패킷 추적을 수행하든 네트워크에서 패킷을 스니핑 및 캡처하든 일반적으로 .cap 캡처 파일이 생성됩니다. .cap, pcap 또는 wcap 패킷 캡처 파일은 네트워크 관리자와 보안 전문가 사이에서 상당히 일반적인 작업인 네트워크 스니핑에 사용하는 것과 관계없이 생성됩니다. 를 열고 읽고 해석하는 가장 쉬운 방법일 것입니다.cap 파일은 Mac 또는 Linux 시스템에서 내장된 tcpdump 유틸리티를 사용하고 있습니다.

네트워크 연결에 대한 패킷 추적을 이미 캡처했으며 tcpdump, wireshark, 공항, 무선 진단 스니퍼에서 확장자가 .cap, .pcap 또는 .wcap인 캡처된 패킷 파일을 생성했다고 가정합니다. 도구 또는 사용 중인 다른 네트워크 유틸리티가 무엇이든 간에 .cap 파일을 보려면 OS X 에서 터미널을 시작한 다음 필요에 따라 구문을 조정하면서 다음 명령 문자열을 입력하기만 하면 됩니다.

tcpdump -r /path/to/packetfile.cap

대부분의 경우 .cap 파일이 상당히 크므로 스캔을 위해 .cap 파일을 less 또는 more로 파이프하는 것이 가장 좋습니다. less를 사용합니다.

tcpdump -r /path/to/packetfile.cap | 더 적은

예를 들어 /tmp/airportSniff8471xEG.cap에 멋진 공항 명령줄 유틸리티를 사용하여 로컬 Wi-Fi 네트워크를 모니터링하여 생성된 캡처 파일이 있다고 가정해 보겠습니다. 구문은 다음과 같습니다.

tcpdump -r /tmp/airportSniff8471xEG.cap | 더 적은

파일을 쉽게 스캔, 해석, 읽기, 이동, 검색 또는 원하는 작업을 수행할 수 있습니다. 이 연습에서는 .cap 파일에 포함된 데이터 유형과 이를 사용하여 수행할 작업에 대한 세부 사항을 다루지 않지만 시스템 또는 네트워크 관리 분야가 아니더라도 흥미로운 경험은 아니지만 여전히 통찰력이 있을 수 있습니다.

cat을 .cap 파일에 사용하려고 시도한 적이 있다면 화면에서 횡설수설을 지우기 위해 종종 터미널을 재설정해야 하는 횡설수설이 발생한다는 것을 알 수 있습니다. .cap 파일을 해석하고 읽을 수 있는 타사 앱이 많이 있지만 기본적으로 명령줄에 그렇게 할 수 있는 기능이 있으므로 일반적으로 단순히 캡처된 패킷 파일을 스캔하기 위해 다른 앱을 구할 이유가 거의 없습니다.

여기에서는 분명히 Mac OS X에서 .cap 파일을 읽는 데 초점을 맞추고 있지만 tcpdump 명령은 거의 모든 Linux 버전에도 존재하므로 많은 사람들에게 거의 보편적인 명령줄 유틸리티가 됩니다. 유닉스의 종류. 명심해야 할 것이 있습니다.