando paquetes o un adulto y capturando paquetes de una red, el resultado suele ser la creación de un archivo de captura. Ese archivo de captura de paquetes .cap, pcap o wcap se crea sin importar lo que use para detectar una red, una tarea bastante común entre los administradores de red y los profesionales de seguridad. Quizás la forma más fácil de abrir, leer e interpretar un archivo .cap es usar la utilidad tcpdump incorporada en una computadora Mac o Linux.
Suponiendo que ya capturó un seguimiento de paquete para una conexión de red y creó un archivo de paquete capturado con una extensión .cap, .pcap o .wcap de tcpdump, wirehark, airport, herramienta de diagnóstico inalámbrica Sniffer o lo que sea Use la utilidad de red que desee tiene, todo lo que tiene que hacer para ver el archivo .cap es iniciar Terminal en OS X * y luego escribir la siguiente línea de comando, ajustando la sintaxis según sea necesario:
tcpdump -r /path/to/packetfile.cap
La mayoría de las veces un archivo .cap es bastante grande, por lo que es mejor insertar el archivo .cap en menos o más para escanear, usaremos menos:
tcpdump -r /path/to/packetfile.cap | less
Por ejemplo, supongamos que hay un archivo de captura ubicado en /tmp/airportSniff8471xEG.cap que se generó al monitorear una red wi-fi local usando la fantástica utilidad de línea de comandos del aeropuerto, la sintaxis sería:
tcpdump -r /tmp/airportSniff8471xEG.cap | less
El archivo se puede escanear, interpretar, leer, mover, buscar o cualquier otra cosa que desee hacer con él. No cubriremos detalles sobre el tipo de datos contenidos en los archivos .cap y qué hacer con ellos en esta descripción general, pero incluso si no está en la administración de sistemas o redes, puede ser una experiencia inteligente, si no interesante, .
Si alguna vez ha intentado usar el gato en un archivo .cap, sabe que resulta en muchas tonterías que aumentarán el terminal, lo que a menudo requiere un reinicio del terminal para eliminar las tonterías de la pantalla.
Aunque existen muchas aplicaciones de terceros para interpretar y leer archivos .cap, con la posibilidad de hacerlo de forma nativa incrustada en la línea de comandos, generalmente existen pocas razones para obtener otra aplicación que simplemente escanee un archivo .cap.
* Obviamente, aquí nos centramos en leer archivos .cap en Mac OS X, pero el comando tcpdump también existe en casi todas las versiones de Linux, lo que lo convierte en una utilidad de línea de comandos casi universal para muchas variedades de Unix. Solo algo para recordar.