Cómo leer el archivo de captura de paquetes .cap en Mac OS X con tcpdump

Ya sea realizando un seguimiento de paquetes o rastreando y capturando paquetes de una red, el resultado suele ser la creación de un archivo de captura .cap. Ese archivo de captura de paquetes .cap, pcap o wcap se crea independientemente de lo que esté usando para rastrear una red, una tarea bastante común entre los administradores de red y los profesionales de seguridad. Quizás la forma más fácil de abrir, leer e interpretar un archivo .cap es utilizando la utilidad tcpdump incorporada en una máquina Mac o Linux.



Suponiendo que ya ha capturado un seguimiento de paquete para una conexión de red y ha creado un archivo de paquete capturado creado con una extensión .cap, .pcap o .wcap de tcpdump, wirehark, airport,
Wireless Diagnostics Sniffer tool o cualquier otra utilidad de red que desee. está usando, todo lo que necesita hacer para ver el archivo .cap es iniciar Terminal en OS X * y luego escribir la siguiente cadena de comando, ajustando la sintaxis según sea necesario:

tcpdump -r /path/to/packetfile.cap

La mayoría de las veces, un archivo .cap es bastante grande, por lo que es mejor canalizar el archivo .cap a menos o más para escanear, usaremos menos:

tcpdump -r /path/to/packetfile.cap | less

Por ejemplo, digamos que hay un archivo de captura ubicado en /tmp/airportSniff8471xEG.cap que se generó a partir de monitorear una red wi-fi local con la fantástica utilidad de línea de comandos del aeropuerto , la sintaxis sería:

tcpdump -r /tmp/airportSniff8471xEG.cap | less

El archivo se puede escanear, interpretar, leer, mover, buscar o cualquier otra cosa que desee hacer con él. No cubriremos detalles específicos sobre el tipo de datos contenidos en los archivos .cap y qué hacer con ellos en este tutorial, pero incluso si no está en la administración de sistemas o redes, puede ser una experiencia reveladora, si no interesante.

Si alguna vez ha intentado usar cat en un archivo .cap, sabe que da como resultado un montón de galimatías que arruinarán la Terminal a menudo requiriendo un reinicio de la Terminal para borrar la galimatías en la pantalla .

Si bien hay muchas aplicaciones de terceros para interpretar y leer archivos .cap, con la capacidad de hacerlo integrada de forma nativa en la línea de comandos, generalmente hay pocas razones para obtener otra aplicación simplemente para escanear un archivo de paquete capturado.

* Obviamente, nos estamos enfocando en leer archivos .cap en Mac OS X aquí, pero el comando tcpdump también existe en casi todas las versiones de Linux, lo que lo convierte en una utilidad de línea de comandos casi universal para muchas variedades de Unix. Sólo algo para tener en cuenta.

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario