So lesen Sie .cap Packet Capture-Datei unter Mac OS X mit tcpdump

Egal, ob Sie eine Paketverfolgung durchführen oder Pakete aus einem Netzwerk schnüffeln und erfassen, das Ergebnis ist normalerweise die Erstellung einer .cap-Erfassungsdatei. Diese .cap-, pcap- oder wcap-Paketerfassungsdatei wird unabhängig davon erstellt, was Sie zum Sniffing eines Netzwerks verwenden, eine ziemlich häufige Aufgabe unter Netzwerkadministratoren und Sicherheitsexperten. Die einfachste Möglichkeit, eine .cap-Datei zu öffnen, zu lesen und zu interpretieren, ist die Verwendung des integrierten Dienstprogramms tcpdump auf einem Mac- oder Linux-Computer.


Angenommen, Sie haben bereits eine Paketverfolgung für eine Netzwerkverbindung erfasst und eine erstellte Paketdatei mit der Erweiterung .cap, .pcap oder .wcap von tcpdump, wireshark, airport, Wireless Diagnostics Sniffer oder einem anderen Netzwerkdienstprogramm erstellt Zur Verwendung der .cap-Datei müssen Sie lediglich Terminal in OS X * starten. Geben Sie dann die folgende Befehlszeichenfolge ein und passen Sie die Syntax entsprechend an:

tcpdump -r /path/to/packetfile.cap

In den meisten Fällen ist eine .cap-Datei ziemlich groß. Daher empfiehlt es sich, die .cap-Datei zum Scannen in weniger oder mehr zu pipen. Wir verwenden weniger:

tcpdump -r /path/to/packetfile.cap | less

Angenommen, es gibt eine Capture-Datei, die sich unter /tmp/airportSniff8471xEG.cap befindet und aus der Überwachung eines lokalen Wi-Fi-Netzwerks mit dem fantastischen Befehlszeilenprogramm am Flughafen generiert wurde. Die Syntax wäre:

tcpdump -r /tmp/airportSniff8471xEG.cap | less

Die Datei kann leicht gescannt, interpretiert, gelesen, verschoben, durchsucht werden oder was auch immer Sie damit machen wollen. Wir werden in dieser exemplarischen Vorgehensweise keine Details zu den in den .cap-Dateien enthaltenen Datentypen und zu den damit verbundenen Daten behandeln. Aber selbst wenn Sie nicht in der System- oder Netzwerkadministration sind, kann es dennoch eine aufschlussreiche, wenn nicht interessante Erfahrung sein.

Wenn Sie jemals versucht haben, cat für eine .cap-Datei zu verwenden, wissen Sie, dass es zu einem Haufen Kauderwelsch führt, der das Terminal durchwühlt und oft einen Terminal-Reset erfordert, um das Kauderwelsch auf dem Bildschirm zu löschen.
Während es viele Drittanbieter-Apps gibt, um .cap-Dateien zu interpretieren und zu lesen, mit der Fähigkeit, dies nativ in die Befehlszeile zu integrieren, gibt es im Allgemeinen wenig Grund, eine andere App zum einfachen Scannen einer erfassten Paketdatei zu bekommen.

* Wir konzentrieren uns hier offensichtlich auf das Lesen von .cap-Dateien in Mac OS X, aber der tcpdump-Befehl existiert auf fast jeder Linux-Version, was ihn zu einem nahezu universellen Befehlszeilenprogramm für viele Unix-Typen macht. Nur etwas, das man im Kopf behalten sollte.