Cara Membaca .cap Packet Capture File di Mac OS X dengan tcpdump

Apakah melakukan paket jejak atau mengendus dan menangkap paket dari jaringan, hasilnya biasanya penciptaan file ambil .cap. Itu .cap, pcap, atau file capture paket wcap dibuat terlepas dari apa yang Anda gunakan untuk mengendus jaringan, tugas yang cukup umum di antara administrator jaringan dan profesional keamanan. Mungkin cara termudah untuk membuka, membaca, dan menginterpretasikan file .cap adalah menggunakan utilitas tcpdump bawaan pada mesin Mac atau Linux.


Dengan asumsi Anda telah menangkap jejak paket untuk koneksi jaringan dan membuat file paket yang diambil dengan ekstensi .cap, .pcap, atau .wcap dari tcpdump, wireshark, bandara, alat Bantu Diagnostik Nirkabel, atau utilitas jaringan lainnya apa pun yang Anda gunakan. sedang menggunakan, semua yang perlu Anda lakukan untuk melihat file .cap adalah meluncurkan Terminal di OS X * dan kemudian ketik string perintah berikut, sesuaikan sintaks yang diperlukan:

tcpdump -r /path/to/packetfile.cap

Sebagian besar waktu file .cap cukup besar sehingga yang terbaik adalah menyalurkan file .cap ke dalam lebih sedikit atau lebih untuk pemindaian, kami akan menggunakan lebih sedikit:

tcpdump -r /path/to/packetfile.cap | less

Sebagai contoh, katakanlah ada file tangkapan yang terletak di /tmp/airportSniff8471xEG.cap yang dihasilkan dari pemantauan jaringan wi-fi lokal dengan utilitas baris perintah bandara yang fantastis, sintaksnya adalah:

tcpdump -r /tmp/airportSniff8471xEG.cap | less

File dapat dengan mudah dipindai, ditafsirkan, dibaca, dipindahkan di sekitar, dicari, atau apa pun yang Anda ingin lakukan dengannya. Kami tidak akan membahas secara spesifik tentang jenis data yang terdapat dalam file .cap dan apa yang harus dilakukan dengan itu dalam penelusuran ini, tetapi bahkan jika Anda tidak berada dalam sistem atau administrasi jaringan, masih bisa menjadi pengalaman yang luas jika tidak menarik.

Jika Anda pernah mencoba menggunakan kucing pada file .cap Anda tahu itu menghasilkan sekelompok omong kosong yang akan menggigit Terminal sering membutuhkan reset Terminal untuk menghapus omong kosong di layar.
Meskipun ada banyak aplikasi pihak ketiga untuk menginterpretasikan dan membaca file .cap, dengan kemampuan untuk membuatnya secara bawaan dibangun ke dalam baris perintah, umumnya ada sedikit alasan untuk mendapatkan aplikasi lain hanya dengan memindai file paket yang diambil.

* Kami jelas berfokus pada membaca file .cap di Mac OS X di sini, tetapi perintah tcpdump ada di hampir setiap versi Linux di luar sana juga, menjadikannya utilitas baris perintah yang hampir universal untuk berbagai jenis unix. Hanya sesuatu yang perlu diingat.