วิธีการอ่าน. cap Packet Capture File บน Mac OS X ด้วย tcpdump

ไม่ว่าจะเป็นการติดตามแพกเก็ตหรือดักจับแพ็คเก็ตจากเครือข่ายผลลัพธ์ก็คือการสร้างไฟล์. cap capture ไฟล์การจับภาพแพคเก็ต .cap, pcap หรือ wcap ถูกสร้างขึ้นโดยไม่คำนึงถึงสิ่งที่คุณกำลังใช้เพื่อค้นหาเครือข่ายงานที่ค่อนข้างเป็นที่นิยมในหมู่ผู้ดูแลระบบเครือข่ายและผู้เชี่ยวชาญด้านความปลอดภัย บางทีวิธีที่ง่ายที่สุดในการเปิดอ่านและตีความไฟล์. cap จะใช้อรรถประโยชน์ tcpdump ในเครื่อง Mac หรือ Linux


สมมติว่าคุณได้จับเส้นทางการสืบค้นข้อมูลของแพ็คเก็ตสำหรับการเชื่อมต่อเครือข่ายแล้วสร้างไฟล์แพคเก็ตที่สร้างขึ้นโดยใช้นามสกุล. cap, .pcap หรือ. wcap จาก tcpdump, wireshark, airport, Wireless Diagnostics Sniffer หรือไม่ก็ตาม กำลังใช้งานอยู่ทั้งหมดที่คุณต้องทำเพื่อดูไฟล์. cap จะเปิด Terminal ใน OS X * แล้วพิมพ์สตริงคำสั่งต่อไปนี้การปรับไวยากรณ์ตามความจำเป็น:

tcpdump -r /path/to/packetfile.cap

เวลาส่วนใหญ่ไฟล์. cap มีขนาดค่อนข้างใหญ่ดังนั้นคุณจึงควรวางไฟล์. cap ลงในไฟล์ที่น้อยลงหรือมากขึ้นสำหรับการสแกนเราจะใช้น้อยกว่านี้:

tcpdump -r /path/to/packetfile.cap | less

ตัวอย่างเช่นสมมุติว่ามีไฟล์จับภาพอยู่ที่ /tmp/airportSniff8471xEG.cap ซึ่งสร้างขึ้นจากการตรวจสอบเครือข่าย wi-fi ในท้องถิ่นพร้อมกับยูทิลิตีบรรทัดคำสั่งของสนามบินที่ยอดเยี่ยมไวยากรณ์จะเป็นดังนี้:

tcpdump -r /tmp/airportSniff8471xEG.cap | less

ไฟล์นี้สามารถสแกนได้ง่ายตีความอ่านย้ายรอบ ๆ ค้นหาหรือสิ่งอื่นที่คุณต้องการจะทำ เราจะไม่ครอบคลุมข้อมูลเฉพาะเกี่ยวกับประเภทของข้อมูลที่มีอยู่ในไฟล์. cap และจะทำอย่างไรกับคำแนะนำนี้ แต่แม้ว่าคุณจะไม่ได้อยู่ในระบบหรือการดูแลระบบเครือข่ายก็ยังสามารถเป็นประสบการณ์ที่ลึกซึ้งได้หากไม่น่าสนใจ

ถ้าคุณเคยพยายามใช้ cat ในไฟล์. cap ที่คุณรู้ว่ามันส่งผลให้พวงของการพูดพล่อยๆซึ่งจะทำให้ Bork ขึ้น Terminal มักต้องตั้งค่า Terminal เพื่อลบคำพูดผิด ๆ บนหน้าจอ
แม้ว่าจะมีแอพพลิเคชันของบุคคลที่สามมากมายในการตีความและอ่านไฟล์. cap ด้วยความสามารถในการสร้างไฟล์ดังกล่าวให้อยู่ในบรรทัดรับคำสั่งโดยทั่วไปจะมีเหตุผลเพียงเล็กน้อยที่จะได้รับแอปพลิเคชันอื่นเพียงแค่สแกนไฟล์แพคเก็ตที่ถูกจับ

* เรากำลังมุ่งเน้นไปที่การอ่านไฟล์ .cap ใน Mac OS X ที่นี่ แต่คำสั่ง tcpdump มีอยู่ใน Linux ทุกรุ่นยกเว้นทำให้ยูทิลิตี้บรรทัดคำสั่งยูนิเวอร์ออกเกือบสากลสำหรับหลายยูนิกซ์ เพียงแค่บางสิ่งบางอย่างที่ต้องคำนึงถึง